Záměrná vlastnost Windows 7: malware může deaktivovat UAC

Diskuze čtenářů k článku

avatar
30. 01. 2009 19:05

Vážně nevím, v čem jako že má být ta chyba. To si zase někdo honí triko. Tím, že nepůjde poslat přímo hotkey se přeci nic neřeší. Stejně tak jsem schopný si zdetekovat dané okno, zjistit jeho polohu a klidně provést odklik myší. Záležitost několika mála minut.

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
30. 01. 2009 19:01

Ludia sa proste cuduju niecomu,comu vobec nerozumia . Je predsa logicke, ze uzivatel nema pracovat ako root...alebo teda admin, ak to nieje nevyhnutne. Problem je ten, ze uzivatelia Windows maju vacsinou iba jeden (pripadne viac) administrtorsky ucet, kde im tu "otravnu hlasku vypisuje". V tomto pripade to uplne schvalujem, pretoze uzivatel, ktory si nevie urobit zakladnu konfikuraciu OS musi byt dookola obtazovany otazkou,ci chce naozaj urobit to alebo ono...! Na druhej strane uzivatel, ktory si vytvori ucet administratora, pouzije nan heslo (!) a dalej pracuje v ucte User, nema s UAC ziaden problem. Ak totiz potrebuje robit zlozitejsie nastavenia, nema problem prepnut sa na Administratorsky ucet, kde nan nevyskoci ani jedina hlaska UAC.

Je pravda,ze niektore (najma starsie) aplikacie niesu kompatibilne s UAC, lebo sa snazia zapisovat data niekde kde na to User nema opravnenie. Hmmm...no neviem,ale je skutocne tak zlozite pridat opravnenie Usera zapisovat do adresara kde sa subor nachadza?!

A co aplikacie ktore vyzaduju administratorske opravnenia pre ich chod? co tak - prave tlacitko "Run as Administrator..."

Skutocne mi pripada,ze niektori ludia, namiesto toho aby sa s niecim najskor naucili pracovat, radsej nadavaju aka je to zasa hlupost... Chapem,ze dnes kto nenadava na Microsoft nieje "in" . Ale je skutocne problem len v Microsofte alebo aj v nas???!!!

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 18:46

stačí třikrát otčenáš, teda billenáš a dvakrát zdrávas a je po problému ...

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
30. 01. 2009 15:29

Bohuzel ted nesedim u testovacich Win7 ale ve Viste je GP na nastaveni zda dialog UAC bezi v safe desktop nebo na desktopu uzivatele. Nezda se mi ze by toto ve Win7 chybelo, muzete nekdo prosim v gpedit.msc overit?

MP

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
30. 01. 2009 15:32

pardon, samozrejme myslim SECURE desktop

MP

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
30. 01. 2009 16:11

Dik. To je DEFAULT nastaveni (Zakaz dotazu na zvysena opravneni bez Secure Desktop)?

M

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 15:07

Já jsem stejným způsobem instaloval ve Win XP duverihodne korenove certifikatym, bez vedomi uzivatele. Spustit instalaci, programove za uzivatele odklikat par oken a je vymalovano. :)

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 14:49

1) Uzivatel by mel pracovat jako "standard user" a ne jako "pseudoadmin". To je take podle slov MS konecnym cilem UAC. V takovem pripade totiz malware asi jen tezko uhodne heslo.

2) Vista je proti tomu imuni out-of -the -box protoze se ta vyzva spousti na secure-desktop na kterou nic nemuze klikat. Ve Windows 7 lze tento rezim take aktivovat, ale defaultne je tam nastavena uroven nizsi tj. bez secure-desktop, protoze na to nekteri uzivatele nadavali.

Takze ano svym zpusobem je to vlastnost, kterou si ovsem vyrvali "inteligentni" a bezpecnosti-chtivi uzivatele...

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 13:53

Nevím, co mají uživatelé za problém. UAC je naprosto to samé, co na linuxu sudo, su a nadstavby (gksu, gksudo, kdesu, kdesudo a já nevímcoještě). To, že se explorer 3x dotazoval při přejmenování souboru např. v "Program Files" byla chyba exploreru, nikoliv UAC jako takového - to mělo na starost jen zobrazit jeden dialog s možností pokračovat, popř. zadat heslo, když bylo nastaveno. A otravné rozhodně nebylo a bylo užitečné. Díky němu ani nemáte šanci dostat nebezpečného vira, který by poškodil celý systém, maximálně mohl zdevastovat uživatelský adresář, ale funkčnost systému zůstane nedotčena. UAC byl od MS skvělý krok, protože někteří uživatelé jsou s odpuštěním dementi a používají účet správce místi normálního a spustí každou kravinu z internetu. To, že pak nějaký program odmítne pracovat (a je jich minimum) pod normálním uživatelem je jen chyba toho programu a jeho vývojáře, který žije 100 let za opicemi v domění, že systémy jsou dnes stále jednouživatelské a zapisuje si nastavení do instalační složky, což je totální prasárna. Řešením je buď daný program nepoužívat a nebo žádat vývojáře, ať problém napraví, popř. ho napravit sám, pokud jsou zdrojáky. A když to holt vývojář neopraví, nestojí za to takový program vůbec používat.

