Обновление UAC

  • Article

Добрый день! С вами снова Джон ДеВаан (Jon DeVaan). Сегодня мы поговорим об отзывах, полученных по поводу UAC.

На текущем этапе разработки Windows 7 нашей основной задачей является реакция на поступаемые отзывы. Недавние отзывы о UAC интересны с точки зрения принятия инженерных решений, поэтому я подумал, что эта тема вызовет интерес у читателей нашего блога. Таким образом, это третья статья, посвященная UAC. Тем, кто желает понаблюдать за эволюцией функции в Windows, рекомендую ознакомиться с двумя предыдущими (статья #1 и статья #2) и комментариями к ним, оставленными другими пользователями.

Мы рады теплым отзывам о Windows 7 и сегодня усердно работаем над тем, чтобы завершить работу над новой ОС на базе получаемых отзывов и данных телеметрии. Для всех нас, работающих над Windows, отрадно осознавать, что от нашей работы зависит множество людей по всему миру. Отзывы, полученные с момента начала бета-тестирования, показывают, насколько пользователям небезразлична Windows! И снова повторюсь, что для нас является честью быть частью удивительного сообщества людей, работающих над тем, чтобы привнести компьютерные технологии в дома миллиардов пользователей по всему миру. Спасибо за ваши комментарии и предложения!

UAC относится к разряду функций, относительно которых у пользователей сложились широкий спектр мнений, на одном полюсе которого находится безопасность, на другом – удобство использования. Хотя, конечно же, в действительности это не биполярная проблема. Внутри спектра есть несколько вполне жизнеспособных дизайнерских решений. Существуют системы, созданные быть настолько безопасными, что они защищены даже от тех, кто должен был бы выиграть от безопасности. Так, например, недавно мой банк настолько усложнил процедуру авторизации на сайте, что я предпочел сменить банк. Серьезно.

Развеемнедопонимание

Ввиду того, что пользователи комментируют нынешнюю реализацию UAC (а другие комментируют их комментарии), недопонимание растет как снежный ком, поэтому перед тем, как перейти к непосредственному обсуждению наших инженерных решений, необходимо прояснить сложившуюся ситуацию. Все инженерные решения принимались в полном соответствии с принципами безопасной разработки, введенными еще в Windows XP SP2. Наиболее важным является безопасность по умолчанию как часть «SD3+C». В Windows 7 все эти принципы продолжают действовать, но к ним добавились возможности контролировать все, что происходит на компьютере.

Во-первых, следует различать, как вредоносное ПО попадает на компьютер и запускается, и какой вред оно может нанести после своего запуска. До сего момента не зафиксировано случаев, когда вредоносное ПО попадало на компьютер без согласия со стороны пользователя. Все полученные до сих пор отзывы, касаются поведения UAC в случае, когда вредоносное ПО попало на компьютер и запустилось. Мы считаем, что описанная ситуация не подтверждает наличия уязвимости в UAC, поскольку, прежде всего, в отчетах не описан способ проникновения вредоносного ПО на компьютер без согласия пользователя. Некоторые подумают, что наша позиция вызвана несерьезным подходом к вопросу. Но поверьте, мы очень серьезно изучаем все поступающие отзывы.

Термин «уязвимость» имеет специфическое значение в сфере безопасности. В распоряжении Microsoft находится одно из лидирующих агентств о компьютерной безопасности – Microsoft Security Response Center (secure@microsoft.com), которое занимается непрерывным мониторингом экосистемы на наличие угроз и реагирует на любую угрозу или уязвимость, обнаруженную в любых продуктах Microsoft. С точки зрения термина, используемого в секьюрити-сообществе, наше дизайнерское решение, целесообразность которого подверглось сомнению, уязвимостью не является, поскольку оно не предполагает проникновения вредоносного ПО на компьютер.

