微软Vista安全功能要惹恼用户 向第三方厂商施压

CNET科技资讯网4月15日国际报道 微软一名主管表示，Vista操作系统里的某项安全功能，是刻意用来惹恼使用者(annoy users)，以便向第三方软件制造商施压，敦促他们制作更安全的应用程序。

微软产品部的David Cross是集团计划经理，职掌使用者帐户控制(User Account Control；UAC)设计。这项功能一旦启动，就会要求使用者在标准使用者模式下执行Vista，而不具管理员的权限，所以当他们试图安装程序时系统会出现提示信息。

Cross上周在RSA Conference上表示：我们把UAC放进(Vista)平台的用意，是惹恼使用者--我是说正经的。用Windows前几版的电脑时，大多数的使用者都有管理员权限，而大多数应用程式都需要管理员权限才能安装或执行。

他宣称，惹恼使用者一直是微软的策略运用，目的在迫使独立软件商(ISV)打造更安全的程序，因为不安的程序可能触动系统提示(prompt)，降低使用者执行该程序的意愿。

Cross说：我们必须改变这个生态系。UAC将改变ISV生态系，应用程序会变得更安全。这是我们的目标：改变生态系。事实上，引发提示讯息的应用程序愈来愈少。80%的提示由十类应用程序(10 apps)所触动，有的是ISV发布的，有的是微软发布的。目前有66%的sessions不会引发提示。

他说，所谓使用者都把UAC关闭的说法不实，因为微软收集到使用者许可的回传资料显示，88%的使用者都使用UAC。他也驳斥所谓使用者不先细看系统提示就盲目接受的说法。

Cros说：说使用者一路点击：是、是、是的说法，是一种迷思。有7%的提示被取消。使用者不只是一味选“是”。

安全厂商卡巴斯基曾严词批评UAC，去年3月指责这项功能让Vista变得比Windows XP更不安全。

但在今年的RSA Conference上，该公司似乎改变说法。卡巴斯基美国资深产品行销经理Jeff Aliber说，Windows的攻击面积(attack surface)广大，切入点(entry points)有一些。若想缩小攻击面积、促进安全应用程序开发，就必须是棒的。

在Vista推出之前，卡巴斯基曾于2007年1月发表报告指出，UAC效果不彰。该公司指出，许多应用程序执行无害的动作，但看起来却可能是恶意程序，导致UAC闪现安全警示，而使用者只得对警讯视若无睹，才能让程序继续执行，或干脆把这项功能关掉，免得抓狂。