Alapértelmezett Windows 7 UAC és a kód injektálás

Microsoft, Windows

A Microsoft Vista alapértelmezetten beállított UAC-ja a visszajelzések alapján nem volt éppen nagy kedvenc. Se szeri, se száma az olyan tutorial-oknak az interneten, amelyek arról szólnak, hogy hogyan lehet az User Account Control-t a Vista-ban kikapcsolni.

Valószínűleg ebből kifolyólag döntött úgy a Microsoft, hogy a Windows 7-ben bizonyos programokat speciális privilégiumokkal lát el (kivétellistára tesz) annak érdekében, hogy az UAC kevesebbszer bukkanjon fel a Windows felhasználók előtt. Ilyen kivételezett programok például a calc.exe vagy éppen a notepad.exe. Azonban egyesek szerint van ezzel a megközelítéssel egy kis probléma.

Ha a Windows 7 alapértelmezett UAC-lal fut, akkor egy speciális technikával (kód injektálás) ki lehet használni az elgondolást. Egy proof-of-concept exploit képes arra, hogy a saját kódját egy már futó, "auto-elevation" (jóváhagyás nélkül elindulhat) képességgel bíró alkalmazás memóriájába injektálja. Az eredményt ez a videó mutatja be.

A probléma - amely a hírek szerint a nemrég kiadott RC-ben is fennáll - ellen védekezni lehet az UAC lehető legmagasabb szintre állításával. Az OSNews egyik cikkének szerzője mindenképpen ezt javasolja.

( Hevi v | 2009. 05. 16., szo – 19:09 )

Ennyire nehéz egy jól használható és biztonságos rendszert összehozni?

Ennyire nehéz a rendszergazdának pornó töltés nélkül szexhez jutnia ? :) Mégse hígul a szakma ?
--
"Megtanultam a zenét, de nem csináltam, s azóta tudással, de irigység nélkül hallgatom.
Megtanultam egy sereg tudományt, mesterséget és művészetet, értek hozzájuk, de nem csinálom, s így érdektelenül tudom azokat élvezni. "
Hamvas Béla

( Nyosigomboc v | 2009. 05. 16., szo – 19:17 )

sudo bc
Miert jo egy szamologepet privilegizalt felhasznalo neveben futtatni? :)

--
"ne támogasd az erdők kiírtását mozijeggyel, töltsd le a netről!" - killllll, asva.info

( NagyZ v | 2009. 05. 16., szo – 19:41 )

ket erdekesseg is van, erdemes kulon kezelni oket:

- ravettek tetszoleges processt, hogy az o altaluk adott processt futtassa - ez az izgibb resze a dolognak
- hogy ne legyen olyan sok UAC-t utalo inkompetens juzer, vannak whitelistes programok, amik auto elevatedek.

namost a masodik kovetkezmenye hogy ha egy ilyen progit megfursz, akkor nyilvan a Te kodod is tud futni elevated jogokkal. viszont ha jol megnezzuk a videot, akkor egyszer az explorer.exet, egyszer a calc.exe -t hasznaljak mint ugropont, ami felveti a kerdest, hogy X kulonallo program mellett hogy hasznalnak code injectiont - a programokban _ugyanolyan_ hiba nem lehet (illetve csak epszilon valoszinuseggel).

kivancsi lennek, hogy a code injectiont hogy kovetik el, mert tippre valami altalanos furast vegeznek itt, a whitelist appok csak ugrodeszkak.

igazabol ha belegondolsz linuxon is ha hozzaferek egy olyan userhez amelyi sudoers alapjan futtathat roottal dolgokat passwd nelkul akkor pwned a gep

sztem ez igy operacios rendszer fuggetlen problema h user nem akar meg ok gombot se nyomogatni meg passwdket irogatni, mas szoval a kenyelem mindig a szekjuriti rovasara megy
--
.

