» Så här fungerar TechWorlds expertpanel:

  • Varje vecka på måndag lägger vi ut en ny artikel med ett tema (Se faktarutan till höger). 
  • Fram till onsdag har du sedan möjlighet att ställa frågor i kommentarfältet på denna artikel som expertpanelen ska svara på. 
  • På onsdag eller torsdag samma vecka kommer vi publicera några utvalda frågor med mer utförliga svar. Här kommer du dessutom ha möjlighet att ställa ytterligare frågor som våra experter svarar direkt på i kommentarfältet

Här är en sammanfattning av svaren från denna veckas frågor. Samtliga frågor hittar du här: Experthjälp med dina förberedelser inför Windows 7

Nyttan med UAC

Om man nu kör en tillförlitlig mjukvaru-brandvägg, ett alternativt antivirusskydd och även en sys-cleaner med regelbundna scanningar. Finns det någon fördel man går miste om i ett sådant fall då man skulle kunna tänka sig verkligen ha nytta av storebrors UAC?

 - Richard Sandqvist

Svar:

UAC handlar om att styra vilken privilegienivå saker får exekvera i Windows på och därmed vilket data som processen kan interagera med. Att ha en bra brandvägg och ett bra anti-virus skydd är förvisso bra men det är bara en liten liten del i ditt totala skydd och det är mer parallellt med UAC än istället för.

UAC hjälper framförallt till när kod väl har tagit sig till maskinen ifråga, oavsett om det kom in via nätverket eller om det var en användare som stoppa i ett USB minne eller för den delen en utvecklare som skrev koden på plats på maskinen. Så det ena eller det andra utesluter inte det första och vice versa.

Michael Anderberg

Jag instämmer med Michael, slå _aldrig_ av UAC! Det spelar ingen roll hur många skyddsprogram man har och speciellt antivirusprogram och antimalwareprogram som baserar sina skanningar på kända virus/malware genom definitionsfiler kommer aldrig att vara 100-procentiga och kan lätt kringgås. Det är en anledning.

En annan anledning är att man alltid vill minimera riskerna för skadlig kod att ta sig in på datorn, och ju fler skydd desto bättre.

Att köra som standard user (vilket är vad UAC gör trots att det är att adminkonto du kör med) har varit rekommenderat i många år men det är först med Windows Vista och senare detta har blivit standard. Oavsett hur väl skyddad du är så finns det ingen anledning att alltid köra som administratör eftersom du till 97% (uppskattad siffra) av den tid du använder vid datorn aldrig behöver dessa priviligier. Attacker kan komma från många håll och du tjänar i längden på att aldrig köra ditt vanliga användarkonto som administratör.

Ett exempel kan vara att det finns en sårbarhet i tcpip-stacken eller någon nätverkstjänst som exponeras mot internet eller nätverket och om man kör som administratör kan attacker utifrån (eller inifrån det interna nätverket då man ofta tillåter denna trafik fritt) göra att ens dator tas över och det dessutom utan att man vet om det. Game over i sådana fall.

Notera också att man genom att köra 64-bitarsversionen av Windows 7 automatiskt får skydd mot rootkits i form av "kernel patch protection".

Andreas Stenhall


Vänta lite här nu. Vad är skillnaden på att låta din brandvägg tillåta trafiken (som definitivt är mer specificerad om vad det är för trafik som vill ha åtkomst till din dator) och besvara "tillåt" på UAC-meddelandet som kommer fram?

Det går aldrig skydda sig HELT, om man inte bestämmer sig för att dra ut nätverkssladden/stänger av det trådlösa nätverket och aldrig mer försöka mickla med USB minnen, disketter eller andra lagringsmedia. (Det är först DÅ du kan vara säker på att DU har kontrollen)

Det var heller inte min fråga. Jag jobbar själv med datorer och är rätt intresserad av säkerhet. Jag tänkte om jag kanske missat någonting med UAC som jag kanske bör tänka på? - I hänvisning till min första post.

