Tuesday, February 27th, 2007...12:58 am

UAC lubiany, UAC znienawidzony….

Jump to Comments

Tytuł wyszedł trochę przydługi. W zasadzie jakiś czas temu miałem napisać o poście Marka Russinovicha i postach Joanny Rutkowskiej. W temacie UAC i nie tylko. W tak zwanym międzyczasie jednak jeszcze nazbierało się kilka innych wiadomości i wyszło mi, że napiszę trochę ogólnie a trochę technicznie w temacie UAC.

User Account Control (UAC) jest to rozwiÄ…zanie wprowadzone w Vista w celu:

  • umożliwienia pracy w systemie z uprawnieniami zwykÅ‚ego użytkownika a nie administratora,
  • prostego i bezpiecznego sposobu na podniesienie w razie potrzeby uprawnieÅ„ do poziomu administratora.

czyli w zasadzie do tego, co umożliwiają mechanizmy znane chociażby ze świata Unix \ Linux.


Jeżeli ktoÅ› pracowaÅ‚ z wczesnymi wersjami Vista to zgodzi sie zapewne, że UAC w okolicach Beta 2 byÅ‚ niezwykle uciążliwy w użyciu. W wersjach RC byÅ‚o lepiej, w wersji RTM jest już – jeżeli chodzi o wygodÄ™ pracy z UAC – wedÅ‚ug mnie bardzo dobrze. Nie wiem skÄ…d biorÄ… siÄ™ narzekania na uciążliwość pracy z UAC. W codziennej pracy raczej dialogu wyÅ›wietlanego przez UAC nie oglÄ…dam, a pracujÄ™ z Vista co najmniej 10-12 godzin dziennie.

OczywiÅ›cie jest to tylko i wyÅ‚Ä…cznie moje odczucie i to bardzo subiektywne. Może po prostu moja praca z komputerem nie polega na ciÄ…gÅ‚ej instalacji oprogramowania \ sterowników i uruchamianiu narzÄ™dzi administracyjnych. Podejrzewam jednak, że w dużej części przypadków narzekanie na uciążliwość UAC jest po prostu “obowiÄ…zkiem” zwiÄ…zanym z przyzwyczajenia do ciÄ…gÅ‚ej pracy na koncie administratora (o czym trochÄ™ dalej).


Tyle w zasadzie w kwestii uwag, co do “używalnoÅ›ci” mechanizmu UAC. Teraz przejdźmy do konkretów…


JakiÅ› czas temu na blogu “Invsible Things” Joanna Rutkowska (JR) napisaÅ‚a post w temacie UAC, sposobu jego implementacji i potencjalnych zagrożeÅ„ z tym zwiÄ…zanych. Tak siÄ™ jakoÅ› zÅ‚ożyÅ‚o, że w miÄ™dzyczasie miaÅ‚em okazjÄ™ za “wielkÄ… wodÄ…” być na prezentacji Marka Russinovicha (MR) w tym temacie (zresztÄ… bardzo interesujÄ…cej, wiÄ™c każdego kto bÄ™dzie miaÅ‚ okazjÄ™ zachÄ™cam do wybrania siÄ™ – z tego co wiem najbliższa taka okazja jest w marcu W UK). Mark zresztÄ… opublikowaÅ‚a też zaraz na swoim blogu artykuÅ‚ omawiajÄ…cy mechanizmy UAC i jego implementacjÄ™, w zasadzie można przyjąć że w odpowiedzi na post na blogu Joanny, ale z tego co mówiÅ‚ w okolicach prezentacji wynikaÅ‚o, że jego post byÅ‚ już wczeÅ›niej gotowy (nie odnosiÅ‚ sie do blogu Joanny, po prostu mówiÅ‚ że ma to napisane od jakiegoÅ› czasu).


W temacie UAC i podnoszonych przez JR muszę się przynajmniej częściowo z nią zgodzić. Ze swojej strony również chętnie bym widział możliwość uruchomienia pliku instalatora na uprawnieniach niższych niż uprawnienia administratora. Mam nadzieję, że możliwość ta zostanie kiedyś udostępniona w ramach UAC.

Swoja drogą polecam też wywiad z Joanną Rutkowską w Computerworld.


W opublikowanym niedÅ‚ugo potem poÅ›cie na swoim blogu, MR opisaÅ‚ w miarÄ™ dokÅ‚adnie mechnizm dziaÅ‚ania UAC i mechanizmów takich jak wirtualizacja Å›rodowiska procesu czy poziomy integralnoÅ›ci zaimplementowane w Vista. Z postu MR wynika jednak przesÅ‚anie \ wiadomość, która dla wielu może być szokujÄ…ca (w naszym kraju powinno siÄ™ w zasadzie chyba pisać “porażajÄ…ca” :) ) – UAC nie powinien być rozważany jako granica bezpieczeÅ„stwa (security boundary).


(…)It should be clear then, that neither UAC elevations nor Protected Mode IE define new Windows security boundaries(…)

Stwierdzenie to zresztą szybko doczekało się riposty ze strony JR, i raz jeszcze muszę się z częścią przynajmniej tych stwierdzeń zgodzić.