Nade ez nem egészen ugyanaz. Akkor lenne ugyanaz, ha a sudo csak bizonyos parancsokhoz nem kérne jelszót. Tehát a sudo ./worm.sh-ra kérne jelszót, mert az nincs beállítva sudoers-ben, de ha a nano-ra be van állítva, akkor a sudo nano-ra nem kérne jelszót. A feladat, hogy a nano-n keresztül futtasd le a ./worm.sh-t rootként. :)

Szerk: persze ha nano-ból meghívható külső parancs, akkor helyettesíts be a nano helyére bármilyen másik programot amiből nem lehet. :)

Peldaul egy ubuntu-n, ha a synaptic-on engedelyezve van a pw nelkuli futas a sudoers-ben, akkor siman pwned, mert a menu gksu(do)-val inditja az appot (elvben gksu-val inditja, de a gksu raveheto arra, hogy inkabb sudo-zzon).
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Ha jól értem a problémát, akkor itt azért van különbség: winen van egy gyárilag adott -tehát ismert- program csokor (az ms saját whitelisted programjai), amiken keresztül így lehet támadni, és ez bármilyen user mellett működik. Nem?

Most amit linuxra írtál az is igaz, csak ott már kicsit sok a feltétel: a támadáshoz kell ismerni egy konkrét megfelelő usert, aki történetesen tud sudozni jelszó nélkül. Mivel ilyen default beállítás szvsz semmilyen épkézláb disztróban nincs, ezért ez nem egy biztos támadási felület, amire rá lehet készülni.

"kivancsi lennek, hogy a code injectiont hogy kovetik el, mert tippre valami altalanos furast vegeznek itt, a whitelist appok csak ugrodeszkak"

Igy van, es nem kell fekete magiara gondolni, meg api is van ra: a WriteProcessMemory(). :)

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

( Vladi | 2009. 05. 16., szo – 22:35 )

Most kifakadok:

Már a csapból is ez a "balta" w7 folyik. Muszáj ezt? Biztos, hogy ennyire nagyon kell ez ide?

Én már kicsit unom, hogy lépten nyomon ebbe botlok még itt is. :S

>>: sys-admin.hu :<<

Én takemeaw véleményével szemben sosem merek érvelni. Ő valahogy olyan drasztikus....
Komolyra fordítva a szót nagyra értékelném, ha inkább a Velvetre járna trollkodni, mert szakmai hozzászólását tán még egyet ha olvastam, viszont a színvonal mélyrepüléséhez igen aktívan hozzájárul. Már majdnem Gabucino a színvonala. Persze szigorúan SZVSZ.
Csaba

Az a szomorú, hogyha megnézed a cikkek olvasottságát és a hozzászólások számát, akkor az derül ki hogy itt ez kell a népeknek. Nemtom miért nem szerepel a "Népszerű témák" dobozban "Windows" szó, biztos mert túl kevés neki a hely.

Nem nagy ügy, vannak más hasonló témájú honlapok - pl amelyik az aláírásodban szerepel - lehet nem olyan menőek de legalább értelmesebbek az emberek.

Egyébként meg nem lesz nagy ügy átrajzolni a logót HWP-re miután a normálisabb emberek elmenekültek. De lehet elég lesz csak kiegészíteni HUWP-ra, mint Hungarian Ubuntu and Windows Portal. ;-)

--
http://csuhai.hu

( skynetpro | 2009. 05. 16., szo – 23:29 )

szóval ez olyan, mintha a calc.exe kapott volna egy "setuid" bitet. grat. ez aztán innovatív.

( dblaci | 2009. 05. 16., szo – 23:37 )

nevetséges. képtelenek összehozni egy oprendszert, ennyi év alatt. Nagy maffia az egész, remélem megérem, hogy becsődöl az egész. Hálistennek az ismerettségi körömben már egyre kevesebben használnak windost, és ez nekem is rengeteg időt, anyázást spórol meg. :)

( tombenko v | 2009. 05. 17., v – 00:36 )

Ez azért figyelmeztető jel minden, felhasználói privilégiumokat kezelő OS-nek. A felhasználók inkább megpróbálják kikapcsolni, mint megérteni a hasznukat. Mondjuk elég idegesítő is lehet a felugráló ablakokaz lelövöldözni.
--
Fight / For The Freedom / Fighting With Steel