- Richard Sandqvist

Till att börja med UAC är något av en kompromiss. Helst skulle man ha en helt klar och definerad avgränsning mellan ett konto som administrativa rättigheter och ett som inte har det. Men sanningen är att det blir för jobbigt för folk i längden. UAC är för Windows precis vad SU eller SUDO är för Unix-världen, dvs ett sätt att temporärt ta sig administrativa rättigheter för en medveten konfigurationsförändring, men att däremellan köra som vanlig användare.

Så två frågor ni ställer här är:

1. Vad förlorar jag eventuellt om jag stänger av UAC?

Först och främst, det går INTE att stänga av UAC men det går att få det helt automatiserat och därmed knappt märkbart i form av att det automatiskt gör silent elevations när det behövs. Men det fungerar bara oftast men man kan inte garantera alltid. Men det man förlorar är Windows möjlighet att köra kod med olika privilegienivåer, så bland annat slutar Internet Explorers Protected Mode att fungera, som kanske är den av anledningarna till att Internet Explorer gått från något man skrattar åt till marknadens just nu säkraste webbläsare. Tack vara detta så kan t.ex. en webbsite bara ladda ner kod automatiskt till Temporary Internet Files på maskinen och därifrån får ingenting köras. Så malware som smittar i form av drive-by shootings blir värdelöst.

Men man förlorar också virtualiseringsstödet, nu menar jag inte Hyper-V utan möjligheten för Windows att automatiskt styra om försök till skrivningar i Windowskatalogerna, Program Files och HKLM i registret - till att istället skriva till en virtuell motsvarighet i Program Data för användaren. På det sättet så löser man en stor del av applikationskompatibilitetsproblemet.

Vilket leder mig in på del 2:
Man märker oftast bara av UAC vid installationer och omkonfigurationer. Men funktionen finns där och skyddar dig hela tiden, inte minst vad det gäller virtualisering enligt ovan.

Michael Anderberg


Men ta t.ex. en mjukvaru brandvägg som Comodo, där du har möjligheten att spärra tillgång till registret, körbarhet och internetåtkomst. Du kan lägga upp regler - Precis som i hårdvarubrandväggar, där du själv väljer vad som ska gå ut och in. Varje gång en körbar fil körs, som vill göra förändringar i t.ex. regisret, så får man upp en dialogruta om man vill tillåta eller neka åtkomsten. Dessutom har du valfriheten att välja installationsläge (silent mode), att spärra internet/nätverksåtkomst för ALLT! (händigt i vissa fall) eller att ställa brandväggen på et tinlärningsläge så den känner av vilka program du använder och anpassar brandväggsreglerna automatiskt. (rekomenderas bara att använda de första dagarna efter installation)

Om man kör det här... Vad har UAC då för nytta?


 - Richard Sandqvist

Fortfarande hela den här biten med virtualisering och olika privilegienivåer, det kan jag inte se att Comodo vare sig hanterar eller ens kan hantera, då detta egentligen bara kan hanteras av de allra innersta bitarna av kärnan för att vara trovärdigt.

Mark Russinovich är en Technical Fellow på Microsoft och är nog en av de smartaste personer jag känner, man vill ju inte verka dum när man pratar med honom :). Han ger här en kort intervju om Core Architecture och bland annat UAC:
Länk till intervjun.

Sedan så har han skrivit om det i julinumret 2009 av TechNet Magazine: Länk. och i februarinumret 2007: Länk.

Här är några bra länkar på ämnet:

Michael Anderberg

Många experter blir det...

Varför är det så många windows experter som så gladeligen kastar sig ut i media för att gratis dela med sig av sina kunskaper när ett nytt windows kommer? Inte alls lika vanligt när Mac och framför allt inte Linux släpper något nytt.

