關(guān)于Windows7的用戶(hù)賬戶(hù)控制(UAC)的全解析

1、    關(guān)于windows7的用戶(hù)賬戶(hù)控制(uac)的全解析    馬良緣關(guān)鍵詞：用戶(hù)賬戶(hù)控制(uac)；windows完整性機(jī)制在個(gè)人和企業(yè)環(huán)境中，引入用戶(hù)帳戶(hù)控制(uac)之前，當(dāng)用戶(hù)使用標(biāo)準(zhǔn)用戶(hù)權(quán)限運(yùn)行時(shí)，系統(tǒng)的安全配置將得到保護(hù)。這樣，用戶(hù)將能擁有一個(gè)安全的區(qū)域。如果用戶(hù)以管理員身份登錄，則會(huì)自動(dòng)授予用戶(hù)對(duì)所有系統(tǒng)資源的完全訪(fǎng)問(wèn)權(quán)限。而當(dāng)用戶(hù)作為管理員運(yùn)行時(shí)，可以安裝合法軟件，也可以有意或無(wú)意地安裝惡意程序，這些惡意程序可能試圖添加、修改和刪除操作系統(tǒng)的關(guān)鍵部件以在不被發(fā)現(xiàn)的情況下控制計(jì)算機(jī)，影響所有用戶(hù)。uac技術(shù)一直以來(lái)，windows的用戶(hù)

2、一直都在使用管理員權(quán)限運(yùn)行。導(dǎo)致大多數(shù)軟件通常都開(kāi)發(fā)為使用管理員權(quán)限運(yùn)行，并且(無(wú)意間)依賴(lài)于管理員權(quán)限。uac目的在于保護(hù)操作系統(tǒng)文件以及注冊(cè)表，防止惡意軟件、病毒和代碼試圖更新電腦保護(hù)區(qū)域。uac集成了一系列技術(shù)，其中包括文件系統(tǒng)和注冊(cè)表虛擬化、受保護(hù)的系統(tǒng)管理員(pa)帳戶(hù)、uac提升權(quán)限提示，以及支持這些目標(biāo)的windows完整性級(jí)別。uac的主要目標(biāo)是讓更多用戶(hù)能夠使用標(biāo)準(zhǔn)用戶(hù)權(quán)限運(yùn)行。但是，許多人認(rèn)為uac技術(shù)看起來(lái)像是類(lèi)似殺毒軟件的安全功能，因?yàn)檐浖仨氁笥脩?hù)授予其管理權(quán)限，因此他們能夠防止惡意軟件獲得管理權(quán)限。除此之外還可以使用windows完整性機(jī)制，包括用戶(hù)界面特權(quán)隔離(

3、uipi)，這些功能都使人們更加堅(jiān)信的使用uac。那么安全桌面和windows完整性機(jī)制的目的是什么?為提示切換到不同界面的主要原因是：標(biāo)準(zhǔn)用戶(hù)軟件無(wú)法“欺騙”提升權(quán)限提示。這種取而代之的桌面稱(chēng)為“安全桌面”，因?yàn)樗窍到y(tǒng)所擁有的，就像系統(tǒng)顯示windows登錄對(duì)話(huà)框的桌面一樣。使用安全桌面一個(gè)重要目的，就是為了實(shí)現(xiàn)應(yīng)用程序兼容性：在正在運(yùn)行其他用戶(hù)擁有的應(yīng)用程序的桌面上，如果內(nèi)置輔助功能軟件(比如屏幕鍵盤(pán))能夠正常工作，那么此時(shí)就有一個(gè)第三方軟件不能正常工作。當(dāng)本地系統(tǒng)帳戶(hù)擁有的提升對(duì)話(huà)框顯示在用戶(hù)擁有的桌面上時(shí)，該軟件將無(wú)法正常工作。windows完整性機(jī)制和uipi的設(shè)計(jì)目的是在提升的應(yīng)

4、用程序周?chē)⒁坏辣Ｗo(hù)性屏障。它最初的目標(biāo)其中之一是防止軟件開(kāi)發(fā)人員投機(jī)取巧，利用已經(jīng)提升的應(yīng)用程序來(lái)完成管理任務(wù)。使用標(biāo)準(zhǔn)用戶(hù)權(quán)限運(yùn)行的應(yīng)用程序無(wú)法將合成鼠標(biāo)或鍵盤(pán)輸入發(fā)送到提升的應(yīng)用程序中，以使應(yīng)用程序執(zhí)行其指令，也無(wú)法將代碼注入提升的應(yīng)用程序以執(zhí)行管理操作。當(dāng)您在啟用了uac的情況下采用windows vista pa帳戶(hù)運(yùn)行時(shí)，您將得到什么程度的惡意軟件防護(hù)?要使這種情況發(fā)生，惡意軟件首先必須進(jìn)入系統(tǒng)并且開(kāi)始執(zhí)行。windows具有許多深層防御功能，其中包括數(shù)據(jù)執(zhí)行保護(hù)(dep)、地址空間加載隨機(jī)化(aslr)、保護(hù)模式le、smartscreen篩選器，以及可以幫助防止惡意軟件進(jìn)入系

