Microsoft noemt UAC-probleem Windows 7 'ontwerpkeuze'

In de bèta van Windows 7 kan met behulp van een script eenvoudig de User Account Control-beveiliging uitgeschakeld worden, waardoor malware gemakkelijk een pc kan besmetten. Volgens Microsoft gaat het om een 'ontwerpkeuze'.

Microsoft heeft in Windows 7 het uac-mechanisme, dat voor het eerst opdook in Vista, bijgesteld. Dit is volgens de softwaregigant gedaan omdat veel Vista-gebruikers zich flink zouden ergeren aan het steeds opduikende dialoogvenster waarin het OS de gebruiker toestemming of bevestiging voor een bepaalde handeling vraagt. Om die reden biedt Microsoft in Windows 7 de mogelijkheid om met behulp van een slider de uac minder strikt af te stellen. Deze aanpassing blijkt echter de nodige beveiligingsrisico's met zich mee te brengen, zo stelt beveiligingsonderzoeker Rafael Rivera op zijn weblog.

Volgens Rivera kunnen malware-schrijvers met een eenvoudig scriptje de uac-dialoogvensters in Windows 7 uitschakelen. In een proof of concept emuleert een VBscript met behulp van SendKeys-commando's een aantal toetsaanslagen waarmee het uac-beveiligingsniveau in het configuratiescherm zonder gebruikersinteractie naar beneden wordt bijgesteld, waarna het systeem wordt herstart. In een 'geavanceerde' versie van een aanvalsscript zouden alle acties aan het zicht van de Windows 7-gebruiker kunnen worden onttrokken, zo stelt Rivera. Door het verlaagde veiligheidsniveau kan malware zich eenvoudiger in het systeem nestelen, omdat de gebruiker geen bevestigingsdialogen meer krijgt voorgeschoteld. Voorwaarde is wel dat de gebruiker onderdeel uitmaakt van de 'administrative'-groep in plaats van de 'standard'-groep. Nieuwe gebruikers worden echter standaard in de 'administrative'-groep ingedeeld.

De problemen met het uac-mechanisme zijn al bij Microsoft aangekaart, maar de softwaregigant noemt de kwestie geen kwetsbaarheid van Windows 7. Microsoft stelt dat het gaat om een bewuste ontwerpkeuze om het uac-beveiligingsniveau aanpasbaar te maken, en dat de uac alleen automatisch kan worden uitgeschakeld als er reeds kwaadaardige code in het systeem is binnengeslopen, zo meldt Istartedsomething. Onduidelijk is of Microsoft in de aanloop naar de lancering van Windows 7 het uac-mechanisme nog zal aanpassen.

UAC-slider in Windows 7

Reacties (169)

ToAoM 2 februari 2009 12:53

Als je onderzoeken leest over veiligheid en wachtwoorden, dan kom je er al snel achter dat de conclusie luidt: Vraag 1x altijd met hetzelfde schem om het wachtwoord, en daarna nooit meer zolang de gebruiker ingelogd is. Een gebruiker moet niet te gewend raken om overal maar z'n wachtwoord in te rammen.

En de tweede conclusie is, vraag een gebruiker alleen om bevestiging als de kans bestaat dat ie niet weet wat ie doet. Om dat te kunnen bepalen, moet je hetsoort gebruiker kennen en moeten de leveranciers van software netjes zorgen dat al hun executables zijn gesigned en voorzien van een lijst van potentiele handelingen die hun software doet. Als alle 'goede software bouwers' nou eens netjes alles zouden signen, alles zou voorzien van een manifest wat een duidelijk overzicht geeft, dan kan je als mens de juiste beslissing nemen.

Nu download je iets ergens vandaan, dat iets komt van een onbekende bron, zonder overzicht van consequenties en met een niet veel zeggende naam als "setup". De veilige keuze zou zijn: niet installeren, maar ja, je had het niet voor niets gedownload, fus maar gewoon op JA klikken en hopen op het beste.

Ik hoor hier niemand over firewalls en andere zaken, maar als m'n moeder iets start en de firewall vraagt of er toegang gegeven moet worden, dan klikt ze ja, niet omdat ze weet wat ze doet, maar omdat ze wil dat het werkt. en een enorme dosis aan informatie over IP adressen e.d. helpt haar niet, dus ook het niveau van de gebruiker is belangrijk om rekening mee te houden.

mijmer mijmer... als idioten nou eens zouden stoppen met het maken van malware...

Verwijderd @ToAoM • 2 februari 2009 13:24

Je oplossing van signen klinkt heel logische en veilig, maar denk je niet dat de echte malware builders niet een sign kunnen faken en zo zichzelf als "veilig" aanbieden..

