Administrator + UAC
Добрый день.
В целях безопасности работаю из под пользователя без прав администратора, с включенным uac.
Есть хотелка работать под администратором, т.к. после "run as administrator" некоторые программы некорректно прописывают переменные окружения для моего пользователя не-админа, плюс неудобство запуска программ "as administrator" с таскбара и других шорткатов.
Собственно вопрос.
Работа под администратором с включенным uac отличается ли в плане безопасности от работы из под пользователя с uac? Есть ли уязвимые области системы, куда админские права в отличие от неадминских дают доступ, а uac это не контролирует?
С панели задач приложения можно запускать от имени администратора зажав Shift + Crtl и кликнув по ним, это же работает и с прикреплёнными ярлыками в меню "Пуск".
UAC не даёт совершать изменения в системных областях, но он не контролирует пользовательские папки. То есть всё, что находится в папке AppData в профиле пользователя не защищено. По такому принципу, например устанавливается Google Chrome, он ставится в папку пользователя без прав Администратора, но вот поставить его по-умолчанию без этих прав уже нельзя, потому что это уже настройка системы. По такому же принципу работают и смс-вымогатели, которые тупо прописывают себя в автозагрузку.
Большинство вирусов, то есть те, что не используют нуль-уязвимости или дыры безопасности не могут работать, если не запущены из под Администратора. Работая с правами Администратора пользователь сам берет на себя ответственность по запуску программ, которые хотят получить доступ в системные области. Если хочется, то можно включить самый высокий уровень UAC, такой будет запрашивать подтверждение по каждому чиху, как в Висте.
Кстати, встроенной учётной записью Администратора лучше не пользоваться, потому что политика безопасности у неё настроена так, что в ней нет окон подтверждения UAC.