Hoe Microsoft User Account Control kan redden
Vorige week kwam Microsoft met een document over vijf niet begrepen features in Windows Vista, waaronder User Account Control (UAC). Het doel van UAC is volgens Microsoft om software ontwikkelaars zover te krijgen dat ze applicaties gaan ontwikkelen die in standaard user mode draaien. "Een reden dat deze feature niet begrepen wordt, is omdat UAC geen losse feature is; het is een verzameling van technologieën die de eindgebruiker helpt om met standaard user rechten te werken, en dat lokale administrator rechten alleen in bepaalde gevallen worden gebruikt."
Al twee jaar geleden deed Ed Bott een aantal aanbevelingen om UAC te verbeteren, die Microsoft nu mogelijk in Windows 7 kan toepassen. Zo moet er bijvoorbeeld een speciale Admin Mode komen die gebruikers tijdens een sessie met adminrechten laat werken. Een andere oplossing is het instellen van een tijdslimiet voor UAC, zodat je binnen deze tijd adminrechten hebt om software te installeren. Verder moet het eenvoudiger worden om het Configuratiescherm en de Windowsverkenner met adminrechten te openen. Als laatste punt wil Bott dat het duidelijk wordt als applicaties met verhoogde rechten draaien.
"Deze aanbevelingen werden twee jaar geleden niet gehoord, misschien na meer dan een jaar van gebruikersklachten en frustratie is iemand eindelijk bereid om te luisteren."
En vervolgens dit verder uitwerken:
want je hebt geen admin bij home gebruikers. Bij Jan Modaal is het
admin/standaard gebruiker model eenvoudig weg niet haalbaar. Hou ook
rekening met compatibiliteit.Velen softwareontwikkelaars hebben zich nooit
aangepast het NT/W2K/XP user model. Waaorm zouden ze het nu doen. UAC
is voorlopig de beste oplossing. IMHO..
van de Run As functie terwijl je als gewone gebruiker was
ingelogd. Dit werkt voor alle executables, en met wat moeite
ook voor de verkenner en het configuratiescherm.
van mij. Beide werken netjes zonder admin rechten. Dus het
is helemaal niet nodig om admin rechten te hebben... ook
voor een thuis pc niet. En laten we eerlijk zijn. Met geen
admin rechten begint de beste beveiliging van een pc.
Ik doe het onderhoud op de computers voor twee vriendinnen
van mij. Beide werken netjes zonder admin rechten. Dus het
is helemaal niet nodig om admin rechten te hebben... ook
voor een thuis pc niet. En laten we eerlijk zijn. Met geen
admin rechten begint de beste beveiliging van een pc.
En als ik mij goed kan herinneren heeft XP home wel een
Admin-account, alleen moet je via veilige modus gebruiken om
als admin in te loggen. En als gezegd, echt nodig hebben ze
het niet.
Precies ff vinkie aanzetten voor simple sharing modevew hoppa
securtytabblad erbij
waarschijnlijk wonderen.
@rberkers: 2x CTRL-ALT-DEL in het logon scherm doet
waarschijnlijk wonderen.
Dat werkt inderdaad ook onder XP Home, alleen mag je dan nog
steeds niet inloggen als de gebruiker Administrator. Dit mag
alleen in Veilige Modus.
En hoe vaak zal Jan Modaal daadwerkelijk admin rechten nodig
hebben? Die zitten echt niet heel de dag software te
installeren of OS instellingen te veranderen.
Welnee joh.. Jan Modaal heeft altijd de snelste en meest
bruikbare pc met slechts enkel wat nuttige 'tooltjes'. Jan
Modaal heeft een schoon bureaublad, geen tientallen
icoontjes in de systray, geen gave theme's, speelt geen
games en kijkt geen films. Daarbij laat Jan Modaal zijn/haar
systeem ook niet de hele dag aan om films/software van het
net te trekken voor anderen want zelf gebruikt hij deze
immers niet..
Erik.
Precies ff vinkie aanzetten voor simple sharing modevew hoppa securtytabblad erbij
Jan Modaal surft wat op Internet, e-mailt wat en schrijft af en toe een briefje..
Daar heb je echt niet constant admin rechten bij nodig..
en toe een briefje..
Dan zou Jan Modaal met gemak kunnen werken met Mepis7 of zo.
van linux implementeren ? Of moeten ze dan toegeven dat ze
gefaald hebben ?
gebruikers volledige controle. Ze kunnen dus inloggen als administrator en
hun beperkte account eleveren. In Vista heeft de admin 2 tokens : 1
standaard gebruiker - 1 met het recht om te eleveren. Dus niet te vergelijken
met de admin in XP. Een standaard gebruiker kan in Vista dankzij UAC zaken
installeren - wat jij minimaliseeert - maar dank zij de virtualisatie is
dat niet system wide waar het bij XP met runas altijd system wide is.
Bijgevolg zijn malware installs bij Vista meestal beperkt tot de user en niet al
de users. Vergeet ook niet dat IE7 in Vista sandboxed draait . Zelfs FF draait
niet sandboxed op Vista. Wordt wel gevirtualiseerd omdat FF in program files
zijn dingen wel doen. Maar nogmaals: bij thuisgebruikers zijn alle gebruikers
administrator en gebruiker....Dit wil niet zeggen dat UAC niet kan verbeterern
maar zeker geen whitelisting want dan gaan ontwikkelaars zich nooit
aanpassen.
Maar die ga ik hier niet verder verspreiden. De enige kritiek op UAC die ik heb,
is dat je het keer op keer moet accepteren. Als ze het nou eens deden zoals in
firewalls: één keer opgeven en dan onthouden, tenzij het programma
gewijzigd wordt, dan was UAC echt geaccepteerd geworden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.