Perché ho bisogno di eseguire i comandi come amministratore se il mio account è membro del gruppo di amministratori?

Se il mio account è già un membro del gruppo di amministratori perché alcune funzioni su Windows 7 richiedono di eseguirle come amministratore? Ho pensato che fosse implicito?

Quando si accede correttamente a una macchina Windows, viene generato un token di accesso che rappresenta la session di accesso. Tra l'altro, questo token contiene il tuo nome utente ei gruppi in cui sei membro.

Tutti i programmi avviati durante la session hanno un riferimento a questo token. Quando un programma vuole fare qualcosa, presenta il token di accesso a Windows e Windows lo usa per verificare che l'utente sia autorizzato a eseguire tale azione.

Il problema con questo è che quando si accede come amministratore, each programma avviato è in esecuzione come amministratore . Questo è conveniente, ma significa anche che i lettori di posta elettronica, gli editor di text e each programma random da scaricare e da eseguire hanno la possibilità di bloccare il sistema se lo desiderano.

Questo è il problema che il controllo dell'account utente è stato progettato per risolvere

A partire da Windows Vista, quando gli amministratori accedono vengono assegnati due gettoni di accesso separati:

  • Un token standard contenente tutte le appartenenze di gruppo a exception di "Amministratori".
  • Un token elevato che contiene tutte le appartenenze di gruppo, tra cui "Amministratori".

Durante l'uso normale, viene utilizzato il token di accesso standard. Quando un programma viene lanciato utilizzando questo token, ha gli stessi diritti di un utente standard. Se tenta di fare qualcosa che solo gli amministratori hanno accesso, Windows negerà l'accesso perché il token standard non contiene un membro di amministratori.

Se si avvia il programma "Come amministratore", Windows fornisce al programma il token elevato anziché il token standard. Ora, each volta che l'applicazione tenta di accedere a qualcosa di riservato agli amministratori, il token conterrà che l'adesione e l'operazione avranno successo.

Lo scopo di UAC è quello di informare l'utente quando un programma sta approfittando dei privilegi amministrativi . Gli editor di text ei lettori di posta elettronica normalmente non dovrebbero essere eseguiti come amministratori, per cui la visualizzazione della window di dialogo UAC per questi programmi dovrebbe essere causa di allarme o alless un certo controllo.

La spiegazione di UAC di Microsoft e alcuni passaggi per affrontare sono disponibili.

L'idea è di fornire minimi privilegi .

Il principio del minimo privilegio è ampiamente riconosciuto come importnte considerazione di progettazione per migliorare la protezione dei dati e delle funzionalità dai guasti (tolleranza agli errori) e da comportmenti dannosi (sicurezza informatica).

Più programmi vengono eseguiti con credenziali amministrative, più vulnerabili sono software difettoso o dannoso. Il compromesso che consente di eseguire le operazioni che richiedono un accesso amministrativo senza eseguire tutte le azioni con tale livello di accesso è quello di esplicitamente ricall caso per caso – solo perché sei nel gruppo amministrativo non significa che si desidera fornire each programma utilizzare con poteri amministrativi completi.