UAC漏洞再现安全性与易用性难以平衡

来源:岁月联盟 编辑:zhuzhu 时间:2009-09-19
UAC漏洞再现安全性与易用性难以平衡   随着Windows 7 beta版本的推出,相当多的用户开始了新一代操作系统的抢先体验,一时间Windows 7已然成为网络中的最热门话题。然而随着使用者的增多,Windows 7的一些问题也已开始暴露,尤其是近来关于UAC漏洞的问题更是将Windows 7安全性推向了风口浪尖。

  关于Windows 7的UAC

  UAC即User Account Control,用户帐户控制,它是微软为提高系统安全而在Vista中引入的一种新技术,它要求用户在执行可能会影响计算机运行的操作或者是在执行更改影响其他用户的设置的操作之前,提供权限或管理员的密码。在操作启动前进行相关验证,UAC可以有效的防止恶意软件和间谍软件在未经许可的情况下在计算机上进行安装或对计算机进行更改,大大提升了系统的安全性。

  UAC的出发点本是好的,然而复杂以及繁琐的操作使得很多用户在Vista中将其关闭,或者在发出提示时选择全部通过以省去麻烦。易用性不够,是大多数Vista用户关闭UAC的原因,所以在Windows 7中关于UAC的易用性问题得到了相应的改善。

  首先,Windows 7将会在提示的时候给出更易令人理解的讯息,不会再像Vista中那样令人不知该选择什么,Windows 7的UAC可以帮助用户判断是否真的安全。其次,Windows 7可以让用户调整UAC的敏感度,甚至暂时关闭UAC,可以减少重复的提示,比如你今天使用了IE的下载功能,只要不重启操作系统,下载程序就不会出现UAC。然而就是因此造成了Windows 7 UAC新的漏洞的出现。

  Windows 7 UAC的两个漏洞

  在Windows 7 Beta版推出后不久,就有网友爆出其中的UAC(用户帐户控制)中存在一个安全漏洞,在恶意软件或代码试图关闭UAC功能时,系统将不会不会提示用户,而微软最终却辩驳道这不是漏洞,并且还表示在Windows7正式版中不会对此进行修改。就在第一个漏洞即将平息之际,网上又曝出Windows 7 UAC的第二个漏洞,相比之前的安全漏洞,这个漏洞则严重的多。

  第二个漏洞,在Windows 7中UAC默认设置为第二个级别,只有当应用程序试图更改计算机的相关设置时才会给出提示,而当用户更改Windows设置时UAC则不会有任何提示。这很容易导致恶意软件或者代码在Windows 7默认安全设置下窃取管理员权限,甚至关闭整个UAC,而用户对此却毫不知情。

  在Windows 7的UAC中引入了一个“白名单”机制,也就是一个可信赖列表,Rafael Rivera(此次漏洞的发现者)通过一个模拟安全者使用rundll32.exe的实验来证明新漏洞的危险性,由于Rundll32.exe位于白名单上,是可以信任的,所以在需要获得high level权限的时候不需要的到UAC对话框确认,安全者很容易就得到了管理员权限。

  所以就目前来看,使用Windows 7 Beta版的用户都存在安全风险,在此提醒广大用户,如果你正在尝鲜使用Windows 7的话,最好将UAC设置为最高级别以避免现在的漏洞问题。

  微软第一时间的反应

  对于第一个被曝出的Windows 7 UAC漏洞微软予以了否认,但是对于这次曝出的漏洞微软却并没有发表任何评论。不过由于近日关于UAC安全的讨论越来越多,微软终于表示,将接受外界建议,将对UAC默认设置进行部分调整和修订。

  总结

  此次关于Windows 7的安全漏洞问题又是炒得沸沸扬扬,其实为什么一个漏洞就能引发如此大的关注呢?主要就是用户已经被以往各种安全漏洞折磨怕了,他们急切的盼望能有一个安全的操作系统出现,Windows 7就是一款满载人们希望的操作系统,所以它出现了漏洞自然会再次触动用户敏感的神经。

  从Vista开始的UAC的初衷是非常好的,它的出现确实可以大大提升操作系统的安全性,然而复杂的操作,难以理解的语句,让很多用户不知所措,关闭UAC成了很多用户的选择。为了提升易用性,Windows 7做出了改善却引来了漏洞,在安全性和易用性这个难以平衡的矛盾面前我们不禁开始新的设想,UAC还能否在Windows 7之后的操作系统中存在?是不是该有一种新技术来替代UAC了,这一切都要等待微软给我们带来最终的答案。