Опрос
Ждете ли вы выхода привычных ноутбуков на новой Windows 10X?

Microsoft отрицает уязвимость UAC в Windows 7

Напечатать страницу
03.02.2009 09:54 | Galaxer

Я не совсем уверен, что я и Microsoft говорит об одном и том же, но вчера я получил по электронной почте послание в ответ на заметку об уязвимости UAC в Windows 7, о которой я поведал несколькими днями раньше. Microsoft продолжает настаивать, что никакой уязвимости нет, что поведение системы полностью соответствует запланированному и что никаких изменений в финальную версию Windows 7 внесено не будет.

Итак, цитирую полученное от Microsoft сообщение:

"Это не уязвимость. По умолчанию UAC настроен так, чтобы при попытке внести изменения в настройки системы диалога UAC не возникало. Сюда входит и настройка самого UAC, когда пользователь решает, как и когда будут выводиться предупреждения.

Microsoft получила огромное количество откликов и замечаний, касающихся порядка вывода и количества предупреждений UAC, и изменила поведение системы в соответствии с этими откликами.

UAC предназначен для того, чтобы пользователи без административных прав могли спокойно запускать программы именно как пользователи, "стандартные пользователи", как мы это называем. Такая возможность повышает безопасность использования ПО и снижает общую стоимость владения им (ТСО — Total Cost of Ownership, общая стоимость владения или содержания, напр., парка ПК. — прим. перев.).

Изменить такое поведение без ведома пользователя можно только в случае, если вредоносный код уже запущен в системе."



Единственной причиной того, что я предал огласке ситуацию с поведением UAC, является озабоченность тех, кто в частном порядке тестирует бета-версию Windows 7. Им и раньше не нравилось, как Microsoft относится к их беспокойству по тому или иному поводу, но, похоже, ничего в этом смысле не изменилось.

Чего я никак не могу понять, так это почему в Редмонде так легкомысленно относятся к указанной ситуации. Результат запуска сценария на Visual Basic, который мы с Рафаэлем получили в качестве доказательства наличия уязвимости, очевиден настолько, насколько это вообще возможно. Зловредное приложение может, в отличие от нашего, оказаться совершенно бесшумным и невидимым, вдобавок, может оказаться способным загружать дополнительные вредоносные программы, а после перезагрузки ПК вообще запустится с полными правами администратора.

Доводы Microsoft основаны на том — и в этой части я с ними согласен — что речь идет о пользователе, а он обязан иметь намерение загрузить и запустить какую-либо программу, чтобы она была загружена и запущена. Однако таким "пользователем" может вполне оказаться программа со стандартными пользовательскими правами на загрузку и запуск других приложений, и в этом случае никаких предупреждений со стороны системы не последует.

Как можно не считать уязвимостью возможность для приложения с ограниченным доступом полностью отключать контроль доступа к свойствам безопасности системы для других приложений? Повторяю — приложение само по себе имеет ограничения по доступу к свойствам безопасности! Кажется, некоторые люди просто не понимают, о чем речь.

Если бы Microsoft учла мои замечания, то на последней линии обороны, перед тем, как UAC будет (без предупреждения!) отключен приложением с ограниченным доступом, у пользователя появился бы еще один шанс не допустить отключения. Один шанс все же лучше, чем ни одного.

Один из читателей попросил меня уточнить, в каких условиях упомянутая уязвимость проявляется. Для этого пользователь должен состоять в группе "Администраторы", а не "Обычные (стандартные) пользователи". В последнем случае система попросит пользователя ввести пароль администратора. В свое оправдание — почему я уверен в том, что мы имеем дело с серьезной уязвимостью — скажу следующее: по умолчанию пользователь, инициирующий установку, работу и настройку системы, и в Windows Vista, и в Windows 7 состоит в группе "Администраторы". Уверен, что большинство домашних пользователей и в дальнейшем продолжают работу именно под этой учетной записью.


Источник: http://www.istartedsomething.com
Перевод: Galaxer

Комментарии

Не в сети

Сейчас попробовал изменить настройки UAC на "не предупреждать никогда" - система действительно не спросила моего подтверждения, а просто высветила балун, что изменения вступят в силу после перезагрузки. Хотя на кнопке щит нарисован. Одно из двух - или я чего-то не понимаю, или Майкрософт чего-то не понимает...