Nos, nem tudom, én mekkora sugárral rendelkezem, de amikor wint kényszerülök használni, gyorsan felbassza az agyam, ha sok-sok kis ablakocskát kell elolvasnom és leokéznom. Főleg, amikor egymásra dobálja őket, és még az előzőre kattintanék okét, erre meg nem. :( Ennek ellenére nem kapcsolnám ki, de a felhasználók jelentős része igyekszik megszabadulni tőle.
--
Fight / For The Freedom / Fighting With Steel

Talán az Engineering Win7 blogon láttam a diagrammot, ahol mutatták, hogy az idő elteltével hogy változott az ablakok száma. Meglepő módon a telepítés utáni viszonylag rövid időszakban kell többet nyomkodni. Meglepő módon az az időszak, amikor a legtöbb egyidejű telepítés és beállítgatás megy. Meglepő módon az átlagemberke nem szokta minden nap 5x átkonfigolni a rendszerét.

Az UAC ablakot szerintem elég nehéz kikerülni, lévén, hogy az egész rendszertől elveszi a fókuszt.

----------------
Lvl86 Troll

Szóval olyan, mint az asszony feje: Eleinte sokat kell nyomkodni, később már magától is bólogat. :) Átkonfigolni tényleg nem szokta, de esetleg telepít egy új programot/toolbart/istentudjamit, és kezdi a bohóckodást. Átlagemberkét pedig minden zavarja, ami szerinte váratlan. Ráadásul már az egészen korai windowsok is képesek voltak teljesen egymást fedve elhelyezni az ablakokat. Ennek eredménye volt néhány látványos, nehezen helyrehozható hiba. Harmadrészt pedig a legtöbb user el sem olvassa, mi van kiírva, csak automatikusan kattint, ergo egy idő után megint csak idegesíteni fogják az ablakok.
--
Fight / For The Freedom / Fighting With Steel

"Átkonfigolni tényleg nem szokta, de esetleg telepít egy új programot/toolbart/istentudjamit, és kezdi a bohóckodást."

Nehogy már havonta 1x ne tudjon kattintani...

"Ráadásul már az egészen korai windowsok is képesek voltak teljesen egymást fedve elhelyezni az ablakokat."

Vista előtt volt UAC? Kérlek, mond már meg, hogy hogy nem lehet észrevenni egy ilyen ablakot és hogy tudja eltakarni egy másik.

"Harmadrészt pedig a legtöbb user el sem olvassa, mi van kiírva, csak automatikusan kattint, ergo egy idő után megint csak idegesíteni fogják az ablakok."

Szvsz ez eléggé PEBKAC. Tipikusan az a probléma, amivel nem lehet mit csinálni.

----------------
Lvl86 Troll

Nehogy már havonta 1x ne tudjon kattintani...

Van akinek évente 1 is sok. Megszokta korábban, hogy nem kell.

Kérlek, mond már meg, hogy hogy nem lehet észrevenni egy ilyen ablakot és hogy tudja eltakarni egy másik.

Úgy, hogy még egyet rádob...

Tipikusan az a probléma, amivel nem lehet mit csinálni.

Erről beszélek én is: Nem lehet vele mit kezdeni, de találtak rá megoldást - kikapcsolni.--
Fight / For The Freedom / Fighting With Steel

"Úgy, hogy még egyet rádob..."

Ember, láttál te már UAC-t? UAC ablak fölé hogy tud egy másik ablakot dobni egy program? Amikor XP-n CTRL+ALT+DEL-t nyomtál és bejött a Windows rendszerbiztonság, oda se tudott semmi bedobni új ablakot, eleve elrejtett mindent. Ugyanezt csinálja az UAC, csak itt elszűrkíti a háttérben lévő dolgokat és afölé rakja ki az UAC-s ablakot.

