Un compte administrateur est-il aussi sûr de nos jours qu'un compte standard couplé au compte administrateur intégré en cas de besoin?
En bref: toujours pas.
La réponse plus longue ...
L'UAC n'est pas une fonction de sécurité
À l'époque de Windows XP et des versions précédentes de Windows, il était assez difficile de pratiquer le principe du moindre privilège , notamment dans un environnement d'entreprise. Le principe impliquait que vous feriez toutes vos tâches quotidiennes en utilisant un compte utilisateur standard. Toutes les tâches nécessitant des privilèges d'administrateur seraient exécutées à l'aide d'un compte distinct avec des droits d'administrateur (étant donné que l'utilisateur en avait un besoin légitime).
Mais Windows XP n'a pas été conçu dans cet esprit, et il y avait de nombreuses bizarreries et limitations, lors de l'exécution en tant qu'utilisateur standard - même si vous aviez également accès à un compte administrateur. En tant qu'utilisateur standard, vous ne pouviez pas cliquer sur l'horloge système pour afficher le calendrier du mois soigné, vous ne pouviez pas modifier les paramètres réseau et la fonction "Exécuter en tant que" ne fonctionnait pas pour tout (en particulier l'Explorateur Windows, et donc également Tâches planifiées, imprimantes et autres dossiers shell, si la mémoire me convient).
Bien sûr, il y avait des solutions pour beaucoup de ces lacunes, mais il a fallu beaucoup de temps pour les découvrir, les documenter et, bien, les contourner.
La sécurité est un équilibre entre, enfin, la sécurité et la commodité . L'UAC a été introduit avec Windows Vista, principalement pour détecter quand des droits d'administrateur étaient nécessaires et pour vous inviter automatiquement à vous authentifier avec un (autre) compte, avec des droits d'administrateur. Cela a rendu la pratique du principe du moindre privilège beaucoup plus facile.
En tant qu'effet secondaire, l'exécution de tâches nécessitant des droits d'administrateur, tout en étant connecté avec un compte d'administrateur, vous donne la possibilité de confirmer réellement que vous souhaitez exercer ces droits. Les invites UAC lors de l'installation du logiciel semblent raisonnables, contrairement à l'ouverture d'une page Web normale.
Cependant, il s'avère que la plupart des utilisateurs n'utilisent pas de comptes séparés et un certain nombre de tâches quotidiennes nécessitent des droits d'administrateur (ajustement des paramètres d'horloge, de réseau, de plan d'alimentation, etc.) et déclencheraient donc une invite UAC dans Vista. Ce grand nombre d'invites amène la plupart des utilisateurs à
a) accepter aveuglément toutes les invites UAC, sans faire attention à ce qui nécessitait réellement une élévation,
b) Désactiver entièrement la confirmation UAC
Avec Windows 7, Microsoft a créé plusieurs autorisations d'exécuter automatiquement les exécutables Windows, donc si vous utilisez un compte administrateur, certaines actions sont automatiquement exécutées avec des droits élevés (admin). Cela a rendu l'UAC beaucoup moins intrusif.
L'élévation automatique de l'UAC peut être exploitée
Ainsi, dans Windows 7, il existe un mécanisme intégré pour les droits d'élévation automatique. Si ce mécanisme peut être exploité, par une application s'exécutant avec des droits d'utilisateur standard, alors l'UAC (qui n'a pas été conçu pour être un mécanisme de sécurité), peut être contourné et vous pouvez finir par exécuter des applications avec des droits d'administrateur, bien que vous n'ayez pas été invité à le confirmer.
Il s'avère que l'auto-élévation UAC peut en fait être exploitée en injectant du code, comme le prouve Leo Davidson ( liste blanche Windows 7 UAC: problème d'injection de code (et plus) ) et discuté et démontré par Long Zheng ( UAC dans Windows 7 encore cassé, Microsoft ne corrigera pas / ne peut pas corriger la vulnérabilité d'injection de code ).
Conclusion
Du point de vue de la sécurité, il est toujours judicieux d'utiliser des comptes séparés pour le travail quotidien et tout ce qui nécessite des droits d'administrateur. C'est le seul moyen d'être (raisonnablement) sûr qu'aucune application ne s'exécute avec les droits d'administrateur, sans votre autorisation explicite.
Cela dit, c'est un équilibre entre commodité et sécurité. Comme l'a souligné @GeminiDomino, vous pouvez également remplir tous les ports avec de l'époxy, tel qu'utilisé par les militaires. Vous pouvez également faire fonctionner votre ordinateur "à distance", comme Bruce Schneier , afin qu'il ne se connecte jamais directement à un réseau.
En fin de compte, cela revient à savoir si vous êtes d'accord avec l'authentification explicite lors de l'exécution des tâches d'administration ou non.
Le plus sûr? Déconnectez le réseau et le moniteur, remplissez tous les ports d'époxy et démontez le disque dur, dispersant les pièces à travers les donjons d'Hyrule.
Sérieusement, cependant, d'après mon expérience, vos préoccupations sont fondées. Pas seulement à cause des logiciels malveillants et autres logiciels malveillants, mais parce que vous êtes, en fin de compte, humain. Dans le cas d'un utilisateur limité, vous pouvez bien sûr faire des erreurs qui font beaucoup de dégâts. En tant qu'administrateur, vous pouvez faire tous ces dégâts et bien plus encore.
L'exécution au jour le jour en tant qu'administrateur peut être très tentante, en particulier lorsqu'il s'agit de certains packages logiciels qui ne semblent pas vouloir coopérer avec "Exécuter en tant qu'administrateur" dans leurs mises à jour (je vous regarde, VirtualBox ... ), mais comme votre titre dit "sécurisé", je vais dire qu'il est préférable de les gérer au fur et à mesure, comme vous le faites maintenant. De bons instincts.
Bonne année!
la source