Sítio do Piropo

B. Piropo

< Coluna em Fórum PCs >
Volte
12/05/2008

< Por que Vista solicita >
<
autorização para tudo? >


Vamos prosseguir na nossa faina de analisar e discutir as reclamações mais freqüentes que se alevantam contra o Vista, partindo de seus usuários ou não.

Um tipo de reclamação recorrente sobre a operação do Vista (mas cuja freqüência está diminuindo ao longo do tempo seja porque as pessoas se acostumaram, seja porque entenderam a necessidade) é que “Vista pede autorização para tudo” e que “qualquer coisa que se quer mudar aparece uma janela solicitando uma senha de administrador”.

A concepção da figura de um “administrador” não é nova e nem foi “inventada” pela MS. Surgiu, na era do byte lascado, com o conceito de “sistemas operacionais multiusuário” quando se concebeu o uso compartilhado da máquina (ou de diferentes máquinas em rede). Nesses sistemas o administrador seria, se não um profissional, um usuário mais experiente, com maior conhecimento do funcionamento da máquina e do sistema e, sobretudo, com um domínio razoável das questões de segurança e dos riscos de invasão da máquina e roubo de dados pessoais. Com o sistema sob a supervisão de um bom administrador, os demais usuários não necessitavam de grandes conhecimentos técnicos.

Antes da disseminação da Internet esta figura apenas tinha importância em organizações que mantinham diversas máquinas ligadas em rede onde os riscos se originavam, necessariamente, nas máquinas conectadas (seja por má fé, da parte de um funcionário mal intencionado, seja por boa fé, com a inocente instalação de programas de terceiros contendo vírus). A maioria dos problemas ocorria pela inserção de um disquete contaminado em uma das máquinas da rede. Para evitar estes riscos, cabia ao administrador autorizar ou não a instalação de tal ou qual programa e efetuar inspeções regulares na rede em busca de vulnerabilidades e eventuais invasões ou infecções por vírus e vermes.

Mas com a disseminação da Internet, tudo mudou. Hoje, os cada vez mais sofisticados programas mal intencionados (“malwares”) ocultos nos desvãos da rede, estão permanentemente à espreita e dispostos a se instalar à revelia do usuário em qualquer máquina vulnerável conectada à Internet.

Com o aumento dos riscos de segurança trazidos pela Internet (e, com maior ênfase, a partir de lançamento do segundo “pacote de serviços”, o SP2 do XP) a Microsoft adotou a figura do administrador (da máquina, não apenas da rede). A idéia era ter, mesmo em máquinas domésticas compartilhadas por diversos membros da família, inclusive crianças e adolescentes, uma figura correspondente à do administrador da rede: um usuário mais experiente, em geral aquele que instalou o sistema e que seria o “dono” ou principal responsável pela máquina, com maiores conhecimentos, ainda que elementares, sobre questões de segurança, capaz de reconhecer os riscos e autorizar ou não a instalação de certos programas ou a execução de determinadas rotinas. Esta figura tinha uma “conta de administrador”, com todos os privilégios a ela inerentes. Os demais usuários, os chamados “usuários comuns”, usufruiriam de uma conta “limitada”.

Contas limitadas não permitiam a instalação de programas, não permitiam que seus membros autorizassem a execução de rotinas potencialmente perigosas, não tinham acesso ao Painel de Controle nem podiam abrir arquivos que pudessem agir como vetores de programas mal intencionados.

 Além de mudar sua foto, senha e algumas configurações de sua área de trabalho, pouco mais poderia fazer o detentor de uma destas contas. Sua autonomia no que toca ao gerenciamento de arquivos era igualmente limitada. Para praticamente tudo era necessária a intervenção do administrador. E intervenção mesmo: era preciso efetuar o registro na máquina (“login”) como administrador e somente então executar a ação potencialmente perigosa. Em suma: contas limitadas no Windows XP eram uma chateação. Suas limitações eram tantas e tão severas que não se podia fazer com elas quase nada de útil. Resultado: não conheço usuário (o que não quer dizer que não tenham existido; abstenham-se, portanto, de comentar que conheceram fulano ou beltrano que tinha uma conta assim) que usasse Windows XP com uma conta limitada. O procedimento usual era criar tantas contas quantas necessárias, todas elas com privilégios de administrador, já que Windows não impunha limite para o número destas contas.

