Tuesday, February 27th, 2007...12:58 am
UAC lubiany, UAC znienawidzony….
Tytuł wyszedł trochę przydługi. W zasadzie jakiś czas temu miałem napisać o poście Marka Russinovicha i postach Joanny Rutkowskiej. W temacie UAC i nie tylko. W tak zwanym międzyczasie jednak jeszcze nazbierało się kilka innych wiadomości i wyszło mi, że napiszę trochę ogólnie a trochę technicznie w temacie UAC.
User Account Control (UAC) jest to rozwiÄ…zanie wprowadzone w Vista w celu:
- umożliwienia pracy w systemie z uprawnieniami zwykłego użytkownika a nie administratora,
- prostego i bezpiecznego sposobu na podniesienie w razie potrzeby uprawnień do poziomu administratora.
czyli w zasadzie do tego, co umożliwiają mechanizmy znane chociażby ze świata Unix \ Linux.
Jeżeli ktoś pracował z wczesnymi wersjami Vista to zgodzi sie zapewne, że UAC w okolicach Beta 2 był niezwykle uciążliwy w użyciu. W wersjach RC było lepiej, w wersji RTM jest już - jeżeli chodzi o wygodę pracy z UAC - według mnie bardzo dobrze. Nie wiem skąd biorą się narzekania na uciążliwość pracy z UAC. W codziennej pracy raczej dialogu wyświetlanego przez UAC nie oglądam, a pracuję z Vista co najmniej 10-12 godzin dziennie.
OczywiÅ›cie jest to tylko i wyÅ‚Ä…cznie moje odczucie i to bardzo subiektywne. Może po prostu moja praca z komputerem nie polega na ciÄ…gÅ‚ej instalacji oprogramowania \ sterowników i uruchamianiu narzÄ™dzi administracyjnych. Podejrzewam jednak, że w dużej części przypadków narzekanie na uciążliwość UAC jest po prostu “obowiÄ…zkiem” zwiÄ…zanym z przyzwyczajenia do ciÄ…gÅ‚ej pracy na koncie administratora (o czym trochÄ™ dalej).
Tyle w zasadzie w kwestii uwag, co do “używalnoÅ›ci” mechanizmu UAC. Teraz przejdźmy do konkretów…
JakiÅ› czas temu na blogu “Invsible Things” Joanna Rutkowska (JR) napisaÅ‚a post w temacie UAC, sposobu jego implementacji i potencjalnych zagrożeÅ„ z tym zwiÄ…zanych. Tak siÄ™ jakoÅ› zÅ‚ożyÅ‚o, że w miÄ™dzyczasie miaÅ‚em okazjÄ™ za “wielkÄ… wodÄ…” być na prezentacji Marka Russinovicha (MR) w tym temacie (zresztÄ… bardzo interesujÄ…cej, wiÄ™c każdego kto bÄ™dzie miaÅ‚ okazjÄ™ zachÄ™cam do wybrania siÄ™ - z tego co wiem najbliższa taka okazja jest w marcu W UK). Mark zresztÄ… opublikowaÅ‚a też zaraz na swoim blogu artykuÅ‚ omawiajÄ…cy mechanizmy UAC i jego implementacjÄ™, w zasadzie można przyjąć że w odpowiedzi na post na blogu Joanny, ale z tego co mówiÅ‚ w okolicach prezentacji wynikaÅ‚o, że jego post byÅ‚ już wczeÅ›niej gotowy (nie odnosiÅ‚ sie do blogu Joanny, po prostu mówiÅ‚ że ma to napisane od jakiegoÅ› czasu).
W temacie UAC i podnoszonych przez JR muszę się przynajmniej częściowo z nią zgodzić. Ze swojej strony również chętnie bym widział możliwość uruchomienia pliku instalatora na uprawnieniach niższych niż uprawnienia administratora. Mam nadzieję, że możliwość ta zostanie kiedyś udostępniona w ramach UAC.
Swoja drogą polecam też wywiad z Joanną Rutkowską w Computerworld.
W opublikowanym niedÅ‚ugo potem poÅ›cie na swoim blogu, MR opisaÅ‚ w miarÄ™ dokÅ‚adnie mechnizm dziaÅ‚ania UAC i mechanizmów takich jak wirtualizacja Å›rodowiska procesu czy poziomy integralnoÅ›ci zaimplementowane w Vista. Z postu MR wynika jednak przesÅ‚anie \ wiadomość, która dla wielu może być szokujÄ…ca (w naszym kraju powinno siÄ™ w zasadzie chyba pisać “porażajÄ…ca” 
) - UAC nie powinien być rozważany jako granica bezpieczeństwa (security boundary).
(…)It should be clear then, that neither UAC elevations nor Protected Mode IE define new Windows security boundaries(…)
Stwierdzenie to zresztą szybko doczekało się riposty ze strony JR, i raz jeszcze muszę się z częścią przynajmniej tych stwierdzeń zgodzić.
