用戶帳戶控制(UAC)是Windows Vista的核心安全功能之一,同時它也是Vista眾多安全功能中爭議最大的功能。不論你是否喜歡這一功能,為了平衡安全性和用戶操作的友好度, 你都應該詳細了解這一功能。筆者將向大家介紹有關UAC的十個焦點問題,不論是Vista的個人用戶還是企業用戶,這些問題都可以幫助你更好的了解Vista的UAC功能。
1: UAC降低了以管理員賬戶登錄所帶來的風險
我們經常看到一個常見的現象:如果用戶擁有一個管理員級別的賬號,還有一個普通帳號,那么大多數用戶都喜歡采用管理員帳號登錄系統,盡管他們登錄系統后可能只是做一些 不需要管理員權限的簡單工作。采用管理員帳號登錄有時候會比較方便,而人們總是把方便放在第一位。
在UAC下,以管理員身份登錄所帶來的安全風險要低得多,因為在這種情況下,Vista所運行的大部分任務依然是以普通用戶權限來執行的,不會因為登錄用戶為管理員而使得所運 行的程序具有了更高的權限。
2: 登錄過程發生了改變
雖然對用戶來說登錄過程好像沒有什么變化—用戶還是需要輸入用戶名和密碼—但是Vista的登錄過程與以前的系統相比已經發生了變化。在Vista中,如果用戶是以管理員帳號登 錄系統的,那么將不僅獲得該賬戶的訪問令牌,還會獲得普通用戶的訪問令牌。這個標準的令牌可以啟動Explorer.exe,而Explorer.exe的全部子進程都將運行在這個標準令牌的 權限下,除非用戶通過UAC提升了某一進程的權限。
3: 很容易區分哪個程序需要管理員權限
在Vista中,用戶很容易區分哪些功能或操作動作需要提升權限。所有需要提升權限才能完成的功能按鈕上,都帶有一個盾形的圖標。用戶看到這個圖標就會知道,如果點擊了該按 鈕,就會彈出UAC對話框提示用戶進行權限提升。(如果組策略進行了某些設置,也許當用戶以普通用戶帳戶登錄系統后將不能進行權限提升動作)。
4: Administrator Approval Mode是默認狀態
在默認狀態下,Vista的各種應用均采用普通用戶權限運行,就算用戶是以管理員身份登錄也是如此。如果某一任務需要管理員特權才能運行,系統會彈出UAC對話框,提示用戶進 行權限提升。這種機制阻止了惡意軟件在用戶不知情的情況下以管理員權限進行系統破壞或資料竊取活動。
5: 更高的安全性
通過編輯組策略(本地安全策略或域策略),用戶可以修改UAC的動作。比如用戶可以讓UAC必須要求管理員輸入管理員帳號和密碼后才能提升權限,而不是僅僅點擊“繼續”按鈕 就可以提升權限了。而對于一般用戶來說,在默認狀況下就必須要輸入管理員帳號和密碼才能提升程序的運行權限。在域環境下,普通用戶是禁止提升程序的運行權限的,不過用 戶也可以通過編輯組策略進行修改。
6: 更進一步加強安全性
在默認情況下,一個可執行程序,不論它是否具有簽名,一旦通過了用戶的認可,就獲得了更高的運行權限。如果用戶需要更高的安全性,可以通過修改組策略,讓Vista只能允許 帶有簽名的程序獲得更高的權限,而沒有簽名的程序則無法被提升權限。當用戶開啟了這一策略,Vista會在該程序申請提升權限時檢查該程序的數字認證。
7: 用戶也可以降低安全性 (獲得更高的便利性)
雖然不推薦用戶這樣做,但是如果用戶可以肯定系統的安全性,那么可以通過編輯組策略的方式讓UAC在不通知用戶的情況下提升程序的執行權限,當然,這僅限于用戶以管理員身 份登錄系統時。這提高了用戶使用Vista的便利性,但是它同時也降低了UAC所帶來的額外的安全性。這種修改使得用戶以管理員身份登錄Vista時給系統帶來的風險性與以往的操作 系統相比,沒有任何差別了。當然,從便利性的角度說,這種方法確實給管理員帶來了相當大的好處,尤其是當管理員需要給系統安裝大量軟件時,這種設置可以讓管理員不再受 不斷彈出的UAC對話窗口的騷擾。
8: 用戶可以關閉UAC或安全桌面
當UAC提示要進行權限提升時,桌面會被鎖定,只能接受Windows的進程通信。此時其他軟件將無法與桌面進行交互,桌面也會變成灰色,這就是安全桌面功能。通過修改組策略, 用戶可以僅用安全桌面。禁用后,UAC提示對話框出現后,桌面將不再被鎖定。
另外,用戶甚至可以完全關閉UAC(雖然并不建議這樣做)。用戶只需要禁用Run All Administrators In Administrator Approval Mode策略項即可。
9: 遺留程序需要進行標記
對于在Vista出現前設計的程序來說,可能并不兼容UAC,因此需要特殊的配置才能讓這些程序在Vista下工作。如果某個程序需要管理員權限才能運行,用戶應該將這個程序標記為 相應的級別,以便在程序運行時提示用戶進行權限提升動作。對于這類程序的標記工作,可以通過Application Compatibility Toolkit完成,這一工具可以從微軟網站上免費下載 。
10: UAC并不能代替安全軟件
UAC可以給系統帶來額外的保護,比如,它可以讓惡意軟件更難以對系統造成傷害。然而,UAC并不是反病毒軟件或者反間諜軟件程序的代替品,用戶也依舊需要采用合適的防火墻 。從效果上說,安全措施應該是多層次的,而UAC僅僅是一個良好的客戶端安全方案中的一環,這一點一定要牢記。