5、統(tǒng)并運(yùn)行的windows defender。只要系統(tǒng)稍作改變，它就會(huì)頻繁彈出對(duì)話(huà)框來(lái)尋求用戶(hù)的許可，因此它成為了vista中最受痛恨的一個(gè)功能。另外使用uac對(duì)一個(gè)程序進(jìn)行判斷有時(shí)候也很復(fù)雜。而且微軟在vista系統(tǒng)中僅為uac提供兩個(gè)選項(xiàng)：開(kāi)啟uac或者關(guān)閉uac，許多用戶(hù)常常因?yàn)槿淌懿涣藆ac的折磨而選擇關(guān)閉。那么uac在windows 7里有了什么樣的改變呢?windows 7環(huán)境下uac的新特點(diǎn)windows 7沿用了vista系統(tǒng)的uac的目標(biāo)，都是以類(lèi)似的方式運(yùn)作。在vista系統(tǒng)的uac在使用管理員登陸的情況下，uac基本上取消了所有管理權(quán)限，直到有任務(wù)需要管理權(quán)限運(yùn)行為止。因此

6、，后臺(tái)運(yùn)行的應(yīng)用程序、病毒、惡意軟件等程序就不能使用登陸權(quán)限修改系統(tǒng)文件和注冊(cè)表了。不論以系統(tǒng)管理員身份登錄還是以普通用戶(hù)身份登錄，在進(jìn)行所有應(yīng)用程序(即使是那些眾所周知的程序)在啟動(dòng)時(shí)都會(huì)彈出確認(rèn)對(duì)話(huà)框以啟動(dòng)程序。當(dāng)你第十次運(yùn)行一個(gè)已知為安全的應(yīng)用程序，并且第十次看到確認(rèn)框時(shí)，會(huì)感到非常厭煩。但是我們知道，想要安全向來(lái)是很麻煩的，這樣能夠使windows能夠針對(duì)標(biāo)準(zhǔn)用戶(hù)環(huán)境正常工作對(duì)我們最有利，因?yàn)檫@樣當(dāng)惡意應(yīng)用程序試圖靠近受保護(hù)的文件或者注冊(cè)表項(xiàng)時(shí)，就會(huì)出現(xiàn)提示框，提示用戶(hù)有東西正在后臺(tái)運(yùn)行，從而保護(hù)計(jì)算機(jī)免受惡意軟件或者病毒的攻擊。因此，windows 7開(kāi)始從默認(rèn)中最大程度地減少這些u

7、ac提示，微軟公司提出了uac的“滑塊模式”?？偣灿兴姆N不同的滑塊設(shè)置，這四種級(jí)別定義如下：1對(duì)每個(gè)系統(tǒng)變化進(jìn)行通知。這也就是vista的模式，任何系統(tǒng)級(jí)別的變化(windows設(shè)置、軟件安裝等)都會(huì)出現(xiàn)uac提示窗口。2只有當(dāng)非windows可執(zhí)行文件請(qǐng)求提升時(shí)，windows 7才會(huì)默認(rèn)提示用戶(hù)；針對(duì)非windows提升的行為與windows vista相同。3僅當(dāng)程序試圖改變計(jì)算機(jī)時(shí)發(fā)出提示，不使用安全桌面。這與第2有些類(lèi)似，但是uac提示窗口僅出現(xiàn)在一般桌面，而不會(huì)出現(xiàn)在安全桌面。這對(duì)于某些視頻驅(qū)動(dòng)程序是有用的，因?yàn)檫@些程序讓桌面轉(zhuǎn)換很慢，請(qǐng)注意安全桌面對(duì)于試圖偽裝響應(yīng)的軟件而言是一種阻礙。4從不提示，這也等于完全關(guān)閉uac功能?？偠灾?，uac是一組具有一個(gè)整體目標(biāo)的技術(shù)：使用戶(hù)能夠以標(biāo)準(zhǔn)用戶(hù)身份運(yùn)行。最終標(biāo)準(zhǔn)是：默認(rèn)的windows 7 uac模式通過(guò)減少提示使pa用戶(hù)的體驗(yàn)更加流暢、允許用戶(hù)控制可以修改其系統(tǒng)的合法軟件，并仍然實(shí)現(xiàn)uac的目標(biāo)，即讓更多的軟件能夠在沒(méi)有管理權(quán)限的情況下運(yùn)