----------------
Lvl86 Troll

Félreérthetően mondtam. Még egy UAC-ot.
Egyébként nem, még nem volt hozzá szerencsém. Viszont az általam említett kínokat már én is megtapasztaltam, sőt mások véleményét is ismerem.
Nyomtam már, nem nagyon zavarta. Volt, hogy spontán 100%-os terhelést csinált, mielőtt bármi ablakot is láttam volna. A fókuszát meg el lehetett lopni.
--
Fight / For The Freedom / Fighting With Steel

nagyon szépen tálcára vágja magát, és ha nem figyelsz, úgy marad

Pontosabban tálcára vágja magát és ott villog. Hogy hogyan lehet nem figyelni rá azt nem tudom, de az biztos, hogy ha ezt nem csinálná, akkor azért menne a nyafogás, hogy milyen rohadt erőszakos ez az UAC és miért nem lehet közben mást csinálni... :)

A fókusz ettől függetlenül ha aktívvá válik, akkor nem vehető el tőle.

De nem tudom mit kell rugózni ezen a szaron, én talán ha hetente egyszer találkozok UAC ablakkal, akkor is azért, mert a defaulthoz képest szénné van korlátozva a rendszerem.

Én már jóideje Vistát használok, és sosem értettem, miért kapcsolják ki az UAC-t a felhasználók. Egyáltalán nincs sok idegesítő felugráló ablak. Nyilván telepítéskor több van, de utána, a néha megjelenő Windows frissítéseket leszámítva akár hetekig is ellehet a felhasználó popup nélkül. Akkor meg miért is olyan nehéz néha rányomni arra, hogy "Folytatás"?
Persze vannak szélsőséges esetek, például, ha két lejátszóprogramod van, amik egymástól veszik el a kiterjesztés-társításokat, akkor akár naponta többször is rá kellhet nyomni az UAC ablakára, de ez megint nem az oprendszer, hanem a felhasználó hibája.

nekem azért program (nem win) update hamarabb szokott jönni, mint "hetek"; vagy ha épp be akarok tolni valamit inetpub-ba; vagy valamit állítgatni kell (nem, nem szokott a kezdeti beállítás mindig jó lenni); stb.

szerintem nem az én "hibám", hogy használni akarom a rendszert. de mielőtt rápörögtök, nem mondtam, hogy bajom van az UAC-vel. de azért azt se állítsuk már, hogy dehátsosejelenikmeg.

gondolom megnezni a googleban neked mar magas.

There are two ways (other than disabling it) by which you can bypass eh UAC prompt for particular applications:

1. Task Scheduler
2. Elevate Me

The first method - Task Scheduler, is vcery useful incase you have scheduled a particular application to run on start-up and it needs the highest privileges. To do this:

Control Panel -> System Maintenance -> Administrative Tools -> Schedule Tasks

The same can be accessed from:

Start -> Administrative Tools -> Task Scheduler

From the scheduler, you need to Create a New Task. The wizard can be accessed from:

Task Bar -> Action (next to File) -> Create Task

Once the wizard opens, give suitable Name & Description. make sure that you check the ‘Run with highest privileges’ option.

This will launch the program (Limewire, in this case) at logon with highest privileges.

Another way to achieve the same is by using the utility called - Elevate Me. It uses the same method but instead of creating application actions to launch on start-up, it creates itself as a task to run on start-up and parses any application that you want should run with highest privileges.

--
.

Tipikusan az az eset, amikor a kis pénzügyes Gizike pár embernek megcsinálná a bevallását, és az abevjava-t még csak letölti, mer az egy kattintás, és mivel magabiztosan tudja h a windóz stupido bitch edition használatához nem kell rendszergazdai gyorstalpaló -- mint ahogy pár magabiztos ember szerint a "Bubuntu"hoz sokkalinkábban -- szóval csak felpakolná, és minden fél kattintásra jut pár UAC, akkor minden bizonnyal az lenne erre a megfelelő válasz -- ezerrel szembemenve a ms marketingkommunikációjával -- hogy aszod, Gizi, fizess a testeddel egy rendszergazdának, ha használni akarod a gépedet normálisan, vagy talpaljál végig egy hardcore MCP stuffot.