Momenteel is het inderdaad vrij onlogisch hoe MS om een bevestiging van de gebruiker vraagt, het is hoogst irritant en daardoor waardeloos. Zoals al tig keer boven mij gezegd is, laat administratieve instellingen zoals UAC-instellingen bevestig worden door een wachtwoord. dat is veilig en simpel voor de gebruiker.

Zelf wacht ik tot er een eerste servicepack voor W7 uit komt voor ik van Vista overstap, gewoon om al dit soort fouten af te wachten en te zien of het nou werkelijk beter is dan ik nu gebruik. Heb hetzelfde met me overstap van Xp naar Vista gedaan en heb daar nog steeds geen spijt van, al kost het wel een kwartier extra, aan UAC-instellingen terug schroeven en een beetje overzichtelijk menu maken, voor je werkelijk kan gaan werken, maar als het werkt dan werkt het gewoon en daar gaat het om.

mrlammers 2 februari 2009 12:23

Je maakt een OS alleen veiliger als je standaard het gebruikerspassword vraagt bij een aanpassing aan het systeem. Iedere andere benadering laat ruimte voor gepruts.

Deze 'ontwerpkeuze' is dus een slechte keuze, omdat de aannames die MS hier doet, namelijk dat de standaard gebruiker weet wat het prutsen aan de slider betekent, niet valide is.
Voor tweakers is dit niet per definitie slecht. Ik hou zelf ook wel van hoog configureerbare OSsen en applicaties (daarom gebruik ik zelf thuis geen Windows en klopt er ook op mijn laptop een linux kernel). Maar ook mijn linux bakkie vraagt expliciet om 'sudo' en daarna mag ik een password invoeren. En da's niet slecht. Het maakt je bewust van waar je aan het prutsen bent.

Ik zeg: Ik ga T-shirts aanschaffen met: " No, I will not fix your computer (because MS gave you The Slider)"

Verwijderd @mrlammers • 2 februari 2009 15:50

Je maakt een OS alleen veiliger als je standaard het gebruikerspassword vraagt bij een aanpassing aan het systeem. Iedere andere benadering laat ruimte voor gepruts

Dat is dus precies wat Vista met UAC doet. En moet je eens zien hoeveel mensen (inclusief bergen tweakers) daarover klagen...

Splorky 2 februari 2009 12:40

en stikem vraag ik me af, is er met behulp van dit script niet alleen mogelijk om van lage beveiliging naar geen uac beveiliging te kunnen gaan? ik neem aan dat als je hoge beveiliging heb aan staan in de UAC instellingen dat er wel om toestemming wordt gevraagt om de instelling te veranderen. het gaat alleen maar om stoets simulator die volgens mij geen rechten heeft om een UAC bericht te accepteren zonder eerst iets van toetsenbord drivers te installeren ( waar ook UAC bevesteging voor nodig is ?)

YellowOnline 2 februari 2009 13:29

Iets wat ik hier nog nergens gelezen heb: om een malware script te draaien dat de UAC uitzet moet je wel in de eerste plaats al zulke malware hebben draaien. Dus eigenlijk gaat het hier over het feit dat een trojan in staat is om de UAC uit te schakelen. Daar is mijns inziens niets nieuws aan. Dit veiligheidsrisico is mogelijk door het feit dat UAC uit te schakelen is. Het enige alternatief lijkt mij UAC te verplichten (wat tot een storm van verontwaardiging zou leiden) of, zoals al geopperd werd, om wachtwoordbevestiging te vragen alvorens UAC uitgeschakeld wordt. In elk geval is de beveiliging wat mij betreft al eerder in de fout gegaan omdat er sowieso al code aanwezig is op het systeem die gevaarlijk is.

Edit: typo

[Reactie gewijzigd door YellowOnline op 25 juli 2024 04:24]

Verwijderd @YellowOnline • 2 februari 2009 13:48

Wachtwoorden kan je met een virus eenvoudig via een soort van keylogger krijgen. Dan zou de enige oplossing zijn om UAC te verplichten, maar dan verliezen ze echt een heleboel IT profs als windows klanten.

Verwijderd 2 februari 2009 16:16

De opduikende dialoogvensters zijn erin gebouwd voor de veiligheid. Nu maakt MS de optie om de dialoogvensters niet meer op te laten duiken, en gaat men klagen dat het veiligheidsrisico's met zich mee brengt? Lijkt me een gevalletje 1+1 = 2 nietwaar?