Полезно остановиться на технологиях Windows Vista, мешающих проникновению вредоносного ПО на компьютер. При использовании Internet Explorer (в других браузерах предусмотрена схожая технология защиты) при попытке загрузки файлов с расширением .vbs или .exe пользователь увидит следующее сообщение:

clip_image001

clip_image002

Рис. 1 Предупреждения о загрузке исполняемого файла в IE7

В Internet Explorer 8 мы добавили ряд новых функций, предотвращающих распространение вредоносного ПО (см. статью). Одной из моих любимых функций в новом браузере является SmartScreen Filter, призванный помочь пользователям понять, что они находятся на сайте с вредоносными скриптами. Есть масса иных функций (скрытых и видимых), которые в значительной степени усложняют проникновение вредоносного ПО на компьютер.

clip_image003

Рис. 2 Диалог SmartScreen в IE8

Кроме того, при попытке открыть потенциально опасное вложение к электронному сообщению любая современная почтовая программа (например, Windows Live Mail) заблокирует его:

clip_image004

Рис. 3 Почтовая программа блокирует запуск исполняемых файлов

Множество откликов говорит о недопонимании того факта, что Windows 7 более эффективно мешает проникновению вредоносного ПО на компьютер, нежели чем Windows Vista. В Windows 7 мы продолжили концентрировать внимание на улучшении способности остановить вредоносное ПО до того как оно будет установлено и запущено. Это во-первых.

Во-вторых, необходимо четко представлять разницу межу различными настройками UAC. В Windows 7 мы добавили четыре варианта настройки UAC: «Никогда не уведомлять», «Уведомлять лишь при попытке приложения внести изменения в систему (без режима Secure Desktop)», «Уведомлять лишь при попытке приложения внести изменения в систему (с режимом Secure Desktop)» и «Всегда уведомлять». В Windows Vista у пользователя было лишь два варианта, эквивалентные режимам «Никогда не уведомлять» и «Всегда уведомлять». Интерфейс Vista не позволял быстро выбрать опцию «Никогда не уведомлять», поэтому выбора как такового и не было. Windows 7 дает пользователям больше выбора и контроля над UAC, а судя по полученным нами отзывам, это то, чего так не хватало пользователям.

На прошлой неделе мы получили отзывы, касающиеся поведения UAC в режиме «Уведомлять лишь при попытке приложения внести изменения в систему». Очевидно, что этот вариант вовсе не то же самое, что вариант «Всегда уведомлять». Поэтому в случае, когда пользователи говорят о том, что с UAC не все в порядке, легко понять, что они неправильно описали проблему.

ЦельUAC

Мы внимательно следим за отзывами о том, как режим «Уведомлять лишь...» работает в Windows 7. Для понимания наших дизайнерских решений важно осознавать их контекст. Мы выбрали режим работы UAC по умолчанию на базе отзывов, при этом учитывались голоса участников программы Customer Experience Improvement Program, Windows Feedback Panel, различных исследований и внутренних тестирований. Стало ясно, что сокращение количества диалогов подтверждения избавит пользователей от рефлекса, проявляющегося в необдуманном нажатии кнопки «Да».

Важно понимать, что UAC, по сути, не является функцией обеспечения безопасности. UAC лишь призван помочь пользователям обезопасить себя. UAC помогает лишь за счет вывода предупреждений перед установкой приложений. Поэтому UAC наиболее полно проявляется лишь при использовании режима «Уведомлять лишь...». Диалог UAC возникает и при других изменениях в системе, требующих привилегий администратора, что в теории является хорошей преградой для уже запущенного вредоносного ПО, но на практике эффект от этого весьма ограничен. Например, грамотно написанное вредоносное ПО избегает использования операций, требующих администраторских привилегий. Есть и другие человеческие факторы, о которых мы говорили в предыдущих статьях (статья #1 и статья #2).

UAC также признан помочь разработчикам программного обеспечения усовершенствовать продукты таким образом, чтобы они обходились без повышенных привилегий. Наиболее эффективным способом защитить систему о вредоносного ПО является работа со стандартными привилегиями. Чем больше приложений смогут обходиться без администраторских привилегий, тем больше пользователей будут работать в режиме стандартного пользователя. Мы ожидаем, что любой специалист, ответственный за парк компьютеров с Windows 7 (ИТ-администратор или работник домашнего helpdeska, подобно мне ), настроит их на использование учетной записи стандартного пользователя. И последние отзывы показывают, что работа в режиме стандартного пользователя проходит успешно. А в арсенале сетевого администратора имеется возможность усилить установки UAC с помощью параметра «Всегда уведомлять» с помощью групповых политик, если они предпочтут работать под учетной записью администратора.

