扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
导言
如果你还没有听说过用户帐户控制(UAC),那么有必要花一些时间看看关于Vista和UAC的资料信息。UAC最初出现在Vista系统中,一直以来都是XP系统后的系统中最受关注、讨论最多、争议最多的技术。 现在我们已经看到了完整版本的Vista系统,而下一代系统Windows 7正在进行测试和评估,很多人对其包含UAC功能表示不满。本文将对新旧UAC技术进行对比分析,帮助用户确定是否需要考虑使用Windows 7和UAC。
UAC的设计目的
UAC功能最初的设计目的是为了解决需要管理特权的应用程序问题,让最终用户配置为本地管理员。最开始的时候,UAC被称为LUA(最小特权用户访问),但是由于发现并不只是解决这个问题时被立即改名了。
最终的产品UAC是一个安全相关的技术,目的在于保护操作系统文件以及注册表,防止恶意软件、病毒和代码试图更新电脑保护区域。该恶意软件试图添加、修改删除操作系统的关键部件以在不被发现的情况下控制计算机。
UAC运行方式
(Vista和Windows 7的)UAC都是以类似的方式运作,在windows7中有一些Vista没有的功能,在下文中我们将讨论到。UAC的工作就是在例行功能中去除用户执行的应用程序、任务、功能或者行动的“特权”。其实UAC适用于这两种不同的模式:属于本地管理员组成员的用户以及不属于本地管理员组成员的用户。
如果看看vista系统的UAC功能的运作方式,我们就能对比出其与windows 7的不同。我们需要审视这两种运作模式,首先,让我们看看非管理员登录的情况,在这种情况下,用户没有管理权限凭证来登录,这样当要求管理权限时所有应用程序、任何或者功能将无法运行。当启用UAC功能时(默认情况下会弹出确认对话框),会弹出对话框让用户输入管理权限帐户用户名和密码。当输入这些信息时,只有UAC功能标记的和要求的应用程序、任务或者功能能够有管理权限操作。图1显示的是UAC弹出确认对话框。
图1:UAC对标准用户的确认提示框
接下来,我们需要调查Vista系统的UAC在“管理员”已登录的情况,在这种情况下,当用户使用管理员权限登陆时,UAC基本上会取消所有管理权限,只到有任务需要管理权限为止。这样做的话,后台应用程序、病毒、恶意软件、蠕虫等就不能使用登录凭证修改操作系统文件和注册表。如果看看属于域管理员组成员的用户帐户登录后的验证令牌,我们就能够清楚地看到“管理特权”已经被取消。图2清楚地显示了域管理组SID已经将令牌设置为“拒绝”。
图2:UAC设置域管理组(Domain Admin