从Vista改进而来的Windows7 UAC预设值存在风险

Win7之家（ www.win7china.com）：从Vista改进而来的Windows7 UAC预设值存在风险

　　日前有国外安全专家表示，企业IT部门或许欣慰Windows 7有新的安全措施，但尽管微软特别变更了使用者帐号控制（UAC）的预设值，消费者仍有遭受恶意软件攻击的风险。

　　Windows 7最引人注意的安全功能改变，就是UAC的变更。

UAC首次出现在Vista，目的是防范未授权的程序代码执行。不论是操作系统或第三方应用程序，每当系统受到变更，使用者就会看到自动跳出的警示信息。Vista使用者抱怨这类信息过多，而安全专家认为，很多人因此忽略警示，或乾脆关闭这项功能。

　　微软在Windows 7让使用者自订警示出现的频率，并预设只有第三方应用程序作出变更，和UAC本身遭变更时警示。但专家曾警告，攻击者可用远端代码注入和利用Windows 7若干元件避开UAC，完整侵入系统。

　　Sophos今年9月发布的白皮书指出：（UAC）预设值的另一个问题是，恶意软件只需自行注入一个可信任的应用程序，并从那里执行，即可绕过该系统。事实上，有些恶意软件曾利用UAC型式的警告信息，取得使用者许可，在系统内畅行无阻。

　　Sophos资深安全顾问Chester Wisniewski重申白皮书中的观点，表示微软也应停止预设隐藏副档名，因为此举让使用者更容易被恶意软件蒙骗。Authentium首席技术官Ray Dickenson最近也在博客写道：Windows 7 UAC的变更，能让恶意软件作者轻易关闭UAC，完全不让使用者察觉。微软建议使用者开启UAC，却让恶意软件能避过使用者，轻松关闭这项功能。

　　他认为：如果恶意软件成功进入电脑，这场对抗难道不算输了吗？如果窃取密码的木马程序已经在你的电脑里，何必担心UAC？问题的关键是辨识好软件和坏软件固有的困难。

　　Windows核心操作系统部门资深副总Jon DeVaan，曾在今年2月化解这项质疑：最近的批评不代表有安全弱点存在，因为还没有已知的恶意软件侵入系统。Windows 7和IE8浏览器共同为使用者提供更好的保护，防止恶意软件侵入他们的主机…而我们也知道，一旦恶意软件被启动，UAC无法发挥百分之百的阻挡效果。

　　趋势科技资深防病毒研究员David Sancho认为，Windows 7的UAC变更将改善使用者经验，但操作系统将担起更多关于系统变更的判断责任，这对使用者来说，不见得有好处。近期内，真正的安全考验仍是浏览器，因为太多攻击和恶意软件感染都是通过网络。Sancho表示：“IE 8在这方面落后其他的浏览器。我可以预见那是未来整个系统安全防护的痛点。”

　　针对企业，Windows 7有几项有趣的安全提升。首先，新版操作系统解决了通过U盘散布病毒的问题。这类装置将无法利用AutoRun或AutoPlay，在Windows 7自动开启程序。不过，某些被当作CD或DVD的特殊USB闪存，仍可使用AutoRun。因此，Websense安全研究资深经理Patrik Runald认为，微软应该完全取消这项功能。他说：我认为他们作得不够。

　　而Windows7 Ultimate和Enterprise两版，也针对U盘提供BitLocker to Go加密支持，能在U盘遭窃或遗失时保护数据。新版操作系统还有强化的安全控制界面，名为Windows Action Center，针对如何搭配防火墙和其他安全问题，提供更可行的建议。