Поэтому резюмируя протекавшую до сих пор дискуссию, можно сказать, что мы осознаем, что в последних отзывах нет речи об угрозе безопасности, поскольку вредоносное ПО уже должно было бы работать в системе. Мы знаем, что Windows 7 вместе с IE8 обеспечивают приемлемый уровень защиты от проникновения вредоносного ПО. Мы знаем, что отзывы неприменимы к режиму «Всегда уведомлять», и что UAC не на 100% эффективен в прекращении работы вредоносного ПО после того, как оно было запущено. Кто-то спросит, а зачем вообще нужен режим «Уведомлять лишь...» и почему он установлен по умолчанию?

Процесс разработки, ведомый пользователями

Создание и выбор варианта «Уведомлять лишь…» по умолчанию обусловлено рядом причин. Перед тем, как приступить к разработке Windows 7, мы получили огромное количество отзывов по поводу реализации UAC в Vista, в частности, непомерного числа диалогов. Новый режим UAC является реакцией на полученные отзывы. Недавние отзывы призывают устанавливать режим «Всегда уведомлять», но и обычные пользователи, предпочитающие другие режимы, тоже должны быть защищены. Я думаю, что они вполне могут чувствовать себя более защищенными, и рад, что в Windows 7 есть режим, отвечающий их потребностям. Так чего же хотят эти «обычные пользователи»? А как правильно выбрать режим по умолчанию, не забывая о принципах безопасности, является очень интересным вопросом.

Для того, что принять решение по поводу режима, установленного в бета-версии Windows 7 по умолчанию, мы наблюдали за двумя группами обычных пользователей, работающих в M3-сборке. На компьютерах одной группы была выбрана опция «Уведомлять лишь…», на компьютерах другой – «Всегда уведомлять». Мы проанализировали результаты и мнения пользователей относительно установленного режима. Это исследование наряду со статистикой, собранной через программу CEIP, Windows Feedback Panel, другие исследования и тестирования, обусловили наш выбор для бета-версии. Информация, получаемая через телеметрические системы в ходе бета-тестирования, позволит сделать окончательный выбор для финальной версии.

По результатам исследования получилось, что комфортным количеством диалогов UAC являются два диалога за одну сессию. Сессией, согласно определению, называется время от включения питания компьютера до его отключения или день – смотря что получается короче. Если пользователи видят в течение одной сессии более двух диалогов подтверждения UAC, у них создается впечатление, что UAC слишком навязчивый и мешает работе за компьютером. При анализе результатов, полученных при исследовании двух групп пользователей, мы обнаружили, что группа, использующая режим «Всегда уведомлять», сталкивалась более чем с двумя диалогами UAC в количестве сессий, в четыре раза превышающем аналогичные показатели для группы с режимом «Уведомлять лишь ...». При этом мы собрали статистику о том, во скольких случаях на компьютеры обеих групп пользователей удалось проникнуть вредоносным приложениям (по результатам сканирования Windows Defender). Сколь-нибудь значимой разницы выявлено не было. Мы и далее продолжим собирать информацию, чтобы проверить актуальность полученных результатов на большем числе компьютеров.

Мы рады позитивной реакции пользователей на внесенные в UAC измененения. Это помогает нам определить предпочтения «обычных пользователей» и мы продолжим наблюдение за отзывами и телеметрическими данными, чтобы и далее совершенствовать UAC.

Как видете, изнения в Windows 7 направлены на предотвращение проникновения на компьютер вредоносного ПО. Мы всегда стремились адекватно реагировать на отзывы, полученные при использовании Vista, чтобы обеспечить удобство работы без ущерба безопасности. Мы считаем, что нам удалось добиться значительного прогресса, поэтому с опасением относимся к отзывам относительно изменений в UAC. И еще раз примите нашу искреннюю благодарность за столь активные отзывы в отношении Windows 7. И хотя мы, к огромному сожалению, не можем реализовать функции таким образом, чтобы угодить всем и каждому, мы действительно стараемся оценить каждый полученный отзыв, взвешивая все за и против. Нашей целью является создание удобной и безопасной ОС для всех типов пользователей.

 

Джон