Por COMPUTERWORLD

A UAC busca corrigir esses maus hábitos, já que a maioria das aplicações roda com privilégios reduzidos por padrão. Quando a aplicação tenta realiza algo que demande privilégios de administrador, o UAC avisa e pede permissão ao usuário.

Infelizmente, o UAC não é perfeito. Joanna Rutkowska detalha diversas falhas na implementação da tecnologia (em inglês) que podem ser exploradas. Por exemplo, instaladores de software rodam sempre com privilégios completos de administrador. Além disso, o analista de segurança da Symantec Ollie Whitehouse afirma que o Vista chega com arquivos executáveis (em inglês) que podem ser usados para comprometer o UAC.

“Ainda acho que a Microsoft fez um bom trabalho com o Vista,” diz Rutkowska. De qualquer forma, suas descobertas deixam algo claro: Não imagine que o UAC elimine problemas relacionados com o perfil de administrador.

Estes não são o único problema do UAC. O comportamento dos usuário é também crítico. As caixas de diálogo dos UAC podem ser intrusivas e confusas. Usuários podem se sentir tentados a simplesmente desabilitar o UAC por frustração ou podem se tornar tão cegos que clicam em “Sim” a cada vez que o aviso aparecer. Existe, também, a possibilidade deles serem conduzidos a fazer algo errado através de engenharia social.

 “O Windows Vista fornece diversas funcionalidades para proteger o seu sistema, mas elas demandam um uso correto,” diz o Guia de Melhores Práticas de Segurança do Windows Vista sobre o UAC. “A segurança do seu sistema é tão forte quanto as suas ações, então pense antes de clicar.” Em outras palavras, confiar no UAC coloca a responsabilidade da segurança nos usuários – dificilmente um cenário ideal.

De fato, a Microsoft não incentiva seus clientes a pensar no UAC como uma fronteira de segurança e, como Rutkowska descreveu, não considera falhas no UAC como falhas de segurança (em inglês). Não ignore esse ponto. Fala alto e claro sobre como o setor de TI deve ver o UAC no ambiente corporativo.