03.02.09 10:15
0
Не в сети

То кричат что UAC бесполезная фигня и только всех раздрожает, а то оказывается чуть ли не последняя линия обороны в Windows Vista и 7.

03.02.09 10:38
0
Не в сети

Напоминает какие-то детские вопли. Не дали юному хацкеру леденец-сосунец от Микрсофта. ))

03.02.09 10:56
0
Не в сети

newfriend, очевидно это просто попытка хоть как-нибудь донести мысль до MS. Пусть даже путём разжевывания материала до состояния тюри. Потому что иначе UAC полностью теряет хоть какую-то пользу. Если любая вредоносная программа сможет его выключить - то смысл в нём?..

03.02.09 11:06
0
Не в сети

Народ сам не понимает чего хочет! То отключи, то включи. Тем более большинство "орало", что мол UAC надоедливый и бесполезный!
Не думаю что это такая проблема! Если бы скрипт работал так просто, то можно было бы и с диалогом спокойно справиться! Да и домохозяйка увидящая диалог - "Ты точно хочешь отключить UAC?!" ответит ДА =)

03.02.09 11:37
0
Не в сети

Те, кто орали - те и сейчас будут орать, такие люди всегда найдут что-нибудь раздражающее Речь не о них, а о тех, кто не отключал UAC. Для них UAC в Windows 7 станет бесполезен в плане защиты.

Скрипт работает именно что так просто. Только что я запустил его - и он отключил уведомления UAC без малейшего запроса. При этом в скрипте стоят постоянные задержки - Sleep. Если их подсократить, то пользователь ничего сделать не успеет. А если программа ещё и подождёт в течении нескольких минут пока не перестанут поступать сообщения от мышки и клавиатуры - т.е. когда пользователь отошёл от компьютера - то пользователь даже ничего не заметит. А потом заносим себя в автозагрузку, даём команду на перезагруку винды - и вуаля. Наша программа запускается при старте с полными правами.

Смысл Secure Desktop'а в UAC'е как раз в том, что когда появляется запрос UAC'а, то программы и скрипты не могут управлять мышкой и клавиатурой и следовательно не могут сэмулировать пользовательские действия. Если бы MS просто тупо показала этот запрос - один раз для окончательного подтверждения отключения UAC'а, то и проблемы бы не было...

03.02.09 12:04
0
Не в сети

Я у себя сразу поменял на уведомлять всегда. В этом случае UAC работает так же, как и на Висте. И никакая программа его отключить не сможет.

03.02.09 14:18
0
Не в сети

Вообще-то у Microsoft это уже входит в привычку: игнорировать отзыва пользователи о серьёзных недостатках их продуктов. Я уже писал о моём случае на форуме в теме про Vista SP2. Возможно что прибыль Microsoft от 2-го полгодия 2008г оказалась значительно ниже чем предполагалось(даже с учётом кризиса), поэтому они решили:
1. Перенести даты релизов всех своих продуктов
2. Закрыть или по крайней мере начать игнорировать отзывы позователей через CPP дабы снизить нагрузку на свой персонал.

03.02.09 15:19
0
cos +1
Не в сети

Frost.khv
то можно было бы и с диалогом спокойно справиться!
Ты путаешь. Предлагается не просто диалог, а тот самый Secure Desktop, а с ним простой скрипт в принципе не справится!

03.02.09 15:50
0
Не в сети

cos
Ага, ошибся!

03.02.09 15:55
0
Не в сети

stanisluv
нет, просто иногда крики у людей диаметрально противоположные, приходится им искать консенсус

*иногда лучше жевать*

03.02.09 17:24
0
Не в сети

А как сделать чтоб секьюр скрин работал, но при этом не затенялся или затенялся лишь слегка? А то меня бесят эти световые эффекты.
Я в принципе на висте через твикер давно сделал чтобы без затемнения выводилось окно уака, но сейчас прочитал и думаю, а может оно полностью выключилось и просто бесполезное окошко выводит?

03.02.09 17:34
0
Не в сети

Даёшь UAC как в 6801!!! Без затемнения!!!

03.02.09 17:42
0
Не в сети

Deja_Vu Это само собой, но когда ты тестируешь продукт и находишь явные баги, а тебе говорят что это так и должно быть то это уже явный бред получается. Вот приведу гипотетический пример: ты тестируешь IE8, потом происходит по непонятной причине крах системы. Ты её пытешься переустановить, но устновка постоянно зависает. В конце концов ты выясняешь, что это происходит из-зи установленного IE8 и единственный способ установить ОС это перефоратировть диск. Ты сообщаешь об этом в MS, а они тебе говорят что так и должно быть и это вовсе не баг а нормальное поведение системы. В результате получаем такую ситуацию: при серьёзных проблемах с системой тебе каждый раз надо форматировть диск или просто не устанавливать IE8.