Jednak czy to przewraca Å›wiat zwiÄ…zany z Vista do góry nogami? WedÅ‚ug mnie nie (ale ja pewnie jestem stronniczy ). Moim skromnnym zdaniem (a przynajmniej mam takÄ… nadziejÄ™), z którym zapewne nikt z zespoÅ‚u zajmujÄ…cego siÄ™ tworzeniem UAC siÄ™ nie zaznajomi, takie postawienie sprawy nie spowoduje, że Microsoft nie bÄ™dzie traktowaÅ‚ problemów z UAC jako problemów “nie zwiÄ…zanych” z bezpieczeÅ„stwem systemu. WrÄ™cz przeciwnie, mam nadziejÄ™ że bÄ™dÄ… je jak najbardziej w ten sposób traktowali.
Podstawowym problemem z UAC w tej chwili wydaje mi się nie sama techniczna implementacja lub architektura systemu (która niestety w dużej mierze wynika też z konieczności zachowania kompatybilności wstecz), lecz problem związany z edukacją i przyzwyczajeniami użytkowników. Większość z osób instalujących Vista w chwili obecnej, a można przyjąć, że na pierwszy rzut instalują ją osoby bardziej obeznane z systemami operacyjnymi, po prostu wyłącza ten mechanizm lub nie usuwa swojego konta z grupy administratorów (wiem, to jest błąd, że domyślnie tworzone konto w trakcie instalacji w tej grupie się znajduje, powinniśmy tworzyć dwa konta conajmniej, jedno bez przywilejów). Wynika to z lat przyzwyczajeń do pracy w systemie Windows na uprawnieniach administratora. Trudno jakoś teraz przyzwyczaić się do tego, że takich przywilejów nie posiadamy.
Dowodem tego niech będzie chociażby jeden z ostatnich (w chwili pisania tego posta) wątków na wss.pl. Jak można tam przeczytać:
(…)
A moim zdaniem UAC jest dobrym rozwiązaniem, ale czy najlepszym to bym polemizował. Lepszym chyba rozwiazaniem była praca na koncie zwykłego użytkownika, natomiast gdy chciałeś wykonać zadanie wymagające uprawnień admina musiałeś znać hasło.
(…)
Co jest dokładnie opisem działania UAC, tylko pod warunkiem, że Twoje konto nie należy do grupy administratorów.
Tak więc największym wyzwaniem związanym ze zmianami wprowadzonymi w Vista może być nie tyle ich techniczna podatność na ataki (nie łudźmy się, każde zabezpieczenie prędzej czy później zostanie złamane - to taka niekończąca się gra ), co zmiana nastawienia i przyzwyczajeń użytkowników i administratorów związanych z użytkowniam systemów Microsoft. Przecież łatwiej jest dodać użytkownika do rupy administratorów, niż dociekać dlaczego dany program na uprawnieniach zwykłego użytkownika nie działa (a to jest naprawdę częsta praktyka).
Prace na koncie zwykłego użytkownika w Vista można uczynić jeszcze bardziej bezpieczną niż wynika to z domyślnych ustawienia UAC. Można chociażby:
- wymusić konieczność użycia Ctrl+Alt+Del w celu uzyskania dostępu do ekranu z możliwością wprowadzenia poświadczeń administratora,
- użyć funkcjonalności przełączania użytkowników w przypadku konieczności pracy na koncie administratora.
Obie te opcje jednak mają jedną zasadniczą wadę dla większości użytkowników - są mniej wygodne w użyciu. Dlatego wydaje mi się, że akurat UAC jest w przypadku obecnego systemu dobrym kompromisem pomiędzy wygodą używania a bezpieczeństwem systemu. Ale jak mówię, to jest wyłącznie moja, oparta na subiektywnych odczuciach ocena.
PS #1: piszę ten tekst na komputerze z Vista, gdzie moje konto domenowe nie należy do grupy Administratorów lokalnych, UAC jest włączony. I tak od czasu wyjścia RTM zostaje. Wcześniej moje konto było w grupie lokalnych administratorów przy włączonym UAC, ale miało to związek bardziej z tym jak UAC działał we wcześniejszych wersjach.
PS #2: W zasadzie to nie wiem czy uda mi się przetłumaczyć ten tekst na potrzeby mojego angielskiego bloga. Chyba czas rozdzielać zawartość:).
PS #3: Nie wiem czy udaÅ‚o mi siÄ™ przekazać to co chodziÅ‚o mi po gÅ‚owie. W nastÄ™pnym tekÅ›cie, który siÄ™ wÅ‚aÅ›nie “gotuje” chciaÅ‚em przyjrzeć siÄ™ jednemu z praktycznych aspektów nowych mechanizmów w Vista. Mam nadziejÄ™, że do jutra uda mi siÄ™ go naskrobać.
PS #4: dÅ‚ugie to coÅ› wyszÅ‚o …
Leave a Reply