Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este tópico explica como configurar contas de usuário do Windows como um membro do Grupo de Usuários (em oposição ao Grupo de Administradores) aumenta a segurança, reduzindo as chances de ser infetado com código mal-intencionado.
Riscos de segurança
A execução como administrador torna o seu sistema vulnerável a vários tipos de ataques de segurança, como "cavalo de Troia" e "sobrecarga da memória intermédia". A simples visita a um site da Internet como administrador pode ser prejudicial para o sistema, uma vez que o código malicioso descarregado de um site da Internet pode atacar o seu computador. Se for bem-sucedido, ele herda suas permissões de administrador e pode executar ações como excluir todos os seus arquivos, reformatar seu disco rígido e criar novas contas de usuário com acesso administrativo.
Grupos de usuários não administradores
As contas de usuário do Windows que os desenvolvedores usam normalmente devem ser adicionadas aos Grupos Usuários ou Usuários Avançados. Os desenvolvedores também devem ser adicionados ao Grupo de Depuração. Ser um membro do grupo Usuários permite que você execute tarefas de rotina, incluindo executar programas e visitar sites da Internet sem expor seu computador a riscos desnecessários. Como membro do grupo Usuários Avançados, você também pode executar tarefas como instalação de aplicativos, instalação de impressoras e a maioria das operações do Painel de Controle. Se você precisar executar tarefas administrativas, como atualizar o sistema operacional ou configurar parâmetros do sistema, deverá fazer login em uma conta de administrador por tempo suficiente para executar a tarefa administrativa. Como alternativa, o comando runas do Windows pode ser usado para iniciar aplicativos específicos com acesso administrativo.
Expor os clientes a riscos de segurança
Não fazer parte do grupo Administradores é particularmente importante para os desenvolvedores porque, além de proteger as máquinas de desenvolvimento, impede que os desenvolvedores escrevam inadvertidamente código que exija que os clientes se juntem ao Grupo de Administradores para executar os aplicativos que você desenvolve. Se o código que requer acesso de administrador for introduzido durante o desenvolvimento, ele falhará no tempo de execução, alertando-o para o fato de que seu aplicativo agora exige que os clientes sejam executados como administradores.
Código que requer privilégios de administrador
Alguns códigos requerem acesso de administrador para serem executados. Se possível, devem ser procuradas alternativas a este código. Exemplos de operações de código que exigem acesso de administrador são:
Gravando em áreas protegidas do sistema de arquivos, como os diretórios Windows ou Arquivos de Programas
Escrever para áreas protegidas do registo, como HKEY_LOCAL_MACHINE
Instalando assemblies no GAC (Global Assembly Cache)
Geralmente, essas ações devem ser limitadas a programas de instalação de aplicativos. Isso permite que os usuários usem o status de administrador apenas temporariamente.
Depuração de código
Você pode depurar qualquer aplicativo iniciado no Visual Studio (nativo e não gerenciado) como um não-administrador tornando-se parte do Grupo de Depuração. Isso inclui a capacidade de anexar a um aplicativo em execução usando o comando Anexar ao processo. No entanto, é necessário fazer parte do Grupo de Administradores para depurar aplicativos nativos ou gerenciados que foram iniciados por um usuário diferente.