Net zoiets als:

Je kunt een wachtwoord instellen om je computer aan te zetten. Als je het irritant vindt dan stel je geen wachtwoord in. En dan klagen dat iedereen je computer aan kan zetten?

ChaoZero 2 februari 2009 17:22

@BeeYeF: zo is dat!

verder ben ik het eens met de linux-aanhangers onder ons. het werkt ook beter.
over het "cachen van elevation": als je een sudo uitvoert en binnen 3 seconden een andere "administratieve taak" aanroept (bijvoorbeeld sax2 openen terwijl je al aan het updaten bent) krijg je nogmaals een request for authentication.

windows 7 vind ik zelf al vooruit gegaan; minder meldingen, maar wel genoeg.
die slider is ook een goed idee, maar beveilig die dan ook met een wachtwoord.

dit is namelijk niet de keuze bieden beveiliging uit te zetten, maar meer een backdoor installeren zodat scripts datzelfde kunnen. daar slaan ze de plank toch mis lijkt mij...

resma 2 februari 2009 17:25

Ik maak op m'n Ubuntu machine ook zo een scriptje waarmee alle deuren wagenwijd open worden gezet en bijvoorbeeld via FTP of Apache files op mijn disk kunnen worden gewist/gemodificeerd. En dat is ook voor OSX geen rocketscience. Da's dus niet bijzonder voor Windows7.

Het gaat er natuurlijk om dat het eerste initiele scriptje niet wordt uitgevoerd/geactiveerd. Heeft kwaadwillende code eenmaal systeemtoegang gehad is zoiezo de ellende compleet.

Er wordt volgens mij weer druk gezocht naar redenen om MS te bashen, maar deze is werkelijk lachwekkend.

Th3Eagle 2 februari 2009 17:43

Beetje nutteloos dit. Zalig dat in windows 7 uac normaal uit gezet kan worden. Draai nu ook windows 7 en heerlijk gewoon.

Maar een risico komop zeg. Zelfs met uac aan klikken de meeste gewoon domweg op ja wat er ook word gevraagd, maw zelfs net zo gevaarlijk als dat uac niet aanstaan.

Het feit dat uac nu pas normaal kan worden uitgezet is eigenlijk al belachelijk. Beeld je eens in dat windows firewall verplicht op max aanstaat of dat bij IE alles op maximaal staat zonder dat dit aangepast kan worden (en nee in het register aanpassen vindt ik niet normaal aanpassen, normaal vindt ik wanneer je het gewoon via een menu optie kan doen en niet via een omweg bij het register).

edit: Trouwens beveiligd windows defender ons niet juist tegen dit soort ongein? Of een beetje redelijke virusscanner die de malware kan herkennen?

[Reactie gewijzigd door Th3Eagle op 25 juli 2024 04:24]

MadEgg

Besturingssystemen

@Th3Eagle • 2 februari 2009 21:28

En als er nou gewoon een fatsoenlijk veiligheids/rechten-beleid was in Windows dan hadden we überhaubt geen virusscanners of windows defender nodig...

Begrijp me niet verkeerd, het is heel fijn dat er bedrijven als McAfee en Symantec zijn die zich bezighouden met de veiligheid van software maar als je erover nadenkt is het toch eigenlijk van de zotte dat je extra programmatuur moet aanschaffen om de computer te beveiligen tegen de gigantische uitnodigende gaten waar met de ventilator lekkere geuren uit geblazen worden in het besturingssysteem?

Malantur

@MadEgg • 3 februari 2009 00:27

Vergeet niet dat een besturingssysteem vaak wel uit miljoenen regels code bestaat, waardoor de kans gewoon al groot is dat er fouten in zitten. Veel mensen gebruiken ook Windows, dus de bugs worden vaker gemerkt. Omdat Windows ook meer onprofessionele gebruikers heeft (denk aan kinderen en senioren) is Windows vaak doelwit voor malware.
Het enige wat ze kunnen doen is vaak patches uitbrengen (wat ze dan ook vaak doen), en af en toe een volledig nieuwe versie maken (brengt ineens ook nog wat geld op).

Verwijderd @Th3Eagle • 3 februari 2009 00:44

UAC heb je altijd al gewoon uit kunnen zetten in het control panel, user accounts, turn user account control on or off. Of bedoel je iets anders? Heb nooit deze klachten begrepen eigenlijk aangezien de optie daar gewoon staat.

OMEGA_ReD 2 februari 2009 12:33

Het leuke is dat je zovaak UAC meldingen krijgt (van bv Java en software van HP-Printers) die even als admin willen updaten of al tijdens het opstarten.

