ตั้งใจจะเขียนเรื่องนี้เพื่อเล่าสู่กันฟังและตั้งคำถามกับหลายท่านมาสักระยะแล้ว แต่ปล่อยไว้จนเกือบลืม กระทั่งไปเห็นคำแนะนำที่บล็อกของน้องเมษ จึงอยากให้มุมมองอีกด้านของ User Account Control หรือ UAC คุณสมบัติใหม่ของ Windows Vista ซึ่งเป็นการลดทอนสิทธิของ Administrator ให้เหลือเท่า Standard User ของเครื่อง เมื่อต้องการเปลี่ยนแปลงอะไรเกี่ยวกับระบบจะต้องยกระดับ user เพื่อใช้สิทธิ Administrator ชั่วคราวผ่าน UAC

ประเด็นที่น่าคิด คือ ผู้ใช้ Windows ส่วนใหญ่หรือจะแทบทั้งหมด ใช้งานยูสเซอร์ในลักษณะที่เป็น Admistrator น้อยคนมากที่จะเป็น Standard user เว้น พนักงานในองค์กรที่มีผู้ดูแลระบบเฉพาะ ผู้ใช้โดยทั่วไปจึงสำราญและคุ้นเคยกับการใช้งานแบบไม่ถูกจำกัดใดๆ เลย ด้วยแอคเคานท์ของยูสเซอร์ที่เป็นแอดมิน ผู้ออกแบบและผลิตซอทฟ์แวร์ก็มีพฤติกรรมแบบเดียวกัน คือ ออกแบบซอฟท์แวร์ที่การติดตั้งต้องใช้สิทธิของแอดมิน

ปัญหาเริ่มต้น ณ จุดนี้ ที่แอพพลิเคชั่นที่ไม่พึงประสงค์ ที่ (แอบ) ติดตั้งหรือ (แอบ) รันบนเครื่องได้รับสิทธิของแอดมินไปด้วย ทำให้ Windows เวอร์ชั่นก่อนหน้าเกือบทั้งหมดจนมาถึง Windows XP มีปัญหาด้านความปลอดภัยของระบบมาตลอด ถูกเจาะบ่อยครั้งในหลายรูปแบบ ที่อันตรายสุด คือ การได้รับสิทธิแอดมินมีความหมายเท่ากับว่าสามารถเข้าควบคุมเครื่องทั้งเครื่อง (โดยแอพลิเคชั่นประสงค์ร้ายหรือการควบคุมจากระยะไกลรูปแบบอื่นๆ ) ทำได้ง่าย และมีรายงานปัญหานี้ในความถี่ที่สูงมาก โดยเฉพาะจากความไม่รู้เท่าหรือพลั้งเผลอของผู้ใช้งาน Windows

อย่าว่าอะไรมากเลยครับ แค่ไวรัสดักควาย image.zip ที่แพร่ผ่าน Messenger ยังติดกันระนาว โปรแกรมเมอร์บางคนที่ผมรู้จักยังโดนไวรัสนี้ด้วยซ้ำ

ทางป้องกันอย่างหนึ่งซึ่งไมโครซอฟท์นำมาใช้ในระหว่างของการพัฒนา Windows Vista ในช่วงสองปีหลังคือ การนำระบบที่คล้ายกับของ Unix มาใช้ (ระบบของ Unix/Linux ต้องป้อนรหัสผ่านเพื่อใช้สิทธิของแอดมินหรือ root) โดยพัฒนา UAC ลดและจำกัดสิทธิพิเศษให้ยูสเซอร์ที่เป็น Administrator เป็นเพียง standard user และทุกครั้งที่ต้องการใช้สิทธิของแอดมินจะมีหน้าต่าง UAC เตือนขึ้นมา ตรงนี้ต่างจากระบของ Unix ที่ต้องกรอกรหัสผ่านของแอคเค้านท์ ขณะที่ UAC โดยปกติจะให้กดตกลงเพื่อยืนยัน ซึ่งหากไม่กดตกลงภายในช่วงเวลาหนึ่งหน้าต่างนั้นจะหายไปและหยุดการดำเนินการนั้น และโดยปกติจะไม่กีดขวางการทำงานของแอพลิเคชั่นหรือโปรแกรมอื่น

