扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
2007年1月23日
关键字: IBM
Vista的用户帐户控制(UAC)可以防止恶意软件获取更高的执行权限,就算用户以管理员身份登录也可以起到防护作用。笔者概括介绍了UAC的作用以及如何对UAC进行控制。
用户帐户控制(UAC)是Windows Vista的核心安全功能之一,同时它也是Vista众多安全功能中争议最大的功能。不论你是否喜欢这一功能,为了平衡安全性和用户操作的友好度, 你都应该详细了解这一功能。笔者将向大家介绍有关UAC的十个焦点问题,不论是Vista的个人用户还是企业用户,这些问题都可以帮助你更好的了解Vista的UAC功能。
1: UAC降低了以管理员账户登录所带来的风险
我们经常看到一个常见的现象:如果用户拥有一个管理员级别的账号,还有一个普通帐号,那么大多数用户都喜欢采用管理员帐号登录系统,尽管他们登录系统后可能只是做一些 不需要管理员权限的简单工作。采用管理员帐号登录有时候会比较方便,而人们总是把方便放在第一位。
在UAC下,以管理员身份登录所带来的安全风险要低得多,因为在这种情况下,Vista所运行的大部分任务依然是以普通用户权限来执行的,不会因为登录用户为管理员而使得所运 行的程序具有了更高的权限。
2: 登录过程发生了改变
虽然对用户来说登录过程好像没有什么变化—用户还是需要输入用户名和密码—但是Vista的登录过程与以前的系统相比已经发生了变化。在Vista中,如果用户是以管理员帐号登 录系统的,那么将不仅获得该账户的访问令牌,还会获得普通用户的访问令牌。这个标准的令牌可以启动Explorer.exe,而Explorer.exe的全部子进程都将运行在这个标准令牌的 权限下,除非用户通过UAC提升了某一进程的权限。
3: 很容易区分哪个程序需要管理员权限
在Vista中,用户很容易区分哪些功能或操作动作需要提升权限。所有需要提升权限才能完成的功能按钮上,都带有一个盾形的图标。用户看到这个图标就会知道,如果点击了该按 钮,就会弹出UAC对话框提示用户进行权限提升。(如果组策略进行了某些设置,也许当用户以普通用户帐户登录系统后将不能进行权限提升动作)。
4: Administrator Approval Mode是默认状态
在默认状态下,Vista的各种应用均采用普通用户权限运行,就算用户是以管理员身份登录也是如此。如果某一任务需要管理员特权才能运行,系统会弹出UAC对话框,提示用户进 行权限提升。这种机制阻止了恶意软件在用户不知情的情况下以管理员权限进行系统破坏或资料窃取活动。
5: 更高的安全性
通过编辑组策略(本地安全策略或域策略),用户可以修改UAC的动作。比如用户可以让UAC必须要求管理员输入管理员帐号和密码后才能提升权限,而不是仅仅点击“继续”按钮 就可以提升权限了。而对于一般用户来说,在默认状况下就必须要输入管理员帐号和密码才能提升程序的运行权限。在域环境下,普通用户是禁止提升程序的运行权限的,不过用 户也可以通过编辑组策略进行修改。
6: 更进一步加强安全性
在默认情况下,一个可执行程序,不论它是否具有签名,一旦通过了用户的认可,就获得了更高的运行权限。如果用户需要更高的安全性,可以通过修改组策略,让Vista只能允许 带有签名的程序获得更高的权限,而没有签名的程序则无法被提升权限。当用户开启了这一策略,Vista会在该程序申请提升权限时检查该程序的数字认证。
7: 用户也可以降低安全性 (获得更高的便利性)
虽然不推荐用户这样做,但是如果用户可以肯定系统的安全性,那么可以通过编辑组策略的方式让UAC在不通知用户的情况下提升程序的执行权限,当然,这仅限于用户以管理员身 份登录系统时。这提高了用户使用Vista的便利性,但是它同时也降低了UAC所带来的额外的安全性。这种修改使得用户以管理员身份登录Vista时给系统带来的风险性与以往的操作 系统相比,没有任何差别了。当然,从便利性的角度说,这种方法确实给管理员带来了相当大的好处,尤其是当管理员需要给系统安装大量软件时,这种设置可以让管理员不再受 不断弹出的UAC对话窗口的骚扰。
8: 用户可以关闭UAC或安全桌面
当UAC提示要进行权限提升时,桌面会被锁定,只能接受Windows的进程通信。此时其他软件将无法与桌面进行交互,桌面也会变成灰色,这就是安全桌面功能。通过修改组策略, 用户可以仅用安全桌面。禁用后,UAC提示对话框出现后,桌面将不再被锁定。
另外,用户甚至可以完全关闭UAC(虽然并不建议这样做)。用户只需要禁用Run All Administrators In Administrator Approval Mode策略项即可。
9: 遗留程序需要进行标记
对于在Vista出现前设计的程序来说,可能并不兼容UAC,因此需要特殊的配置才能让这些程序在Vista下工作。如果某个程序需要管理员权限才能运行,用户应该将这个程序标记为 相应的级别,以便在程序运行时提示用户进行权限提升动作。对于这类程序的标记工作,可以通过Application Compatibility Toolkit完成,这一工具可以从微软网站上免费下载 。
10: UAC并不能代替安全软件
UAC可以给系统带来额外的保护,比如,它可以让恶意软件更难以对系统造成伤害。然而,UAC并不是反病毒软件或者反间谍软件程序的代替品,用户也依旧需要采用合适的防火墙 。从效果上说,安全措施应该是多层次的,而UAC仅仅是一个良好的客户端安全方案中的一环,这一点一定要牢记。
(责任编辑:陈毅东)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者