Partilhar via


User Account Control Kontroll

Jepp, litt om denne igjen. Og fortsatt vil jeg ikke være med på å skru den helt av... (UAC post, Elevation post) Kort oppsummert fordi dette gir det noe redusert sikkerhet og den popup'en er ikke så irriterende (syns jeg). Det er flere som sier til meg at de bare trykker på den uten å lese det som står der, det blir bare en vane for å komme videre og de mener derfor at den ikke har en funksjon rent sikkerhetsmessig. Og det er greit nok, det jeg gjør selv og for å være helt ærlig. (Ja, kjører selvsagt med UAC og prompting på). Men, når denne boksen kommer opp når jeg ikke forventer det, da reagerer jeg på det og leser den. Om jeg har startet f.eks gpedit.msc forventer jeg å få UAC prompten, hvis jeg leser mail eller surfer forventer jeg det ikke.

Det er derimot et lite tips jeg gjerne vil gi til dem som vil skru av UAC. Hvis dette bare er for å slippe denne dialog boksen til UAC er det ingen vits å skru av UAC helt, sett den heller bare til å automatisk elevere. Det reduserer sikkerheten din betraktelig, ja i stor grad, men ikke like mye som å skru av UAC helt. Om du er lokal admin og kjører uten UAC på vil alle programmer kjøre som admin. Dersom du har UAC på uten prompting vil i alle fall de "ordinære" programmene som nettleser og e-post program kjøre som standard bruker i utgangspunktet. (Edit: Men, merk at alle andre programmer enn IE lett kan be om å bli elevert og at dette da vil foregå stille i bakgrunn. Men dette vil da kreve malware av en art som enten ser ut som et setup program eller er tagga med at det trenger admin-rettigheter eller på annet vis ber aktivt om admin rettigheter)

Oppskriften for dette er slik:

  Åpne gpedit.msc på maskina di.
image Gå inn på Local computer, Windows Settings og undermappa Security Settings.
image Under Local policies og Security Options finner du en rekke valg for hvordan UAC skal oppføre seg.
image Dobbel klikk på "Behaviors of the elevation prompt for administrators..."

image

Sett denne til elevate without prompting. Klikk OK og avslutt gpedit.msc Ferdig!

Comments

  • Anonymous
    January 01, 2003
    Thanks Jesper! I am aware of the problem and have edited the post to make it clearer that this reduces the security considerably. But anyway, for instance the e-mail program wouldn't elevate itself just like that. It would take  malware that is Vista-aware so to speak and actively trying to gain admin rights (in one of the many possible ways, tagged, seen as installation, starting a new process of itself with ShellExecute with runas etc).  

  • Anonymous
    February 07, 2008
    Kristian, one error in your post: if you run UAC in silent elevation, only Internet Explorer remains protected. All programs do launch with a standard user token, but they can all elevate silently. In other words, your e-mail program is really no more protected than it would be if you disable UAC.