03.02.09 17:46
0
Не в сети

Andrey100---Поддерживаю.Я у себя тоже сразу UAC сразу на max поставил.Лично мне не в лом при запуске какой-либо проги щелкнуть лишний раз мышкой.А по поводу статьи я все-же думаю что MS закроет такую огрешность до релиза...А если посмотреть с другой стороны---к примеру Админ на рабочем компе полюбому UAC на max поставит,что-бы ему меньше работы потом было с излишне любопытными пользователями.Значит и его и пользовательская учетка будет полностью защищена...

03.02.09 17:50
0
Не в сети

По мне так лучше реализовали бы возможность небольшой настройки UAC, скажем если какая-то кривая программа требует для своего запуска административных прав и вы знаете что это за программа, что она делает и вы уверены что вам необходимо ее использовать, то чтобы можно было проставить например галку не показывать диалога подтверждения при запуске этой программы. Это было бы намного лучше, чем регулировать уровни уведомлений, тем более если уровень защиты не установлен на самый высокий, то ее запросто можно отключить скриптом.

03.02.09 17:51
0
Не в сети

Однако. Оказывается, UAC всё же полезен. Признаюсь - эта статья заставила меня пересмотреть своё отношение к этой системе защиты. Возможно Microsoft игнорирует подобные замечания по каким-то своим причинам, нам неизвестным. Но я надеюсь, что объяснение этому найдётся...

03.02.09 17:55
0
Не в сети

А еще не забываем что у нас у всех стоят антивирусные программы, которые на сегодняшний день в принципе доросли до достойного уровня и пройти мимо них подобным скриптам без ведома пользователя довольно проблематично(если конечно пользователь сам этого не захочет).Даже если MS не закроет дырку то можно предположить что разработчики антивирусного програмного обеспечения быстренько перекроют даннную огрешность своими силами.(будем надеятся)

03.02.09 17:59
0
Не в сети

Andrey100,
Norton User Account Control tool делает именно это.

03.02.09 18:12
0
Не в сети

Насчет уровня антивирусных программ -даже не знаю, у меня пару дней назад два знакомых жаловались, что Касперский прихлопнул WinRAR.... обозвав его трояном. Вот уж точно - самая опасная программа))) Думал, может хакнутый, нет - самый обычный - скачанный с оффсайта. Попытка добавить WinRAR к исключениям с треском провалилась, даже после этого при попытке что-нибудь разархивировать система плакалась, что не может получить доступ к файлу...

03.02.09 18:58
0
Не в сети

Dark_Diver,
может он и делает, только у меня с некоторых пор очень негативное отношение к продуктам этого производителя.

03.02.09 19:02
0
Не в сети

У уважающих себя компаний обычно есть бета-програмы через которые пользователи сообщают о разного вида ошибках в антивирусных базах и движках. У меня так с McAfee было. McAfee Virus-Scan определил, что старый QIP содержит в себе троян. Я им об этом написал и не прошло и недели как они эту ошибку исправили.

03.02.09 20:25
0
Не в сети

Andrey100, я нагуглил название трояна которым называет каспер winrar и написано что ошибка в базах....Неделю назад такое было, тоже качал с офф сайта тоже трояном обзывал. Пришлось поставить 7zip.

А если по теме, то я думаю, МС сама разберется в своих заморочках с УАК.Ведь это она определяет принцип работы.

03.02.09 22:24
0
Не в сети

Ошибку с ложным срабатыванием каспера на WinRAR исправили в тот же день.
Norton User Account Control tool, в отличие от многих раздутых симантековских продуктов, очень неплохая софтина.
По моему мнению, UAC должен быть где-то именно таким.

04.02.09 15:40
0
Для возможности комментировать войдите в 1 клик через

По теме

Акции MSFT
213.25 0.00
Акции торгуются с 17:30 до 00:00 по Москве
Все права принадлежат © ms insider @thevista.ru, 2020
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.144 секунд (Общее время SQL: 0.067 секунд - SQL запросов: 93 - Среднее время SQL: 0.00072 секунд))
Top.Mail.Ru