馬良緣

關(guān)鍵詞：用戶賬戶控制(UAC)；Windows完整性機制

在個人和企業(yè)環(huán)境中，引入用戶帳戶控制(UAC)之前，當(dāng)用戶使用標(biāo)準(zhǔn)用戶權(quán)限運行時，系統(tǒng)的安全配置將得到保護。這樣，用戶將能擁有一個安全的區(qū)域。如果用戶以管理員身份登錄，則會自動授予用戶對所有系統(tǒng)資源的完全訪問權(quán)限。而當(dāng)用戶作為管理員運行時，可以安裝合法軟件，也可以有意或無意地安裝惡意程序，這些惡意程序可能試圖添加、修改和刪除操作系統(tǒng)的關(guān)鍵部件以在不被發(fā)現(xiàn)的情況下控制計算機，影響所有用戶。

UAC技術(shù)

一直以來，Windows的用戶一直都在使用管理員權(quán)限運行。導(dǎo)致大多數(shù)軟件通常都開發(fā)為使用管理員權(quán)限運行，并且(無意間)依賴于管理員權(quán)限。UAC目的在于保護操作系統(tǒng)文件以及注冊表，防止惡意軟件、病毒和代碼試圖更新電腦保護區(qū)域。UAC集成了一系列技術(shù)，其中包括文件系統(tǒng)和注冊表虛擬化、受保護的系統(tǒng)管理員(PA)帳戶、UAC提升權(quán)限提示，以及支持這些目標(biāo)的Windows完整性級別。

UAC的主要目標(biāo)是讓更多用戶能夠使用標(biāo)準(zhǔn)用戶權(quán)限運行。但是，許多人認(rèn)為UAC技術(shù)看起來像是類似殺毒軟件的安全功能，因為軟件必須要求用戶授予其管理權(quán)限，因此他們能夠防止惡意軟件獲得管理權(quán)限。除此之外還可以使用Windows完整性機制，包括用戶界面特權(quán)隔離(UIPI)，這些功能都使人們更加堅信的使用UAC。那么安全桌面和Windows完整性機制的目的是什么?

為提示切換到不同界面的主要原因是：標(biāo)準(zhǔn)用戶軟件無法“欺騙”提升權(quán)限提示。這種取而代之的桌面稱為“安全桌面”，因為它是系統(tǒng)所擁有的，就像系統(tǒng)顯示W(wǎng)indows登錄對話框的桌面一樣。使用安全桌面一個重要目的，就是為了實現(xiàn)應(yīng)用程序兼容性：在正在運行其他用戶擁有的應(yīng)用程序的桌面上，如果內(nèi)置輔助功能軟件(比如屏幕鍵盤)能夠正常工作，那么此時就有一個第三方軟件不能正常工作。當(dāng)本地系統(tǒng)帳戶擁有的提升對話框顯示在用戶擁有的桌面上時，該軟件將無法正常工作。

Windows完整性機制和UIPI的設(shè)計目的是在提升的應(yīng)用程序周圍建立一道保護性屏障。它最初的目標(biāo)其中之一是防止軟件開發(fā)人員投機取巧，利用已經(jīng)提升的應(yīng)用程序來完成管理任務(wù)。使用標(biāo)準(zhǔn)用戶權(quán)限運行的應(yīng)用程序無法將合成鼠標(biāo)或鍵盤輸入發(fā)送到提升的應(yīng)用程序中，以使應(yīng)用程序執(zhí)行其指令，也無法將代碼注入提升的應(yīng)用程序以執(zhí)行管理操作。

當(dāng)您在啟用了UAC的情況下采用Windows Vista PA帳戶運行時，您將得到什么程度的惡意軟件防護?要使這種情況發(fā)生，惡意軟件首先必須進入系統(tǒng)并且開始執(zhí)行。Windows具有許多深層防御功能，其中包括數(shù)據(jù)執(zhí)行保護(DEP)、地址空間加載隨機化(ASLR)、保護模式lE、SmartScreen篩選器，以及可以幫助防止惡意軟件進入系統(tǒng)并運行的Windows Defender。只要系統(tǒng)稍作改變，它就會頻繁彈出對話框來尋求用戶的許可，因此它成為了vista中最受痛恨的一個功能。另外使用UAC對一個程序進行判斷有時候也很復(fù)雜。而且微軟在Vista系統(tǒng)中僅為UAC提供兩個選項：開啟UAC或者關(guān)閉UAC，許多用戶常常因為忍受不了UAC的折磨而選擇關(guān)閉。那么UAC在Windows 7里有了什么樣的改變呢?

