UAC Fix in Windows 7 schafft Sicherheitslücke, Blogger sagt

Eine Änderung, die Microsoft in Windows 7 vorgenommen hat, um die umstrittene Sicherheitsfunktion der Benutzerkontensteuerung zu verbessern, hat das neue Betriebssystem weniger sicher gemacht, so ein Blogger, der Microsoft sehr genau folgt.

Microsoft hat die Änderung an der Benutzerkontensteuerung vorgenommen, eine Funktion, die mit Windows Vista eingeführt wurde, um es in Windows 7 benutzerfreundlicher zu machen. Aber die Änderung hat "eine einfache, aber geniale Überschreibung" ermöglicht, die UAC ohne irgendeine Handlung seitens des Benutzers deaktiviert Ich habe etwas begonnen, das der langjährige Microsoft-Beobachter Long Zheng geschrieben hat.

Microsoft hat UAC zu Vista hinzugefügt, um seine Sicherheit zu verbessern und den Benutzern eines PC mehr Kontrolle über seine Anwendungen und Einstellungen zu geben. UAC verhindert, dass Benutzer ohne Administratorrechte unbefugte Änderungen an einem System vornehmen. Aber aufgrund der Einrichtung in Vista verhindert UAC manchmal sogar, dass autorisierte Benutzer auf Anwendungen und Funktionen zugreifen können, auf die sie normalerweise zugreifen sollten.

Dies geschieht durch eine Reihe von Bildschirmaufforderungen, die den Benutzer zur Überprüfung auffordern Berechtigungen, und es kann erfordern, dass sie ein Kennwort eingeben, um eine Aufgabe auszuführen. Dies kann den Arbeitsablauf von Benutzern unterbrechen, selbst bei einigen alltäglichen Aufgaben, es sei denn, sie sind als lokaler Administrator festgelegt. Die UAC-Eingabeaufforderungen wurden so problematisch, dass Apple sie sogar in einem Fernsehspot veräppelte, und Microsoft schwor, die Funktion in Windows 7 zu verbessern.

Windows 7 befindet sich noch in der Betaversion und wird voraussichtlich Ende dieses Jahres oder Anfang nächsten Jahres ausgeliefert. Microsoft hat die Beta Anfang dieses Monats veröffentlicht und die Änderungen an der Benutzerkontensteuerung im Engineering Windows 7 Blog dargestellt.

Die Änderungen überarbeiten die Standardeinstellung der UAC, und hier liegt das Sicherheitsrisiko, so Zheng.

Wie er erklärte In seinem Beitrag lautet die Standardeinstellung von UAC in Windows 7: "Benachrichtigen Sie mich nur, wenn Programme versuchen, Änderungen an meinem Computer vorzunehmen" und "Benachrichtigen Sie mich nicht, wenn ich Änderungen an Windows-Einstellungen vornahm."

UAC unterscheidet zwischen einem dritten -Party-Programm und eine Windows-Einstellung mit einer Sicherheitszertifizierung, und Bedienfeldelemente werden mit diesem Zertifikat signiert, so dass sie keine Eingabeaufforderungen ausstellen, wenn ein Benutzer die Systemeinstellungen ändert, schrieb er.

Allerdings in Windows 7 UAC ändern wird laut Zheng als "Änderung der Windows-Einstellungen" betrachtet. Zusammen mit der neuen standardmäßigen UAC-Sicherheitsstufe bedeutet dies, dass ein Benutzer nicht gefragt wird, ob Änderungen an der Benutzerkontensteuerung vorgenommen wurden, auch wenn diese deaktiviert wurde.

Zheng sagte, dass er die Benutzerkontensteuerung per Fernzugriff deaktivieren kann ohne den Endanwender zu kennen.

"Mit Hilfe meines Entwicklers Side-Kick Rafael Rivera haben wir ein voll funktionsfähiges Proof-of-Concept in VBScript entwickelt (das wäre in C ++ EXE genauso einfach) - emulieren ein paar Tastatureingaben - ohne UAC zu fordern ", schrieb er. "Sie können es hier herunterladen und ausprobieren, aber bedenken Sie, dass es die Benutzerkontensteuerung deaktiviert."

Zheng hat auf seinem Blog auch eine Problemumgehung für das Problem gepostet.

Microsoft sagte am Freitag durch seine PR-Firma, dass es sich mit dem Problem befasste und keinen unmittelbaren Kommentar hatte.