Saiba como o Controle de Conta de Usuário (UAC) trabalha para que ninguém (ou qualquer ameaça) rode programa algum no seu PC sem que você saiba!

Por Flavio Xandó

Ao começar a usar o Windows Vista, alguns usuários estranham a presença de telas solicitando confirmações e autorizações que não existiam no Windows XP. Pode-se dizer que apesar de aparentemente “chatas” são fundamentais na estratégia de proteção. No Windows XP, por exemplo, um usuário pode ser Administrador ou Usuário Limitado. Fora ambientes corporativos, nos quais políticas de segurança forçam o usuário ter menos prerrogativas, no ambiente de pequenos e médios escritórios e principalmente em casa, todos se promovem a Administrador. O perigo nasce aí. Por causa da arquitetura do Windows XP (imagine os sistemas operacionais mais antigos então), processos benignos e malignos herdam da sessão do usuário todos os seus privilégios. Programas podem ser instalados à revelia do dono da máquina, sub-repticiamente, áreas críticas alteradas, etc. Por outro lado o usuário comum (não administrador) não tem privilégios suficientes nem para trocar o fuso horário (em caso de viagem) ou a hora do computador, muito menos instalar um driver de impressora.



Na prática, no XP, o Administrador é muito mais poderoso que seria necessário enquanto o usuário comum é desprovido de capacidades básicas (por isso todos se promovem no XP a administrador). A estratégia usada no Vista teve bom senso, embora custe um certo nível de policiamento (ou burocracia para alguns). Quando uma ação crítica, que comprometa a integridade ou segurança é executada por um Administrador, o Vista interrompe o usuário e o informa da ação sendo executada e solicita uma confirmação. Se o usuário não for administrador, a senha do administrador daquele PC é solicitada para que a tarefa se complete. Esta segunda forma foi chamada originalmente de “Over the shoulders” (sobre os ombros). Mimetiza a ação de um supervisor que vem ao socorro de seu funcionário e autoriza com sua senha determinada ação. 


ATENÇÂO Administrador sendo alertado de uma ação crítica

Isso é importante, pois desta forma um programa mal intencionado não realizará nada sem consentimento explícito de seu usuário (administrador ou não). Spywares por exemplo tentam interromper os serviços de antivírus e o fazem sorrateiramente no XP, mas não mais no Vista. Na essência esta descrição toda é o que faz o UAC (“Controle de Conta de Usuário”).



Por outro lado várias ações que o usuário comum não realizaria antes estão disponíveis para ele como desfragmentar discos, conectar-se a rede sem fio com criptografia, instalar controles Active-X ou periféricos previamente autorizados pelo administrador, realizar as atualizações críticas do Windows, etc. Foi uma troca. Um pouco mais de liberdade, mas um pouco mais vigiada. Uma decisão errada, autorizar a execução de um programa maligno, ainda pode ser feita, mas jamais sem que o usuário tenha autorizado explicitamente.

Privilégios somente para quem precisa

Mas e se o usuário mesmo com todos os alertas e solicitações de autorização permitir a execução de um programa maligno?? 




“Windows Service Hardening” é a resposta. Analogamente ao Controle de Conta de Usuário, a execução dos Serviços do sistema também tem formas diferentes de conferir poderes às aplicações. Enquanto no Windows XP o “Local System Account” utilizado pelos serviços é pleno e poderoso, no Vista existem outras contas de usuário do sistema :

•  “Network System Account” que é limitada em privilégios mas usada para serviços que precisam ter acesso à rede
•  “Local Service Account” que é usada pelos serviços que somente precisam ter acesso à própria máquina.

Dessa forma as contas são limitadas nos privilégios básicos e somente têm autorização para atuar no escopo permitido. Devido ao grande número de “serviços” rodando simultaneamente, os “System accounts” podem ser aproveitados por ataques mal intencionados para instalar e executar código indesejado na máquina. Não é de admirar que tais “serviços” sejam o alvo principal de ataques de “malwares” como os recentes Blaster, Slammer e Sasser.

Essencialmente a estratégia denominada “Services Hardening” consiste em reduzir os privilégios dos “serviços” ao grau mínimo indispensável e limita seu raio de ação à máquina ou à rede. Todos os serviços do sistema operacional foram sujeitos a uma forte análise sob esta ótica e excluídos quaisquer privilégios desnecessários – como, por exemplo, a possibilidade de “depurar” código, que pode ser explorada por programas mal intencionados (entre tantos outros perigos).



PERMISSÃO Usuário comum solicitando uma permissão do administrador para ação crítica

Na prática estas medidas não visam impedir a entrada de códigos perigosos e sim dificultar a ação de um malware e limitar o potencial de causar danos de um serviço eventualmente comprometido. A Microsoft encoraja os desenvolvedores independentes a aplicar as mesmas diretivas aos serviços por eles criados. Muitos dos serviços que rodam na máquina são feitos por terceiros para darem suporte a seus programas, como antivírus, rotinas de reconhecimento de periféricos, etc. Assim, tais serviços serão mais seguros ao rodar sob Vista.

PC suspeito? Isole-o da rede!

O Vista traz uma novidade, um recurso de auto monitoração que amplia muito o nível de segurança em rede, principalmente nas empresas. É a tecnologia chamada “Proteção de Acesso à rede” (Network Access Protection). Um conjunto de políticas de segurança podem ser definidas como por exemplo :

• Existência de antivírus atualizado
• Windows Firewall ativado
• Vacinas do Windows Defender em dia
• Atualizações críticas de segurança aplicadas ao sistema operacional

Entre muitas outras. A não observância destas condições impede determinada estação de trabalho de entrar na rede. Nas redes corporativas uma rede “paralela”, que serve para isolar as estações de trabalho com esta falta de requisitos de segurança. Assim a única tarefa que estas máquina conseguirão realizar é se ajustarem às políticas de segurança para só depois terem acesso à rede “real” e completa da empresa.

O recém lançado Windows Server 2008 é um ambiente especialmente pronto para trabalhar com todos estes controles pois consegue administrar, inspecionar e gerenciar estas situações dos sistemas operacionais das estações de trabalho.

Na empresa isto é particularmente muito importante quando um notebook de funcionário, que após passar um ou mais dias fora da empresa, retorna com alguma configuração fora dos padrões de segurança definido (Firewall desativado por exemplo). A mesma coisa se aplica para o caso de algum “visitante”, cliente, fornecedor, que tente entrar na rede da empresa. Será submetido ao mesmo crivo.

PROTEÇÃO DE ACESSO À REDE Visão do cliente acessando a rede segura ou “rede isolada” (Clique na imagem para vê-la em tamanho maior)

No caso de Vista mais Windows Server 2008 pode ser inclusive feita de forma automática o “conserto” dos pontos que impedem o uso da rede. Atualizações críticas são instaladas, firewall religado, vacinas do Defender atualizadas, etc. visando restabelecer as condições mínimas que farão permitir o uso da rede

Além do Vista que já tem o recurso, o Windows XP Service Pack 3 terá condições de ser também policiado e bloqueado caso seu status de segurança esteja aquém do necessário.

Esta arquitetura é bastante elaborada e pode ser tão complexa quanto for necessário. Para grandes empresa, com redes muito grandes servidores poderão ser dedicados à função de “bloqueadores” (que consistem as políticas de segurança), os “remediadores” (servidores de atualizações de segurança), etc.

 Publicado originalmente na edição Especial 2 - abril de 2008.