Jednak czy to przewraca Å›wiat zwiÄ…zany z Vista do góry nogami? WedÅ‚ug mnie nie (ale ja pewnie jestem stronniczy :) ). Moim skromnnym zdaniem (a przynajmniej mam takÄ… nadziejÄ™), z którym zapewne nikt z zespoÅ‚u zajmujÄ…cego siÄ™ tworzeniem UAC siÄ™ nie zaznajomi, takie postawienie sprawy nie spowoduje, że Microsoft nie bÄ™dzie traktowaÅ‚ problemów z UAC jako problemów “nie zwiÄ…zanych” z bezpieczeÅ„stwem systemu. WrÄ™cz przeciwnie, mam nadziejÄ™ że bÄ™dÄ… je jak najbardziej w ten sposób traktowali.


Podstawowym problemem z UAC w tej chwili wydaje mi się nie sama techniczna implementacja lub architektura systemu (która niestety w dużej mierze wynika też z konieczności zachowania kompatybilności wstecz), lecz problem związany z edukacją i przyzwyczajeniami użytkowników. Większość z osób instalujących Vista w chwili obecnej, a można przyjąć, że na pierwszy rzut instalują ją osoby bardziej obeznane z systemami operacyjnymi, po prostu wyłącza ten mechanizm lub nie usuwa swojego konta z grupy administratorów (wiem, to jest błąd, że domyślnie tworzone konto w trakcie instalacji w tej grupie się znajduje, powinniśmy tworzyć dwa konta conajmniej, jedno bez przywilejów). Wynika to z lat przyzwyczajeń do pracy w systemie Windows na uprawnieniach administratora. Trudno jakoś teraz przyzwyczaić się do tego, że takich przywilejów nie posiadamy.

Dowodem tego niech będzie chociażby jeden z ostatnich (w chwili pisania tego posta) wątków na wss.pl. Jak można tam przeczytać:

(…)

A moim zdaniem UAC jest dobrym rozwiązaniem, ale czy najlepszym to bym polemizował. Lepszym chyba rozwiazaniem była praca na koncie zwykłego użytkownika, natomiast gdy chciałeś wykonać zadanie wymagające uprawnień admina musiałeś znać hasło.

(…)

Co jest dokładnie opisem działania UAC, tylko pod warunkiem, że Twoje konto nie należy do grupy administratorów.

Tak wiÄ™c najwiÄ™kszym wyzwaniem zwiÄ…zanym ze zmianami wprowadzonymi w Vista może być nie tyle ich techniczna podatność na ataki (nie Å‚udźmy siÄ™, każde zabezpieczenie prÄ™dzej czy później zostanie zÅ‚amane – to taka niekoÅ„czÄ…ca siÄ™ gra :) ), co zmiana nastawienia i przyzwyczajeÅ„ użytkowników i administratorów zwiÄ…zanych z użytkowniam systemów Microsoft. Przecież Å‚atwiej jest dodać użytkownika do rupy administratorów, niż dociekać dlaczego dany program na uprawnieniach zwykÅ‚ego użytkownika nie dziaÅ‚a (a to jest naprawdÄ™ czÄ™sta praktyka).

Prace na koncie zwykłego użytkownika w Vista można uczynić jeszcze bardziej bezpieczną niż wynika to z domyślnych ustawienia UAC. Można chociażby:

  • wymusić konieczność użycia Ctrl+Alt+Del w celu uzyskania dostÄ™pu do ekranu z możliwoÅ›ciÄ… wprowadzenia poÅ›wiadczeÅ„ administratora,
  • użyć funkcjonalnoÅ›ci przeÅ‚Ä…czania użytkowników w przypadku koniecznoÅ›ci pracy na koncie administratora.

Obie te opcje jednak majÄ… jednÄ… zasadniczÄ… wadÄ™ dla wiÄ™kszoÅ›ci użytkowników – sÄ… mniej wygodne w użyciu. Dlatego wydaje mi siÄ™, że akurat UAC jest w przypadku obecnego systemu dobrym kompromisem pomiÄ™dzy wygodÄ… używania a bezpieczeÅ„stwem systemu. Ale jak mówiÄ™, to jest wyÅ‚Ä…cznie moja, oparta na subiektywnych odczuciach ocena.

PS #1: piszę ten tekst na komputerze z Vista, gdzie moje konto domenowe nie należy do grupy Administratorów lokalnych, UAC jest włączony. I tak od czasu wyjścia RTM zostaje. Wcześniej moje konto było w grupie lokalnych administratorów przy włączonym UAC, ale miało to związek bardziej z tym jak UAC działał we wcześniejszych wersjach.

PS #2: W zasadzie to nie wiem czy uda mi się przetłumaczyć ten tekst na potrzeby mojego angielskiego bloga. Chyba czas rozdzielać zawartość:).

PS #3: Nie wiem czy udaÅ‚o mi siÄ™ przekazać to co chodziÅ‚o mi po gÅ‚owie. W nastÄ™pnym tekÅ›cie, który siÄ™ wÅ‚aÅ›nie “gotuje” chciaÅ‚em przyjrzeć siÄ™ jednemu z praktycznych aspektów nowych mechanizmów w Vista. Mam nadziejÄ™, że do jutra uda mi siÄ™ go naskrobać.

PS #4: dÅ‚ugie to coÅ› wyszÅ‚o …


Leave a Reply