Ett säkerhetsproblem med Vista har varit de många dialogrutor som operativsystemet visat för användaren. Många användare har inte förstått eller inte brytt sig och regelmässigt klickat OK oavsett vad det stått i dialogrutan. De flesta människor är mer intresserade av att få sitt jobb gjort än att läsa in sig på vad dialogrutor egentligen menar. För att inte ropa varg i onödan har därför Microsoft bestämt sig för att ändra hur UAC, User Access Control, fungerar i nästa version av Windows.
En av de saker med Windows 7 som orsakat oro, bland annat hos Microsoftkännaren Mary Jo Foley, är att skyddsfunktionen UAC fungerar annorlunda i den beta av Windows 7 som är ute nu. Två allvarliga brister har upptäckts. Dels kan skadlig kod stänga av UAC. Dels kan skadlig kod höja sina privilegier (auto-elevate) utan att användaren varnas.
Och det officiella svaret från Microsoft var fram tills nyligen att det ska vara så. Den nya grundinställningen i UAC är så ”by design”.
- Detta är inte en sårbarhet. Syftet med förinställningen i Windows 7 är att användaren inte ska behöva klicka i dialogrutor så fort han eller hon ändrar i Windows inställningar. Det enda sättet att något kan ändras utan att användaren får reda på det är om det redan körs skadlig kod i datorn. Då måste något annat ha gått sönder först, skriver Microsoft i sitt officiella uttalande.
Detta går emot den vanligaste uppfattningen om IT-säkerhet idag, säkerhet i flera lager. Det vill säga att skyddet ska bestå i flera lager och om ett lager sviker ska det inte innebära att hela datorn smittas.
Senare har Microsoft backat lite om hur UAC ska fungera. Nu ska användaren varnas om någon process ändrar sina privilegier.
På Microsoft i Sverige säger Daniel Akenine att problemet är att göra UAC lätt för användaren utan att sänka säkerheten.
- Jag tycker att man här har sett att betaperioden har gett bra feedback ifrån användare om hur man vill UAC skall fungera. Som ett resultat kommer i Release Candidate av Windows 7 två förändringar i UAC. Dels kommer det ges en UAC prompt för att starta kontrollpanelen för UAC. Dels kommer en förändring av nivån ytterligare kräva en prompt. Det vill säga att två saker i UAC kommer att ändras från Beta till Release Candidate. UAC kommer att köras i en process som kräver elevation. Det vill säga att du blir promtad när du startar UAC. Och alla ändringar i UAC kommer i sin tur kräva elevation. Den första hade vi redan tidigare planerat att införa. Den andra är något vi inför efter användares feedback, säger Daniel Akenine.
Han håller till stor del med om den bild som Mary Jo Foley målar upp i sin blogg på Zdnet. Men han lovar att Windows 7 ska vara bättre på att förhindra skadlig kod från att komma in från början.
- Det som Mary Jo beskriver då skadlig kod sedan försöker manipulera UAC kommer vi att adressera genom ovan förändringar. Det är också viktigt att framhålla att om man är administratör så har man rättigheter att köra vilka program som helst - inklusive fientlig kod som manipulerar systemet på olika sätt. Trots att UAC ger ett visst skydd så behöver man som komplement även skydda sig via våra eller andras antivirusprodukter, säger Daniel Akenine.
Fotnot:
Artikeln har uppdaterats för att spegla att Microsoft bytt synpunkt om hur UAC ska interagera med användaren.