Windows 7環(huán)境下UAC的新特點

Windows 7沿用了vista系統(tǒng)的UAC的目標(biāo)，都是以類似的方式運作。在VISTA系統(tǒng)的UAC在使用管理員登陸的情況下，UAC基本上取消了所有管理權(quán)限，直到有任務(wù)需要管理權(quán)限運行為止。因此，后臺運行的應(yīng)用程序、病毒、惡意軟件等程序就不能使用登陸權(quán)限修改系統(tǒng)文件和注冊表了。不論以系統(tǒng)管理員身份登錄還是以普通用戶身份登錄，在進行所有應(yīng)用程序(即使是那些眾所周知的程序)在啟動時都會彈出確認(rèn)對話框以啟動程序。當(dāng)你第十次運行一個已知為安全的應(yīng)用程序，并且第十次看到確認(rèn)框時，會感到非常厭煩。但是我們知道，想要安全向來是很麻煩的，這樣能夠使Windows能夠針對標(biāo)準(zhǔn)用戶環(huán)境正常工作對我們最有利，因為這樣當(dāng)惡意應(yīng)用程序試圖靠近受保護的文件或者注冊表項時，就會出現(xiàn)提示框，提示用戶有東西正在后臺運行，從而保護計算機免受惡意軟件或者病毒的攻擊。

因此，Windows 7開始從默認(rèn)中最大程度地減少這些UAC提示，微軟公司提出了UAC的“滑塊模式”?？偣灿兴姆N不同的滑塊設(shè)置，這四種級別定義如下：

1對每個系統(tǒng)變化進行通知。這也就是Vista的模式，任何系統(tǒng)級別的變化(windows設(shè)置、軟件安裝等)都會出現(xiàn)UAC提示窗口。

2只有當(dāng)非Windows可執(zhí)行文件請求提升時，Windows 7才會默認(rèn)提示用戶；針對非Windows提升的行為與Windows Vista相同。

3僅當(dāng)程序試圖改變計算機時發(fā)出提示，不使用安全桌面。這與第2有些類似，但是UAC提示窗口僅出現(xiàn)在一般桌面，而不會出現(xiàn)在安全桌面。這對于某些視頻驅(qū)動程序是有用的，因為這些程序讓桌面轉(zhuǎn)換很慢，請注意安全桌面對于試圖偽裝響應(yīng)的軟件而言是一種阻礙。

4從不提示，這也等于完全關(guān)閉UAC功能。

總而言之，uAC是一組具有一個整體目標(biāo)的技術(shù)：使用戶能夠以標(biāo)準(zhǔn)用戶身份運行。最終標(biāo)準(zhǔn)是：默認(rèn)的Windows 7 UAC模式通過減少提示使PA用戶的體驗更加流暢、允許用戶控制可以修改其系統(tǒng)的合法軟件，并仍然實現(xiàn)UAC的目標(biāo)，即讓更多的軟件能夠在沒有管理權(quán)限的情況下運行，并繼續(xù)使軟件生態(tài)系統(tǒng)轉(zhuǎn)變?yōu)榫帉懩軌蚴褂脴?biāo)準(zhǔn)用戶權(quán)限工作的軟件因為Vista系統(tǒng)提供UAC功能，所以Vista比XP更加安全。安全從來都不是輕而易舉可以實現(xiàn)的，你會發(fā)現(xiàn)確實值得花錢升級至Windows 7系統(tǒng)。