A Scheduled Task az fatengelyes megoldás. Az Application Compatibility Toolkit egy professzionális és ingyenes eszköz alkalmazáskompatibilitási ügyek kezelésére.
Ilyen problémákat okozhat az UAC is, erre jó az ACT részét képező UAC Compatibility Evaluator.
Részletesen olvashattok a témáról itt: Application Compatibility and User Account Control.

Üdv,
mrceeka

Te most vagy kollektíve hüjének nézel itt mindenkit, akkor nemtom mit is keresel errefelé
Vagy besértődtél azon, hogy hibát találtak az UAC-probléma aktuális megoldásában, akkor viszont nemtom mit is keresel errefelé
Vagy nem érted, hogy mi a probléma van az UAC-al, sakkor meg azt nemtom mit is keresel errefelé

felraktam vistára az abevjavat (előtte soha nem volta rajta), letöltöttem vele egy űrlapot (0853), kitöltöttem pár lapot, leellenőriztettem és fájlba nyomtattam. egyetlen uac úr nem jött.

felraktam win7re az abevjavat (előtte soha nem volta rajta), letöltöttem vele egy űrlapot (0853), kitöltöttem pár lapot, leellenőriztettem és fájlba nyomtattam. egyetlen uac úr nem jött.

gondolom ez betudható a Haladó Közösségi Gondolkodásban való hiányosságomnak, igyekeznem kell kicsit

Azt szeretném megtudni,hogyan tudnám telepíteni az Abevjava alkalmazást Windows 7-re.Amikor elinditom a javas alkalmazást egyből figyelmeztett engem,hogy: A program jogosultság hiányában a abevjavapath.cfg állományt a C:\windows könyvtár helye a C:\users\username\abevjava könyvtárban hozza létre.Késöbbi frissitétesek ezen felhasználóval végezzen. Az üzenet elolvasása utána elkezdem a telepitést,s csak a C:\.....\VirtualStore mappába engedi telepiteni a Program Filesba nem..ha a C:\abevjava könyvtárba teléepitem igy felmegy,de elinditani nem tudom a programot,s nem értem miért.
A kérdésem az lenne,hogyan tudnám ezt a programot megfelelően telepíteni és futtatni.

Válaszotokat előre is köszönöm.

üdv L.

:DDDDDDDDDDDDDDDDDD

sirok bazmeg

SZAR A WINDOWS MER NEM LEHET TIBIKE USERREL IRNI A WINDOWS FOLDERT

--
.

Engem az fogott meg, hogy az APEH által fizetett fejlesztőcég ilyen kódot ad ki a kezéből. Biztos jól keresnek.

Node örülök, hogy ennyire jót mulatsz a dolgon. Az XP végnapjai felé közeledve vicces azt látni, ahogy a windóz tervezésekor elővesznek olyan eszközöket, amik nyilván fejtörést okoznak a korábbi kiadásokhoz edződött embereknek, és a vista megjelenése óta nyilvános közröhej tárgya a 15+ éve működő és bevett fejlesztői és felhasználói viselkedés. Nem mintha a változás nem lenne szükséges, de ha ez mással fordult volna elő, akkor aszondanák, hogy szemen köpte egykori önmagát, legalábbis ami a stílust illeti.

A kérdés az, hogy hogyan oldja meg a ms azt a problémát, amit a korábbi gyakorlatából eredő nem megfelelő felhasználói és fejlesztői viselkedés (és annak nehézkes levetkőzése) okoz.
Esszékérdés, megoldási idő 3 év, kapható pontszám 85+%os részesedés, részmegoldást eddig is elfogadtak.

Nem. A fejlesztőt azért, mert bár jó pénzért dolgozik, mégis beleszarik egy kvázi elterjedt platformba. A felhasználót azért, mert képes bedőlni az OS marketingjének (mindenki ért hozzá), illetve azért, mert képtelen elsajátítani annak az eszköznek a kezelését akár minimális szinten is, amit nem csikkzsebből fizetett meg. A ms-t azért, mert 15 év kellett nekik h eddig eljussanak, és ezalatt az idő alatt elhitették az emberekkel, hogy nem kell érteni hozzá, mert annyira intuitív, hogy egy amőba is tudja kezelni, stb...

