De volgende versie van Windows krijgt een minder opdringerig beveiligingsbeleid. De user account control-functie (uac) in het huidige Windows Vista zorgt voor veel ergernis, maar leidt volgens critici ook tot meer onveiligheid doordat eindgebruikers 'blind klikken' op security-vensters.
Microsoft vermindert in Windows 7 het aantal beveiligingsmeldingen dat eindgebruikers krijgen voorgeschoteld. De opvolger voor Windows Vista is dus minder opdringerig met de beveilgingsfunctie uac (user account control). Dat systeem houdt handelingen van gebruikers én applicaties in de gaten en vraagt de gebruiker om toestemming indien er iets ingrijpends staat te gebeuren.
In de praktijk heeft dit echter ook ongewenste meldingen, en ongewenste aantallen meldingen, opgeleverd. Veel Vista-gebruikers zijn er dan ook toe overgegaan om uac maar geheel uit te schakelen. Dit ondermijnt het doel van die beveiligingsmaatregel behoorlijk. Volgens critici is het aan laten staan echter ook geen oplossing, want het systeem zou gebruikers vooral conditioneren om maar blind op 'Allow' te klikken bij elke uac-melding.
Flinke impact
De ontwikkelaars van Microsoft die nu werken aan Windows 7 melden op hun blog dat uac wat aan banden wordt gelegd. Dit gebeurt dus niet voor Vista, maar voor diens opvolger die in 2010 op de markt moet komen. De ontwikkelaars zeggen dat ze kritisch kijken naar het systeem zelf, maar ook naar de vele reacties daarop. "Uac heeft een flinke impact gehad op het software-ecosysteem, op Vista-gebruikers en op Windows zelf", aldus het ontwikkelteam.
De programmeurs stellen dat veel applicaties zijn aangepast om te werken met minder of zelfs geen beheerdersrechten. Het aantal applicaties dat – al dan niet terecht – administratorrechten nodig heeft, lag begin 2007 op ruim 775.000 applicaties. Dat is nu zo'n 168.000 stuks, aldus Microsoft. Dit heeft het aantal uac-meldingen dat eindgebruikers krijgen voorgeschoteld, weer verlaagd.
In de eerste maanden nadat Vista op de markt kwam, dook er in vijftig procent van de gebruikerssessies een uac-melding op. Dat is nu ruim dertig procent, melden de Microsoft-ontwikkelaars. Opvallend is dat het eerste pakket patches en verbeteringen (service pack 1) voor Vista daar ook aan heeft bijgedragen. Vista zonder SP1 heeft nog altijd iets meer uac-meldingen, maar minder dan de gemeten vijftig procent van begin 2007.
Om te irriteren
Aanvankelijk liet Microsoft weten dat uac is bedoeld om gebruikers juist bewuster te maken van beveiliging. Productmanager David Cross zei in april dit jaar op de RSA-beveiligingsconferentie zelfs dat uac bewust is ontworpen om eindgebruikers te irriteren. "Dat meen ik serieus. We moeten het hele ecosysteem rondom beveiliging veranderen en daarvoor is een zware hamer nodig."
De Microsoft-topman doelt daarmee op het feit dat veel gebruikers nog altijd standaard werken als hoofdbeheerder (Administrator) op pc's. Dit is een groot beveiligingsrisico, want elk stuk software op die machine heeft dan diezelfde, allesomvattende rechten. Een groot deel van de reden hiervoor is dat veel Windows-software niet goed werkt op een beperkter gebruikersaccount. Uac moet dus ook software-ontwikkelaars leren anders te werken; hun producten moeten niet zoveel uac-meldingen opleveren die de eindgebruiker dus irriteren.
Goed he, Microsoft moet meer toegang geven aan externe softwaremakers, zodat deze beter kunnen inhaken op het systeem. Vervolgens zeurt iedereen dat Windows niet veilig is en dat er iets moet gebeuren, introduceren ze een beveiliging en weer is het niet goed.
Nu zie je dus pas wat voor een kloterij andere programma’s uithalen op je PC, omdat ze door tijd/budget beperkingen prutsoplossingen hebben bedacht. Een beetje software heeft heen UAC popup nodig, maar blijkbaar vinden veel bedrijven het nodig om de hele registry vol te pleuren met meuk en over de hele harde schijf bestanden rond te slingeren.
Nu gaat dat niet meer vanwege UAC, en de gebruiker zit ermee opgescheept, maar Microsoft krijgt weer eens de schuld. UAC zou standaard ‘Nee’ moeten zeggen zonder popup, tenzij je als admin bent ingelogd. Alle software die dan niet werkt gaat blijkbaar buiten het boekje om rare dingen doen. Dan kun je vervolgens gaan zeuren bij de makers van de software.
@Nick.
Helemaal 100% mee eens! Eindelijk word eens zichtbaar wat er achter die glimmende marketing windows voor truckendoos word toegepast 🙂 op je pc.
“UAC zou standaard ‘Nee’ moeten zeggen zonder popup, tenzij je als admin bent ingelogd.”
Ooh..?? 🙂 Je bedoelt net zoals al jarenlang gebruikelijk is op het Unix en Linux platform?? 😉 Eerst je security_level upgraden naar _root en dan pas een programma(kunnen) installeren, runnen??
Mijn favourite tools onder windows
– Autoruns
– Process Explorer
– Registry & File & Port Monitor
“Geven je diepte inzicht under the windows hood”