ด้วยการมีหน้าต่าง UAC โผล่ขึ้นมาและหน้าจอที่เป็นสีทึบลง ทำให้ผู้ใช้ส่วนหนึ่งที่สนุกสำราญกับระบบเดิมไม่ค่อยพอใจ และบ่นว่า “น่ารำคาญ” ซึ่งเห็นจะเป็นจริงสำหรับผู้ใช้จำนวนมาก

เรื่องนี้ไมโครซอฟท์โดย David Cross ซึ่งอยู่ในทีมออกแบบ User Account Control (UAC) ของ Windows Vista อธิบายไว้ในงาน RSA 2008 ที่ซานฟาสซิสโกครับ ว่า วัตถุประสงค์ของไมโครซอฟท์ในการออกแบบ UAC คือเพื่อสร้างความรำคาญให้กับผู้ใช้ เพื่อกดดันให้เปลี่ยนแปลงพฤติกรรม ไมโครซอฟท์อธิบายอย่างนี้จริงๆ ครับ และจริงจังกับแนวคิดมากนี้ด้วย

ไมโครซอฟท์ไม่เพียงแค่ต้องการให้ผู้ใช้เลิกใช้งาน Windows ด้วยยูสเซอร์ที่เป็น Administrator ที่ง่ายต่อการถูกโจมตีจากซอฟท์แวร์ไม่พึงประสงค์ ซึ่งหมายถึงการเปลี่ยนแปลงพฤติกรรมของผู้ใช้ แต่ไมโครซอฟท์ต้องการให้ผู้ออกแบบซอฟท์แวร์ปรับเปลี่ยนหรือหยุดการออกแบบซอฟท์แวร์ต้องการสิทธิพิเศษของแอดมิน (administrative privileges) ในการติดตั้งและรัน ซึ่งหมายถึงไมโครซอฟท์ต้องการเปลี่ยนแปลงสภาพแวดล้อมทั้งหมดหรือระบบทั้งระบบ โดยเน้นที่ความปลอดภัยของผู้ใช้เป็นหลัก

อย่างไรก็ตาม David Cross ให้ความเห็นทิ้งท้ายไว้นะครับว่า UAC ไม่ใช่คำตอบทั้งหมดของความปลอดภัย เป็นเรื่องของระบบการเตือนผู้ใช้ และย้ายความเสี่ยงจาก ‘zero click’ exploits ไปเป็น ‘one click’ defense ซึ่งเป็นการป้องกันเบื้องต้นให้ผู้ใช้รู้ตัวก่อนว่ากำลังทำอะไร

เหตุผลอธิบายไปตามนี้ ที่เหลืออยู่ที่ “วิธีคิด” ของผู้ใช้ว่าต้องการอะไรอย่างไร ต้องการเตือนเบื้องต้นก่อนความเสียหายเกิด (ซึ่งต้องแลกด้วยความรู้สึกที่คุณอาจเรียกรวมๆ ว่า “รำคาญ”) กับการ “โดนของ” โดยไม่รู้เนื้อรู้ตัว

โดยส่วนตัวผมไม่ได้ปิด UAC ด้วยวิธีใดๆ ไม่ว่าปิดทั้งระบบซึ่งทำได้ง่าย หรือปิดเฉพาะบางส่วน เพราะโดยส่วนใหญ่แล้วผมไม่ได้ติดตั้ง/ถอนติดตั้งซอฟท์แวร์ ทุกชั่วโมงหรือทุกวัน ไม่ได้เพิ่มฟอนต์ตลอดเวลา ไม่ได้เข้าไปในขอบเขตของระบบที่ไม่ควรเข้าไปอยู่เนืองๆ  UAC จึงขึ้นเตือนนานๆ ครั้ง ก่อนหน้านี้ผมลองสร้างแอคเค้าน์ที่เป็น Standard User ขึ้นมา และใช้เป็นแอคเค้านท์หลัก โดยไม่เคยรู้สึกว่า UAC เป็นอุปสรรคหรือก่อความรำคาญแต่อย่างใด นานๆ อย่างที่บอกไปครับว่าไม่ได้ทำอะไรที่ทำให้ Windows Vista ต้องเรียก UAC ตลอดเวลา จะมีเพิ่มหน่อยก็ตรงถ้าต้องการติดตั้งซอฟท์แวร์ด้วย Standard User ก็ต้องกรอกรหัสผ่านของยูสเซอร์ที่เป็นแอดมินด้วย เพียงแค่นี้เองครับ