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 14:11

> A když to holt vývojář neopraví, nestojí za to takový program vůbec používat.

Genialna myslienka. Co ak dana firma uz neexistuje? Napisem si skript, co bude to UAC odklepavat?

A dalsia otazka, cital si vobec ten clanok? Bo mam taky dojem, ze reagujes na nepolozeny dotaz.

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
30. 01. 2009 14:16

Souhlasím s tím, že UAC je užitečná věc. Potom ale nechápu, proč se Microsoft rozhodl ve Windows 7 tak, jak se rozhodl. Vždyť komu UAC připadá otravné, tak ho může vypnout a to velmi snadno. Tak proč nemůže být prostě volba mezi "nech si UAC zapnuté, byť tě možná bude občas otravovat, ale zas tě taky ochrání" a "vypni UAC, nebude tě otravovat, když o ochranu nestojíš"?

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 14:57

Slo o to, ze se musela obrazovka prepnout na secure-desktop, ktera prave takovymto problemum zabranovala. Jenomze to se nekterym uzivatelum nelibilo (asi proto, ze obrazovka blikla, coz zejmena u vadnych ovladacu graficke karty mohlo zabrat trochu dyl) a tak je to ve Windows 7 defaultne bez secure-desktop (v nastaveni UAC se to da pretazenim posuvniku nastavit na Vista-like).

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
30. 01. 2009 15:06

Takže když jsem ten posuvník dal úplně nahoru, tak to je stejný, jak je to ve Vistě?

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 15:17

Ano, ale protože defaultně, je to, jako kdyby byl UAC vypnutej. Další bude, že protože nějakej idiot neumí nastavit firewall, se taky defaultně vypne, jako v OSX jednu dobu. Opravdu řešení, defaultně dělat děravej systém, protože IT idiotovi "se to nelíbí".

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 17:18

Ne, defaultně to neni jako kdyby bylo UAC vypnutý. Pouze je sníženej počet dotazování a ptá se to pouze při změně nastavení systému. Ne jako ve Vistě, že musim potvrdit i takovou kravinu, že si opravdu chci prohlédnout seznam procesů všech uživatelů.

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 17:09

UAC ma k SUDO hodne hodne hodne daleko ;) bohuzel :(

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
30. 01. 2009 17:41

Mas pravdu. Takze to funguje jako SUDO, ovsem s tim, ze aplikace na to nejsou pripraveny. Dokonce ani ty od Microsoftu. To je podle tebe normalni?

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
30. 01. 2009 13:03

It is not a Bug...it's a feature :D

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 12:49

pri prvnim seznameni s Vistami jsem se rozhodl jit na ucty obdobne jako na to jde linux. zalozil sem si ucet root, zalozil sem si vlastni ucet. ucet root byl admin, muj ucet user.

v nastaveni zabezpeceni jsem si nasel nejake polozky k UACu a podle navodu to posteloval tak, jak to melo fungovat

tj. pokud budu prihlasen jako root, UAC me nebude prudit. pokud budu mit nizsi privilegia, UAC se me dotaze a vyzada si heslo... vse fungovalo cele jedno sezeni, po znovu nabootovani windows se nastaveni zmenilo na vychozi - UAC prudil dal, heslo nevyzadoval...

pak sem zjistil, ze s takovym total commanderem se neda pracovat bez admin prav temer vubec :P kuriozni. ale je fakt, ze za to muze spis tcmd nez windows.

kazdopadne cela politika uctu ve windows je chora, a tohle uz je jen takova perla na hromade hnoje. myslim ze UAC ve W7 bude u vetsiny uzivately vypnut stejne jako ve vistach, a ze ani ve W7 se nepodari zaridit to, aby uzivatel mohl pohodlne pracovat s pocitacem i jen jako "user"...

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
30. 01. 2009 13:12

TC: asi máš starší verzi - nový TC si sám vyžádá práva na systému když je potřebuje.

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 17:08

mam verzi 7.04a, o zadne novejsi nevim.

problem je v tomto:

- ulozeny .ini soubor s nastavenim v "Program Files" = nemoznost pouzivat TC - pri startu me zadny UAC nepozada

- kdyz .ini soubor s nastavenim dam do "User", sice se mi nastavnei uklada, ale mel sem problemy s FTP ucty, a nemluve o tom, ze kdyz chci napriklad neco v "Program Files", tak to proste nejde - a zadny UAC na me nevyskoci

- a jako posledni vec - mrzi me, ze to nejde otrikovat jako v linuxu, kdyz jsem jen "user" - tj klikam si tak po plose a vzpomenu si, ze bych se chtel hrabat v nastaveni nejake aplikace, ktera je v "Program Files" - tak jakmile na neco kliknu, aby vyskocila hlaska, ze na to potrebuju admini prava a at laskave zadam heslo... zkousel sem tento navod: http://www.mojewindows.cz/jak-spravne-pouzivat-UAC-... ... - a jak sem do diskuse pod nim napsal - navod je to hezky, ale nefunguje, protoze se Visty prenastavuji na vychozi nastaveni

Win Vista Bussines 32b ...

