Me he estado preguntando: asumiendo una edición moderna de Windows (> = 7), y que el UAC está habilitado, ¿qué beneficios hay si además uso el sistema como usuario estándar? Por lo que entiendo, la única diferencia es que, en lugar de hacer clic en "sí" en el cuadro de diálogo, tendré que proporcionar una contraseña de administrador, pero los programas no podrán realizar acciones administrativas sin mi consentimiento debido a UAC. >
El blog de DFIR tiene un gran resumen de UAC
En el artículo, el autor recomienda el enfoque Notificar siempre, especialmente para administradores y servidores críticos. Además de los ataques de ingeniería social, como el módulo exploits / windows / local / ask en el marco de metasploit, también hay decenas de bypasses de UAC. El autor cubre las técnicas y herramientas para evitar UAC mejor que la mayoría.
El autor no menciona, y no conozco una herramienta o técnica para eludir Notificar siempre. Sin embargo, la escalada de privilegios, especialmente en la cuenta del SISTEMA, puede ser posible a través de una vulnerabilidad de escalada de privilegios. y / o un problema de configuración incorrecta (aunque cualquier vulnerabilidad privesc dada no debe requerir privilegios de administrador, lo que no es necesariamente raro, sino una condición que debe existir para que algunas vulnerabilidades funcionen). Las configuraciones erróneas suelen incluir problemas con la ruta UNC y / o los permisos de archivo / carpeta / servicio. Por lo general, estas técnicas de escalado de privilegios requieren una comprensión avanzada del entorno Windows que incluso la mayoría de los administradores de NT no poseen, sin embargo, nuevamente, algunas están disponibles en el marco de metasploit y otros motores de explotación (o combinados con kits de exploits), lo que reduce la barrera de entrada para cualquier persona con intenciones adversas. En otras ocasiones, los administradores o las herramientas de administración simplemente dejan la contraseña en texto claro (o en un formato fácilmente reversible) en los archivos del sistema operativo, en una nota adhesiva u otra OPSEC de atención reducida.
La mayoría de los usuarios finales se rebelarán contra Always Notify, pero tal vez no en la siguiente configuración inferior, el proceso de integridad media (contra el que funcionan muchas técnicas de bypass de UAC).
En cuanto a las cuentas de administrador local o de dominio para máquinas de usuario final, es una práctica muy mala, ya que los usuarios pueden simplemente hacer clic derecho en cualquier archivo ejecutable y elegir "Ejecutar como administrador" para aumentar los privilegios y destruir el poder de UAC (NB, esto también puede puede realizarse a través de cmd.exe si cualquier usuario final conoce una contraseña de cuenta de administrador por separado. Una gran cantidad de malware, especialmente las técnicas de persistencia, dependen del acceso del administrador (por ejemplo, para la instalación del servicio de Windows). Si UAC debe configurarse en un valor inferior a Always Notify, la mejor estrategia es no permitir ningún acceso de administrador (acceso privilegiado) y proporcionar protecciones adicionales contra la instalación de la aplicación del usuario final. Mi plataforma favorita para la Gestión de Identidad Privilegiada es STEALTHbits y esto se puede combinar con BeyondTrust y otras soluciones de administración de privilegios.
Como protección adicional para las cuentas que no son de administrador, los permisos en las carpetas AppData \ LocalLow específicas del usuario también permiten que el malware se active y persista. Otro aspecto a tener en cuenta es que algunas organizaciones establecerán la clave de registro AlwaysInstallElevated para permitir que los no administradores instalen aplicaciones. Sin embargo, los privilegios elevados de MSI pueden ser objeto de abuso e incluso hay un módulo de framework de metasploit para hacerlo (es decir, exploits / windows / local / always_install_elevated).
Otra distinción que se debe hacer es para los avisos de elevación (las aplicaciones se pueden escribir para solicitarlas automáticamente, pero el comportamiento de UAC puede anular / anular esta capacidad). El libro Least Privilege Security para Windows 7, Vista y XP cubre esto y dice:
Microsoft recomienda que, en entornos corporativos, los administradores del sistema configuren UAC para rechazar automáticamente las solicitudes de elevación utilizando la Control de cuentas de usuario: comportamiento de la solicitud de elevación para usuarios estándar local o configuración de directiva de grupo. Esto garantiza que el malware no pueda interceptar un indicador de elevación y cosechar las credenciales de una cuenta de administrador.
Las respuestas existentes que cubren la mayoría de las cosas importantes. Solo quiero agregar que, en caso de ransomware, el software no necesita privilegios elevados. Si el malware no tiene privilegios para persistir en algún lugar, esto no sería un problema. Si el usuario tiene acceso de escritura a (algunos de) sus archivos importantes, lo cual es muy probable, el ransomware simplemente lo cifra y deja un buen aviso visible con más instrucciones.
El beneficio sería que TODOS los derechos se ejecutarían como un usuario estándar, no como administrador. Los instaladores que activan el UAC están lejos de las cosas más terribles que se golpean en la noche.
Lo que estás describiendo es lo que vería un usuario estándar, no lo que sucede a nivel del sistema operativo. UAC por sí solo no lo hace seguro.
Lea otras preguntas en las etiquetas windows