Isto, se eliminava o inconveniente da obrigação de se registrar como administrador para efetuar as alterações mais comezinhas na máquina, trazia outro que, é verdade, incomodava menos, porém era muitíssimo mais perigoso: como todos os usuários eram administradores, o sistema operacional estava sempre sendo executado “com privilégios de administrador”, um modo de execução no qual quase tudo era permitido, já que se partia do princípio que o administrador sabia o que estava fazendo. Nesse nível de privilégio, as permissões eram garantidas pelo próprio sistema, sem sequer informar ao administrador.

Resultado: qualquer vulnerabilidade recém descoberta tornava Windows XP passível de contaminação sem que se tomasse sequer conhecimento disso. E enquanto ela não fosse eliminada através de uma atualização de segurança ou que as definições do programa antivírus não fossem atualizadas, a máquina corria sérios riscos.

Já o Windows Vista, como se sabe, foi desenvolvido tendo em mente dois objetivos principais: segurança e facilidade de uso. Que, infelizmente, nem sempre são compatíveis.

Para tentar alcançar esta compatibilidade sem comprometer o sistema, Vista implementou o “Controle de Contas de Usuário” (WAC, ou Windows Account Control). A idéia é simples: já que no XP o administrador “podia tudo” e com isto comprometia a segurança e já que o usuário comum, com conta limitada, quase nada podia, e com isto comprometia a usabilidade do sistema, a solução adotada no Vista foi aumentar os privilégios do usuário comum e reduzir o do administrador, sem contudo comprometer a segurança.

Como isto foi feito? Simples. No Vista, o administrador continua desfrutando de todos os seus privilégios. Porém, toda vez que alguma atividade potencialmente danosa solicita ao sistema operacional permissão para ser executada (como por exemplo a instalação sub-reptícia de um programa solicitada por um “script” embutido no código de uma página da Internet cuja finalidade é instalar um cavalo de Tróia e que no XP, executado com privilégios de administrador, era autorizada por padrão), abre-se uma janela informando ao administrador que a tal permissão foi solicitada. Por exemplo: se você, rodando Vista como administrador, clica em um atalho (“link”) de uma página qualquer de seu navegador que distrai sua atenção mostrando uma fotografia de mulher pelada (ou homem pelado, para quem gosta) enquanto tenta instalar um programa mal intencionado (“malware”) em segundo plano, Vista bloqueia a instalação, abre uma janela informando sobre esta ocorrência e solicita autorização para ela. Como você nada pediu para ser instalado, basta negar para garantir a segurança. Em suma: em Vista o administrador mantém seus privilégios, mas nem por isso deixa de ser avisado em caso de alguma atividade potencialmente danosa (o que não ocorria no XP). Cada vez que alguma atividade que pode comprometer a segurança solicita ao sistema operacional para ser executada, o administrador é avisado e sua autorização é pedida. Para autorizar basta clicar em um botão e seguir adiante. Incomoda? Sim, claro que incomoda. Mas o aumento do grau de segurança é extraordinário.

Figura 1: Solicitação de permissão para rodar programa.

Já aos usuários comuns do Vista foi permitido fazer um mundo de coisas que no XP lhes eram vedadas embora não comprometessem a segurança do sistema, como instalar fontes, mudar fuso horário, instalar controles ActiveX (desde que previamente aprovados pelo administrador), desfragmentar discos, ter acesso a (e usar) grande parte dos objetos do Painel de Controle (que, no XP, só podia ser aberto por um administrador) e mais umas tantas atividades comuns na operação diária. Em suma: no Vista, uma conta de usuário comum pode ser usada de forma perfeitamente produtiva.

Mas ao usuário comum continuam vedadas ações como instalar programas e drivers. Estas somente podem ser executadas pelo administrador ou com sua permissão expressa.

Acha que mudou pouco? Ao contrário, mudou muito. A chave está na expressão “ou com sua permissão expressa”. Porque Vista criou um novo recurso denominado “credenciamento sobre os ombros” (“over the shoulders”).

Nos tempos do Windows XP, para instalar um programa era necessário efetuar o registro (“login”) como administrador e então proceder à instalação. No Vista a coisa ficou mais simples. Usuários comuns podem instalar programas desde que autorizados pelo administrador. Que, no entanto, não precisam se registrar (ou efetuar “login”) para fornecer a autorização.

