यदि UAC चालू है, तो क्या यह रोजमर्रा के उपयोग के लिए एक व्यवस्थापक खाते का उपयोग करना ठीक है?

चूंकि मैंने लगभग 7 साल पहले विंडोज 7 पर स्विच किया था, और अब विंडोज 8.1 का उपयोग करते हुए, मैं उपयोगकर्ता खाता नियंत्रण की अवधारणा से परिचित हो गया हूं और अपने पीसी को निम्न तरीके से उपयोग किया है: एक मानक खाता जो मैं हर दिन के काम के लिए उपयोग करता हूं और अंतर्निहित- जब वे ऐसा करने का अनुरोध करते हैं, या जब मुझे आवश्यकता होती है, "प्रशासक के रूप में चलाएं" एप्लिकेशन को सक्रिय करने और उपयोग करने के लिए प्रशासक खाते में सक्रिय किया जाता है।

हालाँकि, हाल ही में उपयोगकर्ता खाता नियंत्रण के बारे में अधिक पढ़ने के बाद, मुझे आश्चर्य हुआ कि क्या मेरा काम करने का तरीका अच्छा है? या क्या मुझे हर दिन के काम के लिए एक व्यवस्थापक खाते का उपयोग करना चाहिए, क्योंकि एक व्यवस्थापक खाते को ऐप्स द्वारा अनुरोध किए जाने तक, या जब तक मैं "व्यवस्थापक के रूप में चलाएं" विकल्प के माध्यम से अनुरोध नहीं करता हूं? मैं यह इसलिए पूछ रहा हूं क्योंकि मैंने कहीं पढ़ा है कि बिल्ट-इन एडमिनिस्ट्रेटर खाता एक सच्चा प्रशासक है, जिसके द्वारा मेरा मतलब है कि UAC इसके भीतर लॉग इन करने पर पॉप अप नहीं करता है, और जब संभावित दुर्भावनापूर्ण सॉफ़्टवेयर आते हैं तो मुझे समस्या न होने का डर होता है। दृश्य। मुझे यह उल्लेख करना होगा कि मैं इसे दैनिक आधार पर उपयोग नहीं करता, बस जब मुझे कुछ ऐप्स को ऊंचा करने की आवश्यकता होती है। मैं मुश्किल से एक वर्ष में 10 बार लॉग इन करता हूं ...

तो, कैसे बेहतर है? आपके उत्तर के लिए धन्यवाद! और नया साल मुबारक हो, बिल्कुल!

PS मैंने इसे एक साल पहले (: P) से पूछा था और मुझे लगता है कि मुझे इसे दोहराना चाहिए: क्या एक प्रशासक खाता इन दिनों उतना ही सुरक्षित है जितना कि जरूरत पड़ने पर बिल्ट-इन एडमिनिस्ट्रेटर खाते के साथ जुड़ा हुआ खाता है?

— वैलेन्टिन राडू
स्रोत

जवाबों:

क्या एक प्रशासक खाता इन दिनों उतना ही सुरक्षित है जितना कि जरूरत पड़ने पर बिल्ट-इन एडमिनिस्ट्रेटर खाते के साथ एक मानक खाता है?

संक्षेप में: फिर भी नहीं।

लंबा जवाब ...

UAC एक सुरक्षा सुविधा नहीं है

विंडोज एक्सपी के दिनों में वापस और विंडोज के पिछले संस्करणों में, कम से कम कॉर्पोरेट वातावरण में, प्रिंसिपल ऑफ लीस्ट प्रिविलेज का अभ्यास करना काफी कठिन था । सिद्धांत का तात्पर्य है कि आप एक मानक उपयोगकर्ता खाते का उपयोग करते हुए अपने सभी दिन-प्रतिदिन के कार्य करेंगे। व्यवस्थापक विशेषाधिकारों की आवश्यकता वाले किसी भी कार्य को व्यवस्थापक अधिकारों के साथ एक अलग खाते का उपयोग करके निष्पादित किया जाएगा (यह देखते हुए कि उपयोगकर्ता को इसके लिए एक वैध आवश्यकता थी)।

लेकिन विंडोज एक्सपी को इस बात को ध्यान में रखते हुए नहीं बनाया गया था, और कई क्विर्क और सीमाएं थीं, जब एक मानक उपयोगकर्ता के रूप में चल रहा था - भले ही आपके पास एक व्यवस्थापक खाते तक पहुंच हो। एक मानक उपयोगकर्ता के रूप में, आप साफ महीने के कैलेंडर को दिखाने के लिए सिस्ट्रे क्लॉक पर क्लिक करने में सक्षम नहीं थे, आप नेटवर्क सेटिंग्स को नहीं बदल सकते थे और "रन एज़" फ़ंक्शन सब कुछ के लिए काम नहीं करता था (विशेष रूप से विंडोज एक्सप्लोरर, और इस तरह से भी शेड्यूल किए गए कार्य, प्रिंटर और अन्य शेल फ़ोल्डर, यदि मेमोरी मुझे सही सेवा देती है)।