Ja és az ms-t azért, mert nem képes úrrá leni ezen az tragikomikus helyzeten

1) Nincs sok lehetoseg, az APEH cuccat fel kell rakni, ha nem akarsz nagyon sokaig nagyon sokat fizetni
2) A programozok hulyesege ellen en sokat tenni nem tudok
3) A reinstall ajtaja meg mindig nyitva all, kulonben meg lehet virtualgepezni. Sot, az AbevJava Linuxon is fut, szal nem kotelezo windowssal futtatni

-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

UGORJUNK NEKI MEGEGYSZER:

______NEM___________SZUKSEGES___________AZ_________ABEVJAVA_______APPLIKACIOT
_____ADMINNAL____FUTTATNI______MERT_TAMOGATJA____A_USER__FOLDERBE____MENTEST

___NEM____KELL___UAC___ABLAKOT___SE____NYOMOKODNI_HOZZA

HATHA IGY

C:\Users\TIBIKE\Documents\abevjav\abevjava_start.bat

--
.

( Yorirou | 2009. 05. 17., v – 02:53 )

A calc.exe-nek és a notepad.exe-nek mi a fenéért kell root jog?

"A fejlesztot azert fizetik, hogy oldja meg a problemat. Ez egy kemeny szakma." - Chain-Q

( sas | 2009. 05. 17., v – 09:29 )

a megoldás, ingyen adom:

* a normál indítás mindig sima felhasználóval lépjen be és ekkor az alkalmazások 99%-át egyáltalán ne lehessen rendszergazda joggal indítani.

* A bejelentkezett sima felhasználónak legyen lehetősége arra, hogy 1x, azaz 1x kattintson, hogy ő most rendszergazda munkafolyamatot indít és akár a leállításig abban fog dolgozni tudomásul véve annak kockázatát.

Szervác Attila - http://321.hu/sas

( hnsz2002 v | 2009. 05. 17., v – 11:02 )

Nem kell ehhez még trükközni sem...
Ha már notepad root jogokkal fut, ofkorz azt a konfigot/ini fájl írod át, amelyiket akarod. Vagy simán elmentheted a saját kódodat pl. ntoskrnl32.exe-be...
--
Discover It - Have a lot of fun!

( Misi | 2009. 05. 17., v – 12:07 )

calc.exe + high integrity == security by design

( mrceeka v | 2009. 05. 17., v – 12:11 )

Sziasztok,

lehet, hogy tévedek, de mintha néhányan nem látnátok pontosan mire való az UAC.
Működése kétféle:
-Ha standard user futtat olyat, amihez magasabb jog kell, kér egy felhasználói hitelesítést egy másik felhasználóra.
-Ha rendszergazda futtat olyat, amihez magasabb jog kell, megerősítést kér.
Ez utóbbi működést ismerik itt a legtöbben, valószínűleg, mert gépüket rendszergazdaként használják.
Számukra az UAC újdonsága az, hogy rendszergazdaként sincsenek meg a rendszergazdai jogokhoz szükséges biztonsági tokenek, csak megerősítés után kaphatók meg.
Ugyanakkor fontos tudni, hogy az UAC nem képez biztonsági határt a rendszerben, így az ezt áthágó megoldások nem jelentenek biztonsági sebezhetőséget.
Akkor mire jó ez az egész? E nélkül továbbra is minden kódot rendszergazdaként futtatna a felhasználók jó része, aminél még mindig jobb az UAC - esetlegesen kijátszható - védelme.
A kialakításnál a használhatóság és a biztonság között kellett egyensúlyt találni.
Ahol ez a megoldás a biztonság szempontjából kevés, még mindig lehetőség van külön userrel dolgozni, más userrel adminisztrálni és egy harmadikkal nem biztonságos oldalakat böngészni.

