terça-feira, junho 23, 2009

UAC do Windows 7

UAC do Windows 7 no nível padrão é uma falha de segurança
O UAC do Windows Vista (Controle de Conta de Usuário) é considerado chato para muita gente, apesar de ter sido uma das melhores coisas introduzidas no Windows. Devido reclamações dos usuários insatisfeitos, a MS deu uma modificada na forma como a proteção trabalha no Windows 7.

Por natureza o UAC roda todos os programas com privilégios limitados, sem permissão de escrita nas pastas globais do sistema e em chaves globais do registro. Se o usuário baixar e executar um keylogger ou malware qualquer, por exemplo, ele não será instalado no sistema de forma a afetar arquivos do Windows ou outras contas de usuários, apenas aquela local. Quando um programa precisa de permissão (por exemplo, um instalador) ele deve ser executado com direitos administrativos, aí vem a confirmação num ambiente isolado, fora do desktop "comum". Se "pipocar" na tela um aviso do UAC sem que o usuário tenha feito nada, é algum programa tentando acesso, basta negar e procurar uma forma de eliminá-lo. E claro, se a pessoa ver o aviso e ainda assim autorizar a instalação de algo desconhecido, tudo pode acontecer.

No Windows 7, no nível padrão do UAC algumas aplicações do Windows não pedem elevação, ou seja, rodam diretamente, com direitos administrativos (caso o usuário logado seja um administrador, e a conta padrão criada após a instalação é). A MS teria feito então uma lista de aplicações que são liberadas, que já vem com o Windows. Como resultado, várias coisas no Windows 7 não mostram o aviso. No entanto, isso permite que outros programas sejam rodados como administrador sem passar pela confirmação, com injeção de código.

Long Zheng, um programador, postou o código fonte de um programa que roda processos passando despercebidos pelo UAC do Windows 7 no seu nível padrão. A MS diz que isso não é um problema (seria uma característica do nível "padrão", com menos avisos) e não pretende consertá-lo.

A melhor forma de se prevenir usando o Windows 7 é configurar o UAC para sempre avisar, deixando a proteção no máximo. Com isso ele trabalha de forma parecida como é no Vista, sem dar direitos administrativos a aplicações do próprio Windows.

Quem usa o Windows 7 com o UAC no nível padrão dele já deve ter percebido que, algumas ações que no Vista exibem o aviso e pedem confirmação, no 7 rodam diretamente.

O Windows 7 final ainda não foi lançado, mas como a MS falou que não pretende mudar isso, não há muito o que fazer senão deixar a proteção no nível máximo mesmo. Desativar o UAC não seria recomendável, mas de forma alguma é um risco tão grave. Usuários experientes que usariam Windows XP, 2000 ou anteriores "sem pegar vírus", podem usar o Vista ou Sevem com o UAC desativado que não terão problemas.

Quanto código-fonte do programa que demonstra como burlar o UAC em sua configuração padrão no Windows 7, e um vídeo mostrando ele na prática, veja em:

http://www.istartedsomething.com/[...]video-demonstration-source-code-released/

http://www.pretentiousname.com/misc/win7_uac_whitelist2.html

Via OS News

Sem comentários:

LinkWithin

Related Posts Widget for Blogs by LinkWithin