- Varje vecka på måndag lägger vi ut en ny artikel med ett tema (Se faktarutan till höger).
- Fram till onsdag har du sedan möjlighet att ställa frågor i kommentarfältet på denna artikel som expertpanelen ska svara på.
- På onsdag eller torsdag samma vecka kommer vi publicera några utvalda frågor med mer utförliga svar. Här kommer du dessutom ha möjlighet att ställa ytterligare frågor som våra experter svarar direkt på i kommentarfältet
Här är en sammanfattning av svaren från denna veckas frågor. Samtliga frågor hittar du här: Experthjälp med dina förberedelser inför Windows 7
Nyttan med UAC
- Richard Sandqvist
Svar:
UAC handlar om att styra vilken privilegienivå saker får exekvera i Windows på och därmed vilket data som processen kan interagera med. Att ha en bra brandvägg och ett bra anti-virus skydd är förvisso bra men det är bara en liten liten del i ditt totala skydd och det är mer parallellt med UAC än istället för.UAC hjälper framförallt till när kod väl har tagit sig till maskinen ifråga, oavsett om det kom in via nätverket eller om det var en användare som stoppa i ett USB minne eller för den delen en utvecklare som skrev koden på plats på maskinen. Så det ena eller det andra utesluter inte det första och vice versa.
Michael Anderberg
En annan anledning är att man alltid vill minimera riskerna för skadlig kod att ta sig in på datorn, och ju fler skydd desto bättre.
Att köra som standard user (vilket är vad UAC gör trots att det är att adminkonto du kör med) har varit rekommenderat i många år men det är först med Windows Vista och senare detta har blivit standard. Oavsett hur väl skyddad du är så finns det ingen anledning att alltid köra som administratör eftersom du till 97% (uppskattad siffra) av den tid du använder vid datorn aldrig behöver dessa priviligier. Attacker kan komma från många håll och du tjänar i längden på att aldrig köra ditt vanliga användarkonto som administratör.
Ett exempel kan vara att det finns en sårbarhet i tcpip-stacken eller någon nätverkstjänst som exponeras mot internet eller nätverket och om man kör som administratör kan attacker utifrån (eller inifrån det interna nätverket då man ofta tillåter denna trafik fritt) göra att ens dator tas över och det dessutom utan att man vet om det. Game over i sådana fall.
Notera också att man genom att köra 64-bitarsversionen av Windows 7 automatiskt får skydd mot rootkits i form av "kernel patch protection".
Andreas Stenhall
Vänta lite här nu. Vad är skillnaden på att låta din brandvägg tillåta trafiken (som definitivt är mer specificerad om vad det är för trafik som vill ha åtkomst till din dator) och besvara "tillåt" på UAC-meddelandet som kommer fram?
Det var heller inte min fråga. Jag jobbar själv med datorer och är rätt intresserad av säkerhet. Jag tänkte om jag kanske missat någonting med UAC som jag kanske bör tänka på? - I hänvisning till min första post.
- Richard Sandqvist
Så två frågor ni ställer här är:
1. Vad förlorar jag eventuellt om jag stänger av UAC?
Först och främst, det går INTE att stänga av UAC men det går att få det helt automatiserat och därmed knappt märkbart i form av att det automatiskt gör silent elevations när det behövs. Men det fungerar bara oftast men man kan inte garantera alltid. Men det man förlorar är Windows möjlighet att köra kod med olika privilegienivåer, så bland annat slutar Internet Explorers Protected Mode att fungera, som kanske är den av anledningarna till att Internet Explorer gått från något man skrattar åt till marknadens just nu säkraste webbläsare. Tack vara detta så kan t.ex. en webbsite bara ladda ner kod automatiskt till Temporary Internet Files på maskinen och därifrån får ingenting köras. Så malware som smittar i form av drive-by shootings blir värdelöst.
Men man förlorar också virtualiseringsstödet, nu menar jag inte Hyper-V utan möjligheten för Windows att automatiskt styra om försök till skrivningar i Windowskatalogerna, Program Files och HKLM i registret - till att istället skriva till en virtuell motsvarighet i Program Data för användaren. På det sättet så löser man en stor del av applikationskompatibilitetsproblemet.
Vilket leder mig in på del 2:
Man märker oftast bara av UAC vid installationer och omkonfigurationer. Men funktionen finns där och skyddar dig hela tiden, inte minst vad det gäller virtualisering enligt ovan.
