AG report: User Account Control, Gebruiker te gast op zijn eigen pc

Windows Vista doet hier nog een schepje bovenop door het aantal group policies verder uit te breiden.
Windows 2000 begon volgens vice-president Jim Allchin met zo’n 500 beleidsinstellingen. Dat aantal groeide in de loop der tijd uit tot ruim 1700 in Windows XP SP2 en Windows Server 2003. Windows Vista en Longhorn, de serverversie die later dit jaar uitkomt, bevatten welgeteld 2495 beleidsinstellingen. “Vandaar dat we nieuwe functionaliteit hebben geïntroduceerd met het Desktop Optimization Pack. Daarin zitten allerlei hulpmiddelen om de group policies goed te beheren, zodat je bijvoorbeeld de rechten per afdeling van een organisatie anders kunt instellen”, vertelt René van der Vlugt, product solution manager voor Windows-clients bij Microsoft Nederland. Het Desktop Optimization Pack is gericht op klanten met een Software Assurance-licentieovereenkomst.
Los van het aantal bevat de group policy-functionaliteit van Windows Vista ook een fundamentele wijziging ten opzichte van voorgaande versies van Windows. Die wijziging staat bekend onder de naam User Account Control (UAC), in de Nederlandse versie gebruikersaccountbeheer geheten. Onder voorgaande Windows-versies is de eindgebruiker in principe altijd tevens beheerder van de client-pc, met alle beveiligingsrisico’s van dien. Kwaadaardige software zoals spyware en rootkits kan op een pc met beheerdersrechten ongehinderd worden geïnstalleerd. Ook kan de gebruiker zomaar de firewall uitschakelen. ‘Dichttimeren’ van de pc is mogelijk, maar heeft ernstige nadelen voor het gebruiksgemak en de productiviteit. Voor simpele taken als het gelijkzetten van de klok of het toevoegen van een printerdriver zijn beheerdersrechten vereist. Ook blijken veel oudere toepassingen niet of gebrekkig te draaien als de eindgebruiker niet als administrator is aangemeld.
Twee werelden
Dankzij UAC werkt de Vista-gebruiker in principe altijd met gelimiteerde rechten. Daardoor is de pc goed beveiligd tegen potentieel schadelijke acties, terwijl veel basisfuncties zonder beveiligingsrisico toch uitgevoerd kunnen worden. Daaronder vallen bijvoorbeeld het installeren van printerdrivers en lettertypes, het veranderen van de tijdzone en van instellingen voor energiebesparing. Reacties van testers op de tweede bètaversie van Vista leidden ertoe dat een standaardgebruiker ook de configuratie van muizen, toetsenborden, infrarood- en Bluetooth-apparatuur mag aanpassen.
Als een standaardgebruiker in Vista probeert taken uit te voeren waarvoor beheerdersrechten zijn voorgeschreven, krijgt hij een melding dat dit verboden is of dat hij eerst als beheerder moet inloggen. De wijze waarop Vista reageert op zulke acties is afhankelijk van de manier waarop UAC is geconfigureerd. Nadat toestemming is verleend, vallen de rechten automatisch weer terug tot standaardniveau direct na het uitvoeren van de specifieke taak.
Beheerders
Ook gebruikers met beheerdersrechten krijgen in Windows Vista niet continu toegang tot ‘gevoelige’ onderdelen van het besturingssysteem. Een beheerdersaccount staat standaard ingesteld in de zogenaamde Administrator Approval Mode. Dit betekent dat de meeste programma’s kunnen draaien met standaard-gebruikersrechten en dat een beheerder die acties wil uitvoeren waarvoor beheerdersrechten vereist zijn, wordt verzocht eerst expliciet toestemming te geven. Bovendien kan een bedrijf Vista zodanig configureren dat ook beheerders in dit geval een wachtwoord moeten opgeven.
Om dit alles mogelijk te maken zijn in Vista vier zogeheten integriteitsniveaus of integrity levels (IL’s) ingevoerd: laag, midden, hoog en systeem. Aan elk proces en object – zoals een bestand, map of register-sleutel – is één van deze vier niveaus toegekend.
Een proces krijgt alleen schrijfpermissie tot objecten die hetzelfde of een lager IL hebben dan het proces zelf. Processen met een laag IL kunnen echter wel objecten van een hoger niveau lezen.
UAC maakt gebruik van de integriteitsniveaus om te bepalen welke handelingen wel en niet zijn toegestaan. Zo draait zelfs een beheerder standaard op het middenniveau, behalve als hij tijdelijk wordt gepromoveerd tot IL-niveau ‘hoog’ om beheerderstaken uit te voeren. Alleen systeemprocessen werken op het hoogste niveau.
Overigens is UAC mede bedoeld voor thuisgebruikers. Ouders kunnen hun kinderen standaardaccounts geven en Vista zodanig instellen dat een beheerderswachtwoord nodig is voordat een kind zelf software mag installeren. Ook verkleint deze aanpak het gevaar dat gezinsleden ongewild virussen, spyware en andere ‘malware’ binnenhalen.
Virtualisatie
Veel bestaande Windows-programma’s zijn geschreven in de veronderstelling dat de gebruiker altijd over beheerdersprivileges beschikt en proberen gegevens weg te schrijven naar beschermde onderdelen van het bestandssysteem en het Register. Onder Windows XP kon dat in de praktijk tot compatibiliteitsproblemen leiden. Vista bevat daarom een nieuwe voorziening, ‘file system and registry virtualization’, waardoor een oudere applicatie toch functioneert met een standaardaccount.
Virtualisatie routeert schrijfacties en daaropvolgende leesacties van beschermde delen van het besturingssysteem naar een andere locatie binnen het profiel van de gebruiker. Doordat de ‘gefopte’ applicatie zo nooit toegang krijgt tot interfaces en resources die beheerdersrechten vereisen, worden volgens Microsoft de beveiligingsrisico’s verkleind.
Om de ontwikkeling van toepassingen te stimuleren die zich beter voegen naar het UAC-model levert Microsoft een aantal gereedschappen. Zo is er de Standard User Analyzer, een tool die vaststelt of een bepaalde applicatie met standaard gebruiksrechten naar behoren draait.