Dat de gebruiker er aan went om het snel weg te klikken.(zonder te lezen wat er daadwerkelijk staat)

En als bv een stukje software wat kwaadaardige code wilt uitvoeren zon UAC schermpje genereert... is de kans zeer groot dat de gebruiker gewoon op OK klikt om maar van dat "zeur schermpje" af te komen.

Het is beter dan niks maar het zou wel iets verfijnd moeten worden.

Sorry dat ik het moet zeggen maar bv in OSX of Linux is het een stuk beter geregeld.
Ik geloof dat je bij OSX en Linux helemaal geen niveaus kan kiezen alleen aan/uit zetten.
Maar hier is de balans toch iets beter tussen geen meldingen en a shit load of meldingen.

[Reactie gewijzigd door OMEGA_ReD op 25 juli 2024 04:24]

Verwijderd @OMEGA_ReD • 2 februari 2009 13:18

Het leuke is dat je zovaak UAC meldingen krijgt (van bv Java en software van HP-Printers) die even als admin willen updaten of al tijdens het opstarten.

Dat de gebruiker er aan went om het snel weg te klikken.(zonder te lezen wat er daadwerkelijk staat)

En als bv een stukje software wat kwaadaardige code wilt uitvoeren zon UAC schermpje genereert... is de kans zeer groot dat de gebruiker gewoon op OK klikt om maar van dat "zeur schermpje" af te komen.

Het is beter dan niks maar het zou wel iets verfijnd moeten worden.

Dat is dan ook niet het punt van UAC. Het punt van UAC is dat je standaard als gebruiker met beperkte rechten draait, en applicaties die geen admin-rechten nodig hebben die ook niet krijgen. Denk aan je mailclient: die heeft geen admin-rechten nodig. Als je als administrator draait (in XP en pre-UAC versies van windows) heeft je mailclient echter altijd admin rechten. En dus ook iedere exploit die je binnenhaalt.

Dankzij UAC hebben applicaties die ze niet expliciet nodig hebben ook geen administrator-rechten, wat in het geval van IE of Mail een stuk veiliger is. Die prompts zijn niet wat UAC veilig maakt, ze zijn er enkel om het elevaten makkelijker te maken dan opnieuw in te moeten loggen onder een andere account.

Helaas zijn ze wel het enige zichtbare onderdeel van UAC, en denkt iedereen dus ten onrechte dat UAC enkel daar om draait.

OMEGA_ReD @Verwijderd • 2 februari 2009 13:26

Ik ben het met je eens, maar het vervelende is is dat het in theorie heel mooi klinkt maar in de praktijk niet goed/fijn werkt.

Ik kan me voorstellen dat bv programmeurs die verkeerd programmeren steeds zo'n UAC dialoog genereren terwijl dat helemaal niet nodig is.

Dat is allemaal heel jammer maar dat word dus het probleem van de gebruiker, die steeds die irritante schermpjes ziet.

Ik denk dat MS UAC misschien een niveau te hoog heeft geplaatst en te veel van de gebruiker afhankelijk is. Wie weet had het wel wat slimmer geprogrammeerd kunnen worden zodat de logische keuzes al door UAC zelf gemaakt hadden kunnen worden.

[Reactie gewijzigd door OMEGA_ReD op 25 juli 2024 04:24]

kozue

Besturingssystemen

@OMEGA_ReD • 2 februari 2009 13:04

Hoe het in OS X zit weet ik niet, maar in Linux kun je het niet eens uit zetten. Komt omdat de security daar al vanaf de onderste lagen komt, zoals permissies in het filesystem of bepaalde kernel systemen (selinux, apparmor, etc). Nou zijn de kernel systemen meestal uit te zetten, maar permissies op het filesystem zijn niet zomaar aan te passen. Als je ergens bij wilt waar je geen rechten toe hebt moet je wel je wachtwoord opgeven (voor sudo).

Gert @kozue • 2 februari 2009 20:34

Je kan sudo prima configureren dat je geen wachtwoord nodig hebt om het uit te voeren. Ook daar is de gebruiker verantwoordelijk voor de veiligheid van het systeem.

