Venho pesquisando nos últimos dias para encontrar a melhor maneira de configurar contas de usuário seguras no Windows 7. Aprendi algumas coisas novas sobre o UAC (controle de conta de usuário) e o AAM (modo de aprovação do administrador), mas ainda há algumas perguntas esquerda. A seguir, apresentarei o que sei sobre esse assunto (ou pelo menos o que acho que sei), seguido pelas minhas perguntas restantes.
Primeiro, o sistema em questão é um PC de usuário único e o usuário terá acesso aos direitos de administrador. Na maioria das vezes, é recomendável criar uma conta de administrador e um usuário separado. Mas lendo sobre como o UAC e o AAM funcionam, parece haver poucos ou nenhum benefício de segurança nessa abordagem - pelo menos na configuração pretendida.
Ao fazer login em uma conta de administrador, dois tokens de acesso são criados - um com direitos restritos e outro com direitos de administrador. Em geral, o administrador sempre usará os mesmos direitos restritos que um usuário padrão. Somente quando ele deseja executar uma ação para a qual esses direitos não são suficientes, o sistema solicita que ele confirme suas ações. Apenas seus direitos serão elevados aos direitos de administrador e somente para esta tarefa. Esse comportamento é semelhante ao que um usuário padrão enfrentaria com três diferenças particulares, que levam as pessoas a afirmar que trabalhar com uma conta de administrador é menos seguro:
- O usuário administrador verá apenas uma caixa de diálogo de confirmação, ele precisará clicar, enquanto o usuário padrão precisará digitar uma senha para elevar seus direitos. Mas isso pode ser alterado para que o usuário administrador seja obrigado a digitar uma senha também [no registro ou no editor de políticas].
- Várias ações (por exemplo, iniciando alguns aplicativos confiáveis da Microsoft) não provocam a caixa de diálogo de confirmação quando conectado como usuário administrador. Novamente, isso também pode ser alterado para o usuário administrador [nas configurações normais do usuário].
- Por fim, e mais importante, contas de administrador e de usuário separadas têm áreas separadas para seus arquivos, entradas de registro, etc. Portanto, se algo malicioso for introduzido ao trabalhar com direitos restritos (por exemplo, um executável em um diretório temporário, associações de arquivos alteradas etc.), ele estará localizado em um contexto diferente quando o usuário padrão solicitar e receber direitos elevados e não no diretório mesmo contexto em que um usuário administrador solicita direitos elevados.
Os dois primeiros problemas não são problemas, pois podem ser configurados para funcionar exatamente da mesma maneira para um usuário padrão e para um usuário administrador. É a terceira questão que me fez pensar. Isso realmente torna uma configuração com conta de administrador e usuário separada mais segura do que uma única conta de administrador? Assim que os direitos elevados são concedidos, tudo o que é armazenado em qualquer espaço do usuário é acessível e executável. Portanto, mesmo quando um usuário padrão solicita direitos elevados e os recebe e agora trabalha no contexto da conta de administrador, o código malicioso do seu contexto original pode ser acessado e executado sem avisos adicionais.
Portanto, para retornar às minhas perguntas: Na configuração apresentada, usar uma única conta de administrador é tão segura quanto usar uma conta de administrador e usuário separada, desde que você altere o nível de notificação para o máximo e exija uma senha para obter direitos elevados? A única diferença entre as duas configurações seria as áreas de arquivo / entradas de registro separadas. Mas até onde eu sei, isso não traria mais segurança. Ou estou errado em minha suposição?