बेशक इनमें से बहुत कमियों के लिए वर्कअराउंड थे, लेकिन उनके आसपास खोज, दस्तावेज और, अच्छी तरह से काम करने में बहुत समय लगा।

सुरक्षा, संतुलन, सुरक्षा और सुविधा के बीच का संतुलन है । UAC को विंडोज विस्टा के साथ पेश किया गया था, मुख्य रूप से यह पता लगाने के लिए कि व्यवस्थापक अधिकारों की आवश्यकता कब थी, और व्यवस्थापक अधिकारों के साथ (अन्य) खाते से प्रमाणित करने के लिए स्वचालित रूप से आपको संकेत देने के लिए। इससे प्रिंसिपल ऑफ़ लीस्ट प्रिविलेज को बहुत आसान बनाने का अभ्यास हुआ।

एक साइड-इफ़ेक्ट के रूप में, एक एडमिन अकाउंट के साथ लॉग इन करते हुए, एडमिन अधिकारों की आवश्यकता वाले कार्य करने से आपको वास्तव में यह पुष्टि करने का मौका मिलता है कि आप इन अधिकारों का प्रयोग करना चाहते हैं। सॉफ्टवेयर इंस्टॉल करते समय UAC संकेत देता है, जबकि सामान्य वेबपेज खोलते समय ऐसा नहीं होता है।

हालांकि, यह पता चला है कि अधिकांश उपयोगकर्ता अलग-अलग खातों का उपयोग नहीं करते हैं और कुछ दिन-प्रतिदिन के कार्यों के लिए व्यवस्थापक अधिकारों (घड़ी, नेटवर्क, पावर प्लान आदि के लिए सेटिंग्स समायोजित करना) की आवश्यकता होती है, और इस प्रकार विस्टा में एक यूएसी प्रॉम्प्ट ट्रिगर होगा। संकेतों का यह कारण अधिकांश उपयोगकर्ताओं को होता है

क) किसी भी यूएसी संकेत को स्पष्ट रूप से स्वीकार करते हैं, जो वास्तव में उत्थान की आवश्यकता थी या नहीं

बी) पूरी तरह से यूएसी पुष्टि अक्षम करें

विंडोज 7 के साथ, माइक्रोसॉफ्ट ने कई विंडोज एक्ज़ीक्यूटेबल्स को ऑटो-एलिवेट परमिशन दिया, इसलिए यदि आप एक एडमिन अकाउंट का उपयोग कर रहे हैं, तो कुछ एक्शन स्वतः ही एलीवेटेड (एडमिन) अधिकारों के साथ निष्पादित हो जाते हैं। इससे UAC बहुत कम रुकावट प्रतीत होता है।

यूएसी ऑटो-एलिवेशन का फायदा उठाया जा सकता है

तो, विंडोज 7 में ऑटो-एलिवेटिंग अधिकारों के लिए एक अंतर्निहित तंत्र है। यदि मानक उपयोगकर्ता अधिकारों के साथ चलने वाले एप्लिकेशन द्वारा इस तंत्र का फायदा उठाया जा सकता है, तो UAC (जिसे सुरक्षा तंत्र नहीं बनाया गया था), को दरकिनार किया जा सकता है और आप व्यवस्थापक अधिकारों के साथ चल रहे अनुप्रयोगों को समाप्त कर सकते हैं, हालांकि आप नहीं हैं इसकी पुष्टि करने के लिए कहा।

यूएसी ऑटो-एलीवेशन को चालू करना वास्तव में कोड को इंजेक्ट करके शोषण किया जा सकता है, जैसा कि लियो डेविडसन ( विंडोज 7 यूएसी व्हाइटेलिस्ट: कोड-इंजेक्शन इश्यू (और अधिक) ) द्वारा सिद्ध किया गया है और विंडोज 7 में लॉन्ग झेंग ( यूएसी ) द्वारा चर्चा और प्रदर्शन अभी भी टूट गया है, Microsoft कोड-इंजेक्शन भेद्यता को ठीक नहीं कर सकता है )।

निष्कर्ष

सुरक्षा के नजरिए से देखा जाए, तब भी दिन-प्रतिदिन के काम के लिए अलग-अलग खातों का उपयोग करने और कुछ भी करने की आवश्यकता होती है। यह (यथोचित) होने का एकमात्र तरीका है, कि आपके स्पष्ट प्राधिकरण के बिना, कोई भी अधिकार व्यवस्थापक अधिकारों के साथ नहीं चलता है।

