Perbaikan UAC di Windows 7 Menciptakan Lubang Keamanan, Blogger Mengatakan

Perubahan yang dibuat Microsoft pada Windows 7 untuk meningkatkan fitur keamanan Kontrol Akun Akunnya yang kontroversial telah membuat OS baru kurang aman, menurut seorang blogger yang mengikuti Microsoft secara dekat.

Microsoft membuat perubahan ke UAC, fitur yang diperkenalkan dengan Windows Vista, agar lebih mudah digunakan di Windows 7. Namun, perubahan ini memungkinkan "pengabaian sederhana namun cerdik" yang menonaktifkan UAC tanpa tindakan apa pun dari pengguna, sesuai dengan Saya Memulai Sesuatu blog yang ditulis oleh pengamat lama Microsoft, Long Zheng.

Microsoft menambahkan UAC ke Vista dalam upaya untuk meningkatkan keamanannya dan memberi orang-orang yang merupakan pengguna utama PC yang lebih mengontrol aplikasi dan pengaturannya. UAC mencegah pengguna tanpa hak administratif dari membuat perubahan yang tidak sah ke sistem. Tetapi karena cara pengaturannya di Vista, UAC terkadang mencegah bahkan pengguna yang berwenang untuk dapat mengakses aplikasi dan fitur yang biasanya harus mereka akses.

Hal ini dilakukan melalui serangkaian petunjuk layar yang meminta pengguna untuk memverifikasi hak istimewa, dan itu mungkin mengharuskan mereka mengetik kata sandi untuk melakukan suatu tugas. Ini dapat mengganggu alur kerja orang, bahkan selama beberapa tugas biasa, kecuali mereka ditetapkan sebagai Administrator Lokal. Permintaan UAC menjadi sangat bermasalah sehingga Apple bahkan memalsukannya dalam iklan televisi, dan Microsoft berjanji untuk meningkatkan fitur di Windows 7.

Windows 7 masih dalam versi beta dan tidak diharapkan untuk dikirimkan hingga akhir tahun ini atau awal tahun depan. Microsoft merilis beta awal bulan ini dan menguraikan perubahan pada UAC pada blog Engineering Windows 7.

Perubahan merevisi pengaturan default UAC, dan di situlah letak risiko keamanan, menurut Zheng.

Seperti yang dijelaskannya di posnya, pengaturan default UAC di Windows 7 adalah "Beri tahu saya hanya ketika program mencoba melakukan perubahan pada komputer saya" dan "Jangan beri tahu saya ketika saya membuat perubahan pada pengaturan Windows."

UAC membedakan antara sepertiga -program pihak dan pengaturan Windows dengan sertifikasi keamanan, dan item panel kontrol ditandatangani dengan sertifikat ini sehingga mereka tidak mengeluarkan permintaan jika pengguna mengubah pengaturan sistem, tulisnya.

Namun, pada Windows 7, mengubah UAC dianggap sebagai "perubahan ke pengaturan Windows," menurut Zheng. Ini, ditambah dengan tingkat keamanan UAC default baru, berarti pengguna tidak akan diminta jika perubahan dilakukan ke UAC, termasuk jika dinonaktifkan.

Dengan beberapa pintasan keyboard dan beberapa kode, Zheng mengatakan ia dapat menonaktifkan UAC dari jarak jauh tanpa sepengetahuan pengguna akhir.

"Dengan bantuan tendangan samping pengembang saya, Rafael Rivera, kami datang dengan bukti konsep yang berfungsi penuh di VBScript (sama mudahnya dengan C ++ EXE) untuk melakukan itu - tiru beberapa input keyboard - tanpa bantuan UAC, "tulisnya. "Anda dapat mengunduh dan mencobanya sendiri di sini, tetapi ingatlah bahwa itu benar-benar menonaktifkan UAC."

Zheng juga memposting apa yang dia katakan sebagai solusi untuk masalah di blognya.

Microsoft mengatakan pada hari Jumat melalui firma humasnya yang sedang mencari masalah dan tidak segera berkomentar.