Michael Anderberg
Men ta t.ex. en mjukvaru brandvägg som Comodo, där du har möjligheten att spärra tillgång till registret, körbarhet och internetåtkomst. Du kan lägga upp regler - Precis som i hårdvarubrandväggar, där du själv väljer vad som ska gå ut och in. Varje gång en körbar fil körs, som vill göra förändringar i t.ex. regisret, så får man upp en dialogruta om man vill tillåta eller neka åtkomsten. Dessutom har du valfriheten att välja installationsläge (silent mode), att spärra internet/nätverksåtkomst för ALLT! (händigt i vissa fall) eller att ställa brandväggen på et tinlärningsläge så den känner av vilka program du använder och anpassar brandväggsreglerna automatiskt. (rekomenderas bara att använda de första dagarna efter installation)
Om man kör det här... Vad har UAC då för nytta?
- Richard Sandqvist
Mark Russinovich är en Technical Fellow på Microsoft och är nog en av de smartaste personer jag känner, man vill ju inte verka dum när man pratar med honom :). Han ger här en kort intervju om Core Architecture och bland annat UAC:
Länk till intervjun.
Sedan så har han skrivit om det i julinumret 2009 av TechNet Magazine: Länk. och i februarinumret 2007: Länk.
Här är några bra länkar på ämnet:
- User Account Control Data Redirection.
- User Account Control.
- User Account Control Virtualization and Data Redirection (PowePoint .pptx-fil).
Michael Anderberg
Många experter blir det...
- Kent Holmkvist
Svar:
Kent m.fl, jag kan försäkra er om att ingen av oss i expertpanelen har köpt denna uppmärksamhet. Det handlar bara om att IDG har konstaterat att Microsoft har släppt en ny version av sitt operativsystem som på ett eller annat sätt kommer att nå nästan en miljard användare världen över - därav ser de ett visst allmänintresse i produkten. Att de har frågat just oss tre att vara experter, ser vi själva som smickrande, men det finns absolut ingen baktanke från vare sig dem eller oss. Vi gör detta för att vi brinner för tekniken och tycker att det är roligt!
Michael Anderberg
Windows Mail
- sagoga
Svar:
Windows Mail finns inte längre, men däremot så finns det något som heter Windows Live Essentials och i det finns Windows Live Mail som är nyaste versionen av samma sak som du har. Och ja, du kan importera dina gamla email och kontakter in i det. Michael Anderberg
Gamla Spel
- Helikoptermamma
Svar:
"XP Mode" är precis som du säger en virtuell maskin som dessutom körs via RDP och grafik och spel fungerar inte särskilt bra i något av dessa alternativ, allra helst inte kombinerat. Andreas Stenhall
Läs fler guider om Windows 7 på TechWorlds Windowssajt
Så frigör du diskutrymme i Windows 7
Joakim Nässlander, Knowledge Factory
Jocke har under de senaste åren profilerat sig inom området Microsoft infrastruktur. Dels genom att hålla uppskattade föredrag både i Sverige och internationellt, och dels i sitt deltagande inom Microsoft Technology Adoption Programs. Några av de tekniker där Joachim bidragit i arbetet är Windows Server 2008, Hyper-V, System Center Virtual Machine Manager 2008 och Windows 7 / Windows Server 2008 R2.
Just nu leder han det tekniska arbetet med att driftsätta Windows 7 hos en svensk myndighet tillsammans med kollegor ifrån Knowledge Factory.
Andreas Stenhall, MVP, Hermelin IT-partner
Expertområden är Windows klient och allt som rör klienterna och dess funktioner, vilket på ett naturligt sätt inkluderar även Windows server. Han är MVP inom Windows Desktop Experience, Systems administration. Andreas kan endast koppla bort datorerna från tankarna helt och hållet när han är bortrest på semester och därför reser han gärna så ofta han hinner, allra helst till något varmt och avlägset land. Läs mertheexperienceblog.com ochhermelin.com.
Michael Anderberg, TruSec
Michael är en av Sveriges tyngsta it-evangelister, han har tidigare jobbat som IT Pro Evangelist på Microsoft i Sverige och fokuserar framförallt på Windowsplattformen och säkerhet. Han är också en eftersökt talare både nationellt och internationellt inom dessa ämnen.