Mindezt sokkal részletesebben megtaláljátok Mark Russinovich blogjában és a cikk külső hivatkozásaiban: http://blogs.technet.com/markrussinovich/archive/2007/02/12/638372.aspx
Ha elolvassátok, megtaláljátok benne, hogy "For instance, having your elevated AAM processes run in the same account as your other processes gives you the convenience of allowing your elevated processes access to your account’s code and data, but at the same time allows your non-elevated processes to modify that same code and data to potentially cause an elevated process to load arbitrary code."

Üdv,
mrceeka

"E nélkül továbbra is minden kódot rendszergazdaként futtatna a felhasználók jó része, aminél még mindig jobb az UAC - esetlegesen kijátszható - védelme."

Mármint hogy ezentúl minden malware első dolga az lesz, hogy betámadja az explorer.exe-t (opcionálisan más whitelistelt alkalmazást) és már futhat is a kódja jóváhagyás nélkül csendben? És ezentúl csak a legitim !microsoft whitelistes alkalmazások fogják molesztálni a felhasználót?

Vagy én értek félre valamit? :)

Akkor inkább tényleg feljebb kell állítani az UAC szintjét.

--
trey @ gépház

Akármilyen szintre emeled az UAC-t, nem képez biztonsági határt.
Előnye annyi, hogy
-az alkalmazások íróit készteti eddigi kódolási szokásaik megváltoztatására
-része egy defense-in-depth megközelítésű védekezésnek
-a rendszergazda számára tudatosítja, mikor végez módosításokat a rendszeren.

Nézd meg, ahogy Mark Russinovich a Windows Security Boundaries című remek előadásában demonstrálja az UAC megkerülhetőségét Vistán: http://www.microsoft.com/uk/technet/spotlight/sessionh.aspx?videoid=993
54. perc táján van az UAC-s rész.

Üdv,
mrceeka

"Akármilyen szintre emeled az UAC-t, nem képez biztonsági határt."

Azonban a videóban bemutatott exploitálási technika ellen véd. Legalábbis a videó szerint.

"-a rendszergazda számára tudatosítja, mikor végez módosításokat a rendszeren."

Illetve, hát ez gondolom még a Vista-ra vontakozik, mert a 7-ben az UAC "Prompt for consent for non-Windows binaries" (default) beállítás mellett már szinte semmiért sem szól. Ehelyett a "Prompt for consent" az, ami Windows Vista-szerű viselkedést produkál.

A többire:

Magyarul képes arra nem megfelelően konfigurálva, hogy fals biztonságérzetet adjon, hiszen olyan dolgok is át tudnak menni rajta, amiről a felhasználó feltételezi, hogy figyelmeztetés nélkül nem fog?

--
trey @ gépház

>>Azonban a videóban bemutatott exploitálási technika ellen véd. Legalábbis a videó szerint.
Az ellen véd, más ellen meg nem feltétlen.

>>Illetve, hát ez gondolom még a Vista-ra vontakozik, mert a 7-ben az UAC "Prompt for consent for non-Windows binaries" (default) beállítás mellett már szinte semmiért sem szól. Ehelyett a "Prompt for consent" az, ami Windows Vista-szerű viselkedést produkál.
Igen, Vistáról írtam.

>>Magyarul képes arra nem megfelelően konfigurálva, hogy fals biztonságérzetet adjon, hiszen olyan dolgok is át tudnak menni rajta, amiről a felhasználó feltételezi, hogy figyelmeztetés nélkül nem fog?
Pontosan, hiszen nem megakadályozza ezen változásokat (=nem biztonsági határ), hanem nehezíti. Szerintem egy átlag, otthoni felhasználót még így is inkább véd ez a megoldás, semmint megtéveszt.

Üdv,
mrceeka

( toros | 2009. 05. 19., k – 15:42 )

A hülye usertől csak az egyujjas kesztyűben hátrabilincselt kéz védi meg a gépet. Nem csodálnám, ha egyszer tényleg fellázadnának...