User Account Control (UAC) có đáng ghét?

Tính năng kiểm soát người dùng User Account Control (UAC) giúp hệ thống an toàn hơn trước những mối đe dọa tiềm ẩn.

Tính năng kiểm soát người dùng User Account Control (UAC) giúp hệ thống an toàn hơn trước những mối đe dọa tiềm ẩn. Tuy nhiên, nhiều người dùng lại ghét tính năng này bởi chúng thường xuất hiện cửa sổ cảnh báo dạng pop-up xen ngang công việc mỗi khi thực hiện 1 tác vụ nào đó, chẳng hạn cài đặt ứng dụng, sao lưu hệ thống hoặc chỉ đơn giản là 1 tác vụ vô hại như thay đổi ngày giờ hệ thống. Liệu UAC có đáng ghét đến mức cần phải tắt hẳn, chúng ta cùng tìm hiểu những lợi ích lẫn phiền toái mà UAC đem lại trong bài viết bên dưới.

UAC là gì?

Tính năng kiểm soát người dùng User Account Control (UAC) xuất hiện lần đầu trong Windows Vista nhằm tăng cường khả năng bảo mật của hệ điều hành (HĐH). Tuy nhiên việc kiểm soát quá mức và không cho phép người dùng tùy chỉnh theo nhu cầu đã gây nhiều phiền phức; người dùng thường bỏ qua nội dung cảnh báo hoặc tắt hẳn UAC để thoải mái hơn khi sử dụng máy tính. So với Vista thì tính năng UAC trong Windows 7 được cải thiện đáng kể, thông minh hơn, nhiều mức độ bảo mật hơn để người dùng thiết lập theo nhu cầu cá nhân.

Cơ chế hoạt động

Khi sử dụng máy tính với tài khoản thuộc nhóm Users, bạn không thể thay đổi các thiết lập của hệ thống, cài đặt trình điều khiển thiết bị phần cứng, phần mềm, không có quyền truy cập các thư mục của người dùng khác cũng như không thể tạo hay xóa thông tin trong các thư mục, tập tin hệ thống. Tham khảo các nhóm tài khoản thường sử dụng trong bài viết “ID: A0504_139”. Cơ chế hoạt động của UAC có quan hệ mật thiết đến tài khoản người dùng (user account). Dù bạn đã đăng nhập với tài khoản thuộc nhóm Administrators (nhóm tài khoản có quyền cao nhất trong máy tính) nhưng theo thiết kế mặc định của Vista và Windows 7, các tác vụ, ứng dụng chỉ khởi chạy với quyền hạn tương đương tài khoản thuộc nhóm Users; điều này đồng nghĩa với tác vụ, ứng dụng đó không thể can thiệp, thay đổi thiết lập hệ thống. Khi ứng dụng cần được cấp quyền cao hơn, UAC sẽ xuất hiện bảng cảnh báo, yêu cầu người dùng xác nhận 1 lần nữa trước khi cấp quyền. Nếu chọn “No”, HĐH sẽ từ chối để ứng dụng tiếp tục khởi chạy (Hình 1). Như vậy có thể thấy cơ chế phòng vệ của UAC thông qua việc kiểm soát hành vi của người dùng (hoặc ứng dụng) sẽ giúp hệ thống an toàn hơn trước những mối đe dọa tiềm ẩn, tránh được nguy cơ phá hoại và những phiền toái không đáng có từ những ứng dụng, malware (virus, spyware, adware nói chung) cài đặt ngầm hoặc thay đổi thiết lập hệ thống (Hình 2). Bạn đọc có thể tham khảo chi tiết về UAC tại msdn.microsoft.com/en-us/library/bb756996.aspx

Thiết lập UAC

Chọn Start.Control Panel. User Accounts và nhấn chọn Change User Account Control settings. Đăng nhập bằng tài khoản thuộc nhóm Administrators và chọn Yes khi xuất hiện cửa sổ User Account Control. Vista chỉ cung cấp 2 chọn lựa là “Turn on or off” để bật (hoặc tắt) chức năng UAC; bạn đọc đơn giản là chấp nhận sự quấy rầy hoặc tắt hẳn trong khi Windows 7 có đến 4 cấp độ khác nhau cũng như cho phép người dùng quyết định ứng dụng nào xuất hiện cảnh báo “pop-up" trên khay hệ thống.

