關于Windows 7的用戶賬戶控制(UAC)的全解析

馬良緣

關鍵詞：用戶賬戶控制(UAC)；Windows完整性機制

在個人和企業環境中，引入用戶帳戶控制(UAC)之前，當用戶使用標準用戶權限運行時，系統的安全配置將得到保護。這樣，用戶將能擁有一個安全的區域。如果用戶以管理員身份登錄，則會自動授予用戶對所有系統資源的完全訪問權限。而當用戶作為管理員運行時，可以安裝合法軟件，也可以有意或無意地安裝惡意程序，這些惡意程序可能試圖添加、修改和刪除操作系統的關鍵部件以在不被發現的情況下控制計算機，影響所有用戶。

UAC技術

一直以來，Windows的用戶一直都在使用管理員權限運行。導致大多數軟件通常都開發為使用管理員權限運行，并且(無意間)依賴于管理員權限。UAC目的在于保護操作系統文件以及注冊表，防止惡意軟件、病毒和代碼試圖更新電腦保護區域。UAC集成了一系列技術，其中包括文件系統和注冊表虛擬化、受保護的系統管理員(PA)帳戶、UAC提升權限提示，以及支持這些目標的Windows完整性級別。

UAC的主要目標是讓更多用戶能夠使用標準用戶權限運行。但是，許多人認為UAC技術看起來像是類似殺毒軟件的安全功能，因為軟件必須要求用戶授予其管理權限，因此他們能夠防止惡意軟件獲得管理權限。除此之外還可以使用Windows完整性機制，包括用戶界面特權隔離(UIPI)，這些功能都使人們更加堅信的使用UAC。那么安全桌面和Windows完整性機制的目的是什么?

為提示切換到不同界面的主要原因是：標準用戶軟件無法“欺騙”提升權限提示。這種取而代之的桌面稱為“安全桌面”，因為它是系統所擁有的，就像系統顯示Windows登錄對話框的桌面一樣。使用安全桌面一個重要目的，就是為了實現應用程序兼容性：在正在運行其他用戶擁有的應用程序的桌面上，如果內置輔助功能軟件(比如屏幕鍵盤)能夠正常工作，那么此時就有一個第三方軟件不能正常工作。當本地系統帳戶擁有的提升對話框顯示在用戶擁有的桌面上時，該軟件將無法正常工作。

Windows完整性機制和UIPI的設計目的是在提升的應用程序周圍建立一道保護性屏障。它最初的目標其中之一是防止軟件開發人員投機取巧，利用已經提升的應用程序來完成管理任務。使用標準用戶權限運行的應用程序無法將合成鼠標或鍵盤輸入發送到提升的應用程序中，以使應用程序執行其指令，也無法將代碼注入提升的應用程序以執行管理操作。

當您在啟用了UAC的情況下采用Windows Vista PA帳戶運行時，您將得到什么程度的惡意軟件防護?要使這種情況發生，惡意軟件首先必須進入系統并且開始執行。Windows具有許多深層防御功能，其中包括數據執行保護(DEP)、地址空間加載隨機化(ASLR)、保護模式lE、SmartScreen篩選器，以及可以幫助防止惡意軟件進入系統并運行的Windows Defender。只要系統稍作改變，它就會頻繁彈出對話框來尋求用戶的許可，因此它成為了vista中最受痛恨的一個功能。另外使用UAC對一個程序進行判斷有時候也很復雜。而且微軟在Vista系統中僅為UAC提供兩個選項：開啟UAC或者關閉UAC，許多用戶常常因為忍受不了UAC的折磨而選擇關閉。那么UAC在Windows 7里有了什么樣的改變呢?

Windows 7環境下UAC的新特點

Windows 7沿用了vista系統的UAC的目標，都是以類似的方式運作。在VISTA系統的UAC在使用管理員登陸的情況下，UAC基本上取消了所有管理權限，直到有任務需要管理權限運行為止。因此，后臺運行的應用程序、病毒、惡意軟件等程序就不能使用登陸權限修改系統文件和注冊表了。不論以系統管理員身份登錄還是以普通用戶身份登錄，在進行所有應用程序(即使是那些眾所周知的程序)在啟動時都會彈出確認對話框以啟動程序。當你第十次運行一個已知為安全的應用程序，并且第十次看到確認框時，會感到非常厭煩。但是我們知道，想要安全向來是很麻煩的，這樣能夠使Windows能夠針對標準用戶環境正常工作對我們最有利，因為這樣當惡意應用程序試圖靠近受保護的文件或者注冊表項時，就會出現提示框，提示用戶有東西正在后臺運行，從而保護計算機免受惡意軟件或者病毒的攻擊。

因此，Windows 7開始從默認中最大程度地減少這些UAC提示，微軟公司提出了UAC的“滑塊模式”?？偣灿兴姆N不同的滑塊設置，這四種級別定義如下：

1對每個系統變化進行通知。這也就是Vista的模式，任何系統級別的變化(windows設置、軟件安裝等)都會出現UAC提示窗口。

2只有當非Windows可執行文件請求提升時，Windows 7才會默認提示用戶；針對非Windows提升的行為與Windows Vista相同。

3僅當程序試圖改變計算機時發出提示，不使用安全桌面。這與第2有些類似，但是UAC提示窗口僅出現在一般桌面，而不會出現在安全桌面。這對于某些視頻驅動程序是有用的，因為這些程序讓桌面轉換很慢，請注意安全桌面對于試圖偽裝響應的軟件而言是一種阻礙。

4從不提示，這也等于完全關閉UAC功能。

總而言之，uAC是一組具有一個整體目標的技術：使用戶能夠以標準用戶身份運行。最終標準是：默認的Windows 7 UAC模式通過減少提示使PA用戶的體驗更加流暢、允許用戶控制可以修改其系統的合法軟件，并仍然實現UAC的目標，即讓更多的軟件能夠在沒有管理權限的情況下運行，并繼續使軟件生態系統轉變為編寫能夠使用標準用戶權限工作的軟件因為Vista系統提供UAC功能，所以Vista比XP更加安全。安全從來都不是輕而易舉可以實現的，你會發現確實值得花錢升級至Windows 7系統。