Почему нельзя работать в Windows под административным аккаунтом

Как нередко (читай: всегда) бывает в этой индустрии, "все дело в доверии"™. Вы либо доверяете операционной системе, либо нет. Компания доверяет своему сотруднику (и наоборот), или не очень. Заказчик доверяет поставщику услуг (Интернет, телефонии, грузоперевозок), или выбирает другого поставщика. В каждом случае доверие играет ключевую роль. Прав старина Шнайер - в " облаке " нет ничего нового. Это просто очередное испытание для надежности модели, в которой один доверяет, а другой заслуживает доверия.

Выполняя программу с повышенными привилегиями, вы тем самым полностью доверяете ей вашу систему и все ее содержимое. Особенно это касается интерактивных сеансов работы, когда все окружение пользователя выполняется с правами администратора. Ну например, что может случиться. Вам приходит письмо с вложением в формате PDF. Вы открываете его своим дырявым Adobe Reader 9.0.0, который успешно эксплойтится содержащимся в PDF-е куском JavaScript и в результате выполняет произвольный код с правами эксплуатируемго приложения. То есть с правами пользователя, который это приложение запустил. С вашими правами. Если в этот момент вы " ограниченный пользователь " (что вряд ли), то возможно ваши файлы будут удалены или размещены на Imageshack/YouTube. То есть, произойдет нечто, ограниченное вашими правами доступа.

Если же Adobe Reader выполнялся с правами локального администратора, то на вашем ПК откуда ни возьмись возникнет бот , рассылающий всей планете рекламу виагры или раздающий порнуху по bittorrent. Страшно подумать о том, что будет, если вместо локального админа это произойдет с админом доменным. В этом случае под удар попадает чуть ли не вся ИТ-инфраструктура компании.

Из этого делаем вывод: нечего запускать ненадежный софт из-под админа. В том числе и ненадежные компоненты ОС, такие как визуальная среда. И в особенности - программы-лидеры обнаруживаемых уязвимостей безопасности: Adobe Flash и семейство Acrobat, Sun Java и Microsoft Office. Полноценно использовать систему и ПО можно и с ограниченными правами, а если что-то вдруг потребует эскалации привилегий - воспользуйтесь пунктом контекстного меню Run as... и укажите логин/пароль администратора. Для облегчения этого процесса существуют чудесные операционные системы Windows 7 и Vista, там оно вполне доделано, а в "семерке" еще и причесано. Несчастным пользователям ископаемых ОС типа Windows NT, 98, Me и XP предлагаю воспользоваться утилитой ShellRunAs , поставляемой в составе горячо мною любимого Sysinternals Suite .

Кстати, UAC , по вине которого первая в истории здоровая ОС от Microsoft (да-да, я имею в виду Vista) заслужила славу "назойливого г-на", является официальным признанием мелкомягкими своего поражения в борьбе с повсеместным использованием пользователями административных привилегий. User Access Control действует так: каждый раз, когда какое-то приложение намыливается совершить изменения в ОС (записать на диск за пределами каталога пользователя, добавить значение в реестр и т.д.), UAC это намерение перехватывает и выносит на суд пользователя. Делает он это по-разному: переключаясь в Secure Desktop (это когда никуда из окна подтверждения не переключиться, а все вокруг становится темно-серым), запрашивая реквизиты более могущественного пользователя, либо просто выбрасывая окно подтверждения. Но бестолковые юзера, вместо того, чтобы настроить уровень "назойливости" в меню Local Security Settings , эту супер-фичу обычно сразу отключают, чем превращают Vista из назойливого г-на в г-но унылое и ничем не отличающееся от своих предшественников. В "семерке", к счастью, UAC замечательно настраивается из панели управления и есть шанс, что таким образом он получит лучшие отзывы.

На этом кланяюсь, и так заболтался. Думайте, кому доверяете.