Poprawka UAC w Windows 7 tworzy lukę bezpieczeństwa, Blogger mówi

Zmiana, którą Microsoft wprowadził w systemie Windows 7 w celu poprawy kontrowersyjnej funkcji zabezpieczeń Kontroli konta użytkownika, sprawiła, że ​​nowy system operacyjny stał się mniej bezpieczny, jak twierdzi bloger, który ściśle podąża za Microsoft.

Microsoft wprowadził zmianę do UAC, funkcja, która została wprowadzona w systemie Windows Vista, aby była bardziej przyjazna dla użytkownika w Windows 7. Ale zmiana pozwoliła na "proste, ale genialne zastąpienie", które wyłącza UAC bez żadnych działań ze strony użytkownika, zgodnie z Zacząłem blog napisany przez długoletniego obserwatora Microsoft Long Zheng.

Microsoft dodał UAC do Visty, aby poprawić jego bezpieczeństwo i dać ludziom, którzy są głównymi użytkownikami komputera, większą kontrolę nad jego aplikacjami i ustawieniami. UAC uniemożliwia użytkownikom bez uprawnień administracyjnych wprowadzanie nieautoryzowanych zmian w systemie. Jednak ze względu na sposób skonfigurowania go w systemie Vista UAC czasami uniemożliwia nawet autoryzowanym użytkownikom dostęp do aplikacji i funkcji, do których normalnie powinni mieć dostęp.

Czyni to poprzez serię monitów ekranowych, które wymagają od użytkownika weryfikacji przywilejów i może wymagać od nich podania hasła do wykonania zadania. Może to zakłócić przepływ pracy ludzi, nawet podczas niektórych przyziemnych zadań, o ile nie są ustawione jako Lokalni administratorzy. Komunikaty UAC stały się tak problematyczne, że Apple nawet je sfałszował w reklamie telewizyjnej, a Microsoft obiecał ulepszyć tę funkcję w Windows 7.

Windows 7 nadal jest w wersji beta i nie powinien być wysyłany do końca tego lub następnego roku. Microsoft wydał wersję beta na początku tego miesiąca i przedstawił zmiany w UAC na blogu Engineering Windows 7.

Zmiany zmieniają domyślne ustawienia UAC, i tam właśnie leży ryzyko bezpieczeństwa, zgodnie z Zheng.

Jak wyjaśnił W swoim poście, domyślnym ustawieniem UAC w Windows 7 jest "Powiadom mnie tylko wtedy, gdy programy próbują wprowadzić zmiany na moim komputerze" i "Nie powiadamiaj mnie, kiedy dokonuję zmian w ustawieniach Windows."

UAC rozróżnia między trzecimi -party program i ustawienia systemu Windows z certyfikatem bezpieczeństwa i elementy panelu sterowania są podpisane tym certyfikatem, więc nie wyświetlają monitów, jeśli użytkownik zmienia ustawienia systemowe, napisał.

Jednak w Windows 7, zmiana UAC jest uważany za "zmianę ustawień systemu Windows", zgodnie z Zheng. To, w połączeniu z nowym domyślnym poziomem bezpieczeństwa UAC, oznacza, że ​​użytkownik nie zostanie poproszony o wprowadzenie zmian w UAC, w tym także o wyłączeniu.

Za pomocą kilku skrótów klawiszowych i niektórych kodów Zheng powiedział, że może zdalnie wyłączyć UAC bez wiedzy użytkownika końcowego.

"Z pomocą mojego kopa programisty Rafaela Rivera, stworzyliśmy w pełni funkcjonalny proof-of-concept w VBScript (byłoby to równie łatwe w C ++ EXE), aby to zrobić - emuluj kilka wejść na klawiaturze - bez monitowania UAC - napisał. "Możesz pobrać i wypróbować tutaj samemu, ale pamiętaj, że faktycznie wyłącza UAC."

Zheng opublikował także, jak powiedział, obejście problemu na swoim blogu.

Microsoft powiedział w piątek swoją firmę public relations, która zajęła się problemem i nie miała natychmiastowego komentarza.