web-dev-qa-db-ja.com

個別の管理者/標準ユーザーとUAC /パスワードプロンプトのある管理者の違いは?

新しいPCにWindows10をインストールしたところ、何がより安全か疑問に思いました。 UACが最高の設定で有効になっていて、PCを使用しているのは私だけだと仮定します。

  • 昇格が必要なアクションを実行する場合に管理者パスワードの入力を求められる別の管理者アカウントと標準アカウント
  • ローカルセキュリティポリシーの管理者アカウントが、確認するだけでなく、パスワードの入力を求めるに変更されました

したがって、どちらの場合も、昇格された権限が必要な場合は、安全なデスクトップで管理者パスワードを提供するように求められます。セキュリティ面で違いはありませんか?

windows-10securityuser-accountsadministratoruac
3
Claypenguin

通常使用する場合、両方のアカウント(ローカル管理者グループユーザーまたはカスタムの「標準」ユーザー)は、「標準」ユーザーコンテキスト(実行するトークンは「標準」ユーザー)で実行されます。

Explorer.exeは、ユーザーが実行するすべてのアプリケーションがエクスプローラーで使用される標準トークンを継承する親プロセスです。

アクションで昇格が必要な場合、UACの目的は、目的のアクションを実行するための管理者資格情報を持っていることを証明したことをOSに通知する追加の「管理者」トークンを要求することです。

ローカルセキュリティポリシーを設定してカスタム管理ユーザーのパスワードを要求することにより、基本的にトークンメカニズムに違いはありませんが、コンピューターのロックを解除したままにして、悪意のあるアクションの影響を減らすことができます。誰かが管理者権限を必要とするアクションを実行しようとしました。

エンタープライズ環境では、すべてのアクションにパスワードが必要になるように、グループポリシーによってこのローカルセキュリティポリシーを有効にするのがおそらく最善ですが、これの反対側は、すべての管理アクションに対して資格情報を入力する必要があるITスタッフを苛立たせることです。それはリスクと潜在的な影響を比較検討しています。

Microsoft「ユーザーアカウント制御のしくみ」: https://technet.Microsoft.com/en-us/library/jj574202(v = ws.11).aspx

1
Kinnectus