- Kent Holmkvist

Svar:


Kent m.fl, jag kan försäkra er om att ingen av oss i expertpanelen har köpt denna uppmärksamhet. Det handlar bara om att IDG har konstaterat att Microsoft har släppt en ny version av sitt operativsystem som på ett eller annat sätt kommer att nå nästan en miljard användare världen över - därav ser de ett visst allmänintresse i produkten. Att de har frågat just oss tre att vara experter, ser vi själva som smickrande, men det finns absolut ingen baktanke från vare sig dem eller oss. Vi gör detta för att vi brinner för tekniken och tycker att det är roligt!

Michael Anderberg

Windows Mail

Idag har jag Vista Home Premium och använder Windows Mail som e-postprogram. Om jag uppgraderar till Windows 7 kan jag då behålla mina e-mail och flytta dem till det nya Windows Mail i Windows 7?

- sagoga

Svar:

Windows Mail finns inte längre, men däremot så finns det något som heter Windows Live Essentials och i det finns Windows Live Mail som är nyaste versionen av samma sak som du har. Och ja, du kan importera dina gamla email och kontakter in i det.

Michael Anderberg



Gamla Spel

Har en hel del äldre spel hemma, såsom Diablo, Baldur's Gate och Red Alert. Funderar nu på byta upp mig till Windows 7 64-bit, men är orolig att dessa inte ska fungera. Har hört talas om att man kan köra Windows XP Mode, men fungerar det även på 64 bitars versionen av Windows 7?

- Helikoptermamma

Svar:

"XP Mode" är precis som du säger en virtuell maskin som dessutom körs via RDP och grafik och spel fungerar inte särskilt bra i något av dessa alternativ, allra helst inte kombinerat.

Andreas Stenhall



Läs fler guider om Windows 7 på TechWorlds Windowssajt

Så frigör du diskutrymme i Windows 7


Vad tycker du om UAC?
Det är inte längre tillåtet att rösta.

Fakta

Vecka 45 Att byta från XP eller Vista till Windows 7
Vecka 46 Förberedelser inför Windows 7
Vecka 47 Windows 7 och utrullning
Vecka 48 Vad vinner jag på att köra både Windows 7 och W2K8R2?
Vecka 49 Lagring och sökning i Windows 7 och W2K8R2
Vecka 50 Virtualisering med HyperV v.2
Vecka 51 Migrering av filservern från W2K3 till W2K8R2
Vecka 52 VDI - virtual desktops med W2K8R2
Vecka 53 Säkra dina klienter med Windows 7


Joakim Nässlander, Knowledge Factory
Jocke har under de senaste åren profilerat sig inom området Microsoft infrastruktur. Dels genom att hålla uppskattade föredrag både i Sverige och internationellt, och dels i sitt deltagande inom Microsoft Technology Adoption Programs. Några av de tekniker där Joachim bidragit i arbetet är Windows Server 2008, Hyper-V, System Center Virtual Machine Manager 2008 och Windows 7 / Windows Server 2008 R2.

Just nu leder han det tekniska arbetet med att driftsätta Windows 7 hos en svensk myndighet tillsammans med kollegor ifrån Knowledge Factory.


 Andreas Stenhall, MVP, Hermelin IT-partner 
Expertområden är Windows klient och allt som rör klienterna och dess funktioner, vilket på ett naturligt sätt inkluderar även Windows server. Han är MVP inom Windows Desktop Experience, Systems administration. Andreas kan endast koppla bort datorerna från tankarna helt och hållet när han är bortrest på semester och därför reser han gärna så ofta han hinner, allra helst till något varmt och avlägset land. Läs mertheexperienceblog.com ochhermelin.com.

 Michael Anderberg, TruSec
Michael är en av Sveriges tyngsta it-evangelister, han har tidigare jobbat som IT Pro Evangelist på Microsoft i Sverige och fokuserar framförallt på Windowsplattformen och säkerhet. Han är också en eftersökt talare både nationellt och internationellt inom dessa ämnen.