A coisa é de uma simplicidade franciscana e funciona assim: quando um usuário comum solicita a instalação de um programa, abre-se uma janela informando que aquela ação é exclusiva do administrador. Mas a janela não se limita a informar. Ela também fornece o nome do administrador e abre uma caixa de dados para a entrada de sua senha. Em uma corporação, o usuário entraria em contato com o administrador, que viria até a máquina, examinaria o teor da ação solicitada e, caso a considerasse segura, digitaria sua senha “por cima dos ombros” do usuário e clicaria no botão “prosseguir”. O programa seria instalado como se tivesse sido solicitado pelo próprio administrador.

Na prática, em geral, a coisa funciona diferente. Eu, por exemplo, crio sempre pelo menos duas contas nas máquinas que uso e rodam Vista. Uma, para mim, como administrador e usufruindo de todos os privilégios, com sua identificação de usuário (“userid”) e senha. Outra, também para mim, no papel de usuário comum com outra identificação de usuário e senha. Jamais uso a conta de administrador para minhas atividades diárias. Apenas recorro a ela quando desejo efetuar alterações drásticas no sistema, como alteração de configurações globais. Quando ligo a máquina, nela me registro (ou faço “login”) usando a conta de usuário comum. Se porventura necessito fazer algo que exija a autorização do administrador, quando a janela correspondente se abre, digito minha senha de administrador e sigo adiante. Assim, garanto um grau de segurança impensável nos tempos do Windows XP e não me aborreço com a abertura de uma ou outra janela aqui e ali exigindo autorização para executar certas tarefas.

Mas há quem se incomode com isto e reclame que “toda hora Vista abre uma janela pedindo autorização para isto e aquilo”. É uma reclamação pertinente. De fato acontece e efetivamente pode incomodar.

Tem, então, o usuário o direito a escolher. Ou, como eu, prefere um grau de segurança maior e se dispõe ao incômodo eventual de lidar com as janelas de autorização ou se contenta com um menor grau de segurança para evitar a abertura das janelas. Ambas as atitudes são válidas e aceitáveis.

Mas não é necessário abandonar Vista para se livrar das janelas incômodas. Como todo bom sistema operacional, Vista oferece um grau de flexibilidade de configurações que permite ajustá-lo ao gosto do freguês. Aqui mesmo no Fórum PCs há um excelente artigo do Marcos Nascimento Pesic (marcosnpesic) intitulado “Windows Vista... o GUIA completo” que destrincha dezenas de alterações de configuração que podem ser feitas no Vista para torná-lo mais rápido, mais leve e, eventualmente, menos bonito e seguro, mas não se pode ter tudo e decidir como prefere seu sistema é um inalienável direito do usuário. O fato é que o artigo é bom e merece uma visita.

Não sei se o Marcos incluiu este procedimento no artigo, mas se você desejar desabilitar o Controle de Contas de Usuário, basta abrir o objeto “Contas de Usuário” do Painel de Controle e clicar no atalho correspondente (usando privilégios de administrador, naturalmente). E se quiser eliminar até mesmo as mensagens de aviso quando em uso dos privilégios de administrador, pode fazê-lo usando as diretivas de segurança.

Vale a pena?

Depende.

Depende de para que você usa a máquina, qual o valor que você dá aos dados nela armazenados, do tipo de risco que você está disposto a correr, do grau de incômodo que acha aceitável e de mais um mundo de coisas.

Se você só usa a máquina para jogos e Internet, se não armazena nela dados sensíveis como senhas de contas bancárias ou informações pessoais, se não gosta de ser interrompido a toda hora com pedidos de autorização, desabilite as janelas e avisos e boa sorte (você vai precisar dela).

Se preza os dados armazenados na máquina, se não deseja perdê-los devido à ação de um destes vírus que “apagam” o conteúdo de discos rígidos ou, pior, se quer evitar que caiam em mãos de terceiros e não se incomoda de executar um ou outro clique de mause a mais cada vez que algum risco hipotético for identificado pelo sistema de segurança do Vista, mantenha o sistema habilitado.

Em qualquer caso a decisão é sua. Mas, se desabilitar a segurança para não se submeter ao incômodo de “ter que autorizar tudo”, caso sua máquina venha a ser contaminada ou invadida, não reclame do baixo nível de segurança do Vista. Afinal, quem desabilitou foi você.

 

B. Piropo