उस ने कहा, यह सुविधा और सुरक्षा के बीच एक संतुलन है। जैसा कि @GeminiDomino द्वारा बताया गया है, आप सभी पोर्ट को epoxy से भी भर सकते हैं, जैसा कि सेना द्वारा उपयोग किया जाता है। आप अपने कंप्यूटर को "एयर गैप्ड" भी चला सकते हैं , जैसे ब्रूस श्नाइयर , ताकि यह कभी भी सीधे किसी नेटवर्क से न जुड़े।

अंत में यह नीचे आता है यदि आप व्यवस्थापक कार्यों को करते समय स्पष्ट रूप से प्रमाणित करने के साथ ठीक हैं या नहीं।

— abstrask
स्रोत

क्या ये 7 कारनामे विंडोज 7 आरटीएम में तय नहीं किए गए हैं? लेख 2009 और W7 RTM जारी करने से पहले दिनांकित प्रतीत हो रहे हैं। अधिक जानकारी के लिए यह पोस्ट देखें: blogs.msdn.com/b/e7/archive/2009/02/05/…

— जो

जैसा कि मैंने आपके द्वारा लिंक किए गए ब्लॉग प्रविष्टि को पढ़ा है, उन्होंने सिर्फ यह सुनिश्चित किया है कि यूएसी स्तर को बदलते हुए, यूएसी पुष्टि को भी ट्रिगर किया जाएगा (जो संवेदी लगता है)। लियो की वेबसाइट के अनुसार (जो मैं इससे जुड़ा था): "नीचे दी गई सब कुछ अभी भी विंडोज 7 के अंतिम खुदरा रिलीज पर लागू होता है (और 14 / सितंबर / 2011 के अनुसार सभी अपडेट)"। मुझे पता है कि बहुत सारे पैच जारी किए गए हैं, लेकिन ऐसा नहीं लगता कि यह एक सुरक्षा छेद माना जाता है और एमएस इसे पैच नहीं करना चाह सकता है ("यह व्यवहार डिजाइन द्वारा है")?

— abstrask

हाँ आप सही हैं। मैंने उस महत्वपूर्ण भाग को याद किया - यह अभी भी 2011 के रूप में लागू होता है। मुझे वास्तव में अधिक ध्यान देना चाहिए था।

— जो शोमो

विंडोज ब्लॉग पर सूचनात्मक पोस्ट का लिंक अब मर चुका है। मैंने लिंक को अपडेट कर दिया है, इसलिए यह

— आर्काइव.ऑर्ग

आज तक UAC ऑटो-एलेवेशन को अक्षम करने के लिए विंडोज 10 में एक विकल्प है, जो प्रत्येक व्यवस्थापक कार्य के लिए संकेत दिखाएगा।

— हे

सबसे सुरक्षित? नेटवर्क को डिस्कनेक्ट करें और मॉनिटर करें, सभी पोर्ट्स को इपॉक्सी से भरें, और हार्ड ड्राइव को इकट्ठा करें, Hyrule के डंगऑन के माध्यम से भागों को बिखेरें।

गंभीरता से, हालांकि, आपकी चिंताओं को मेरे अनुभव में अच्छी तरह से स्थापित किया गया है। केवल मैलवेयर और अन्य शरारती सॉफ़्टवेयर के कारण नहीं, बल्कि इसलिए कि आप अंत में हैं, मानव। एक सीमित उपयोगकर्ता के संदर्भ में, आप गलतियाँ कर सकते हैं जो नुकसान का एक बड़ा कारण है। एक व्यवस्थापक के रूप में, आप उस क्षति के सभी, और बहुत कुछ कर सकते हैं।

व्यवस्थापक के रूप में दिन-प्रतिदिन चल रहा है, विशेष रूप से आकर्षक हो सकता है, खासकर जब कुछ सॉफ़्टवेयर पैकेजों के साथ काम करना जो उनके अपडेट में "रन के रूप में प्रशासक" के साथ सहयोग करना पसंद नहीं करते हैं (मैं आपको देख रहा हूं, वर्चुअलबॉक्स ...) ), लेकिन जब से आपका शीर्षक "सुरक्षित" कहता है, मैं यह कहने जा रहा हूं कि इससे निपटने के लिए बेहतर है क्योंकि वे कभी-कभार आते हैं, जैसे आप अभी। अच्छी वृत्ति।

नववर्ष की शुभकामना!

— GeminiDomino
स्रोत

ठीक है, मुझे आपकी बात मिल गई है! अपना उत्पीड़न साझा करने के लिए धन्यवाद: D

— वैलेंटाइन रादु