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 17:52

Mám úplně stejnou konfiguraci jako ty a žádný problém nemám.

Mě si INI SÁM soubory ukládá v Users - není problém.

Když nemám na operaci práva, dá možnost pustit UAC hlášku pro heslo admina - není problém.

FTP používám normálně - není problém.

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 18:05

... jak je mozne, ze se ten samy system chova uplne jinak? :D dalo by se rict, stochasticky?! ... ja treba kdyz chci do windows adresare, nebo program files - a neco tam delat, tak to na me udela takove to "ding" ze na to nemam prava a nic se nestane. UAC nikdy nevyskocil :( ...

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 20:36

Máte tři možnosti. Buďto UAC vypnete - a pak můžete s TC řádit v Program Files jak chcete. Druhá možnost je TC spouštět pravým tlačítkem "Spustit jako správce". Stejnětak ve vlastnostech zástupce se dá nastavit, že bude vždy spouštěn jako správce.

Jinak systém UAC se dá svým chováním docela přirovnat k SELinuxu, tam také být rootem nestačí, musíte ještě splňovat další pravidla. Na tomto bezpečnostním konceptu není nic převratného nebo experimentálního. Jde o dlouhou existující věc.

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 12:29

Já navrhuji, aby UAC nebylo možné deaktivovat vůbec a pro jistotu, aby bylo nezbytné při každém potvrzení opisovat captchu. Vstříc maximálnímu bezpečí a efektivní práci

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
31. 01. 2009 19:20

este by mohli pridat nutny restart stroja.

mama hovori fetujucim detom, nelietajte vysoko...

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 12:24

Tak jedinou moznostou ako tomu predist je urobit UAC este otravnejsim, teda zapnut pytanie hesla. :)

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 12:33

To, aby to detekovalo jenom skutečnou periférii, je práce ve Visual C++ asi tak na 2 minuty...

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
30. 01. 2009 13:13

A za další dvě minuty bys ty chytrej zjistil, že je to k ničemu, když se připojíš přes VNC nebo Remote Desktop.

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
30. 01. 2009 17:39

Tady je diskuse o malvaru, ktery je uz na danem PC

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 13:20

jo a za další 2 minuty napíšeš soft, který bude signály směrovat tak, že si systém bude myslet, že jdou skutečně z periférie

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 13:36

Že ty seš neschopnej to ošetřit, je jenom tvůj problém neschopnosti.

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
30. 01. 2009 12:34

akeho hesla?

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 20:01

Len dat heslo na ucet a nastavit UAC, aby sa pytalo aj heslo, nie len OK - Cancel, to bude trosku tazsie obist. Windows 7 ma default UAC take, ze sa nepyta na zmeny nastavenia ako Vista, cize by sa to dalo prezit.

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 11:40

Vždyť je to taková vlastnost

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 12:18

It's not a bug, it's a feature

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 11:10

Aha, takže Vista k ničemu, Windows 7 taky vynecháme, protože v MS je banda antibezpečnostních idiotů, bohužel asi vysoko...

Zkusíme počkat na Windows 8, možná ty idioty konečně vyházej...

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 12:11

Tak já bych zase tak nenadával. Už i XP jsou velice bezpečný systém. UAC byl do Visty dodělán pouze kvůli paranoidním uživatelům. Normálnímu uživateli může být jedno, jestli lze nějak obejít nebo ne.

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 12:30

Jde o to, jakej backdoor ještě ve Win 7 bude, když nějakej idiot vydává ZCELA JASNOU BEZPEČNOSTNÍ CHYBU za "vlastnost". Nakonec to bude i to, že se na admina můžeš přihlásit se zadáním univerzálního hesla "MSBEST".

Právě proto, že XP je léty ověřenej bezpečnej systém, se mi zdá tohle vyjádření MS, jako kdyby se na pozice manyžerů dostali IT lamy, co rozuměj akorát barvě svojí kravaty. Protože to určitě neni z mozku programátorů, ale nějakejch takovejch nýmandů a blbců.

Nebo ať UAC úplně zrušej, protože tohle je taková bezpečnostní chyba, že ten systém je tak opravdu naprosto k ničemu.

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 12:17

Zůstaneme u Visty, ne?

Souhlasím  |  Nesouhlasím  |  Odpovědět
30. 01. 2009 10:48

Tak co, už konečně to linuxové sudo okopírují pořádně, nebo ten UAC paskvil ještě víc zmrší?

Souhlasím  |  Nesouhlasím  |  Odpovědět
Zasílat názory e-mailem: Zasílat názory Můj názor