Xếp theo cấp độ bảo mật từ cao đến thấp thì Always notify me when (mặc định) sẽ luôn cảnh báo với bất cứ thay đổi nào ở mức hệ thống. Notify me only when programs try to make changes to my computer sẽ bỏ qua những hành vi người dùng, chỉ gửi cảnh báo khi ứng dụng tác động đến hệ thống. Notify me only when programs try to make changes to my computer (do not dim my desktop) về cơ bản cũng gửi cảnh báo khi ứng dụng tác động đến hệ thống nhưng không làm mờ màn hình, gián đoạn công việc của bạn. Never notify sẽ tắt hẳn tính năng UAC (Hình 3). Ngoài ra, bạn đọc có thể dùng tiện ích miễn phí TweakUAC (find.pcworld.com/59829) hoặc sử dụng secpol.msc (Vista/Windows 7 Pro, Ultimate và Enterprise) có đến 9 tùy chọn thiết lập UAC tùy tính chất công việc. Tuy nhiên, bạn cần hiểu rõ những thay đổi khi thiết lập tùy chọn này. Tham khảo một số bài viết liên quan đến UAC như “A0901_111, A0806_153”.

Ghi chú

- UAC của Windows 7 cho phép tùy chỉnh các cấp độ bảo mật khác nhau nhưng theo kinh nghiệm người viết thì bạn nên để mặc định ở mức cao nhất (Always notify me when). Một thực tế cho thấy nguy cơ tiềm ẩn từ hành vi người dùng là rất cao do việc tải về và cài đặt nhiều phần mềm khác nhau để thử nghiệm hoặc sử dụng các công cụ bẻ khóa phần mềm nói chung.

Lời kết

Như đã đề cập bên trên, UAC không phải là tiện ích phòng chống malware mà chỉ có tác dụng nhắc nhở về hành vi của người dùng hoặc ứng dụng có ảnh hưởng đến sự an toàn của HĐH. Bên cạnh đó, việc liên tục xuất hiện các cảnh báo của UAC lại gây nhiều phiền phức và chúng ta thường “nhắm mắt” chọn “Yes” mà không lường hết hậu quả; virus, malware có thể được hưởng quyền hạn của tài khoản quản trị để xâm nhập vào hệ thống.

Cơ chế bảo vệ không hiệu quả nhưng luôn gây phiền phức, vậy UAC có đáng ghét? Câu trả lời tùy thuộc vào quan điểm mỗi bạn đọc nhưng với người viết, UAC từng cứu “bàn thua” trông thấy khi phần mềm bảo mật để “lọt lưới”, không thể cảnh báo nguy cơ lây nhiễm dựa trên hành vi của malware trong tập tin tải về. Do đó, việc bổ khuyết cho nhau giữa những tiện ích bảo mật sẽ giúp hệ thống an toàn hơn trước nhiều mối đe dọa bảo mật ngày càng nguy hiểm, tinh vi hơn.

Những tác vụ UAC kiểm soát

- Khởi chạy ứng dụng với quyền quản trị
- Tạo, xóa hoặc thay đổi quyền hạn tài khoản người dùng
- Thay đổi thiết lập hệ thống
- Cài đặt hoặc gỡ cài đặt trình điều khiển phần cứng (driver) và ứng dụng, cài đặt các ActiveX control
- Thay đổi mức độ bảo mật của UAC, điều chỉnh thiết lập của Windows Update, Parental Controls
- Khởi chạy tính năng lập lịch biểu Task Scheduler
- Sao lưu, khôi phục hệ thống với System Restore
- Truy cập tập tin, thư mục thuộc tài khoản người dùng khác
- Tạo hoặc xóa tập tin, thư mục trong các thư mục hệ thống như Windows, Program Files
- Thay đổi ngày tháng và giờ hệ thống.