Stoney3K 2 februari 2009 12:25

En anders gewoon terug naar de dagen van Windows XP

Het Linux-mechanisme zoals boven al gesteld is (en wat ook op OSX werkt) lijkt me trouwens een goeie oplossing. Probleem is daar alleen wel dat het installeren van programma's niet meer voor alle gebruikers kan zonder dat je je credentials moet geven. Iedereen moet dus zijn eigen collectie software aanleggen, of alle programma's als beheerder installeren.

buzzin @Stoney3K • 2 februari 2009 12:31

Eh, dat is nou juist de hele bedoeling, dat niet alle gebruikers zo maar dingen kunnen installeren

Overigens kun je met sudo van allerlei dingen instellen, zodat alleen sommige gebruikers mogen installeren, of iedereen, net wat je wil.
Sudo vraagt bij debian/ubuntu etc om een wachtwoord, dat is het wachtwoord van de gebruiker. Bij sommige anderen vraagt hij om het root wachtwoord. Net wat je zelf fijn vind. (nadeel van root wachtwoord: gebruikers hebben er niets aan, want je root wachtwoord hoor je niet vrij te geven

)

kozue

Besturingssystemen

@buzzin • 2 februari 2009 13:00

Sudo vraagt overal om je eigen wachtwoord, want het hele idee achter sudo is, dat je bepaalde taken als root uit kan voeren zonder meteen het wachtwoord te moeten krijgen (waarmee je dus overal bij kan).

En ja, software installeren en verwijderen is een admin taak (of zou het iig moeten zijn), en hoort met een wachtwoord beveiligd te zijn als het andere gebruikers beinvloed. Al dat next-next-ok van windows XP en lager was eigenlijk best slecht vanuit een multi-user perspectief. Paar voorbeelden van issues... Iemand installeert een programma, en een andere gebruiker haalt het weer weg. Of iemand wil een andere versie (denk bv aan IE7 voor je ma, en IE8 beta voor jezelf omdat je wilt testen, of verschillende ms-office versies). Of iemand installeert een stukje software die processen opstart bij het aanzetten van de computer (zoals quicktime, met z'n hardnekkige systray icon), zodat andere gebruikers er ineens allemaal achtergrond zooi bij krijgen waar ze niet om hebben gevraagd.
Wat dat betreft ben je beter af met een keuze voor per-user installatie van sommige software, en software die system-wide aanpassingen verricht gewoon niet meer toe te staan (zoals het genoemde quicktime icon die altijd draait, ook onder gebruikersaccounts die het niet geinstalleerd hebben). Programmeurs opvoeden kan heus geen kwaad, er zijn teveel software bouwers die vinden dat je met een 3rd party app zomaar alles aan het systeem aan hoort te kunnen passen. Iedere windows programmeur wil dat z'n software op de nieuwste versie kan draaien, dus ze gaan heus hun programma wel aanpassen als jij bepaalde dingen afdwingt.

En nee, ubuntu doet het weinig beter op dit gebied. Daar heb je genoeg pakketten met autostart features (die je gelukkig wel per-user aan of uit kan zetten in de sessie settings van gnome), en kun je ook maar 1 versie van een pakket geinstalleerd hebben staan, namelijk degene in de package manager (tenzij je het los in je account installeert, zoals met de firefox installer). Maarja, niks is perfect he

MadEgg

Besturingssystemen

@kozue • 2 februari 2009 13:17

En de Ubuntu methode is prima voor de gemiddelde gebruiker. De packages in de Ubuntu-repo's zijn namelijk getest op stabiliteit; worden er security issues gevonden dan komt er een nieuwe versie in de repo en wordt de versie op de computer van de gebruiker geupgrade. Hierdoor is de gebruiker verzekerd van een stabiel systeem.

Wil de gebruiker, omdat hij wat meer verstand van zaken heeft, nu andere software, andere versies etc draaien, dan is dat goed mogelijk als hij inderdaad enigszins verstand van zaken heeft. Je kunt namelijk zelf wel versies kiezen, en wil je versies die überhaubt niet in de repo's staan dan kun je zelf repo's toevoegen, er is een ruime keuze in extra repo's met bleeding-edge versies van allerhande software. Maar die is simpelweg niet geschikt voor de gemiddelde gebruiker en is het dus niet meer dan logisch dat de beginner niet met dit soort mogelijkheden geconfronteerd wordt.

En gelukkig zijn de meeste programma's die je als gewone gebruiker zonder admin-rechten zou willen installeren ook prima in je homedirectory te installeren zodat alleen die gebruiker er baat/last van heeft en het de rest gewoon niet beïnvloedt.

g4wx3 @Stoney3K • 2 februari 2009 12:38

in OS X is de map /application voor iedereen vrij toegankelijk denk ik, maar voor het uitvoeren van een nieuw programma is wel een ww nodig. installatie van programma's op OS X gebeurt meestal mbv drag n drop, daarvoor wordt geen ww gevraagd.

Programma voorkeuren zijn user-specifiek, en vereisen dus ook geen ww

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (169)

Sorteer op:

Weergave: