Win Vista使用教程之UAC详细使用方法

dn001 2009-06-06 00:31:39

　　与之前的Windows版本如Windows XP相比，Windows Vista所带来的改进是全方位的，但要说在操作方面带来的最大变化，恐怕非UAC(User Account Control : 用户帐户控制)莫属。

　　因此，虽然之前对UAC已经作出相当多的介绍，如从机制与原理方面的Vista中的UAC : 用户帐户控制、UAC为Windows Vista带来了什么?以及具体的操作方法如关闭Windows Vista中的UAC等，但对Windows Vista使用教程而言，单独地以一章的篇幅再来详细介绍一下UAC 总是不可或缺的。

　　本文对UAC的介绍侧重于从操作、使用方面，更详细的信息请参考Vista天地的其他相关内容。

　　3.1 UAC的目标与策略

　　Windows系统因其庞大的市场占有率成为各类恶意软件、病毒觊觎的首要目标，各式各样针对Windows系统的攻击手段与技术层出不穷，这是微软的成功但也是微软最大的悲哀：以一家企业之力来对抗全世界狂热的“攻击爱好者”，只能是防不胜防疲于奔命，这也直接造成了在许多用户印象中Windows是一款相当脆弱的操作系统的印象。

　　当然，这么说并不是为微软开脱。从技术角度看，Windows为了保证易用性与用户友好度，在安全性方面所付出的代价过大，存在着致命的缺陷，其中最引人诟病的当属用户级别与执行权限的问题。比如说，相信许多朋友都曾或多或少地受过“流氓软件”的骚扰，许多人甚至谈“网”色变，形成这么恶劣的上网环境，微软难逃其咎——当然，流氓软件之所以在国内泛滥，也与某些“民族企业”缺乏最基本的道德准则有关——以最普遍的插件类流氓软件来说，虽然其并没有太高的技术含量，但却往往能轻易地突破Windows系统的防御，最大的问题便在于Windows系统如Windows XP标准帐户存在的诸多问题而使得用户为操作的使得而使用超级用户登录，从而使流氓软件轻易地获得权限。

　　UAC(User Account Control : 用户帐户控制) 是微软为提高系统安全性而在Windows Vista中引入的新技术，其设计目标便是防止间谍软件或病毒程序在用户电脑系统中获得权限并在用户未察觉的情况下执行。在UAC的作用下，当Windows Vista检测到某个未知的潜在威胁时，便会弹出一个“Windows 需要你的许可才能继续！”的对话框，提醒用户注意或并根据具体情况允许/阻止其执行。

　　简单地说，UAC机制的核心在于：Windows Vista要求所有用户在标准账号模式下运行程序和任务，这样，当相应的程序或任务执行可能会影响计算机运行的操作或执行更改影响其他用户的设置的操作，即需要/试图获得高出标准帐号权限时，系统即会弹出相应的警告信息并等待用户确认及赋予权限，从而阻止未认证的程序安装，或者阻止标准用户进行不当的系统设置改变。

　　很显然，通过引入UAC，Windows Vista在安全性方面有了很大的改进，但同样地，UAC机制本身给用户操作顺畅度带来的负面影响也是不容回避的：即使具有很好耐心的用户，也可能会被日常操作中频繁弹出的UAC窗口打断颇有微辞，以至于很多用户考虑在Windows Vista禁用UAC或绕开UAC开启超级管理员。——当然，从系统安全性的角度考虑，这绝不是一个明智的选择。

　　对微软来说，在系统安全与系统操作的流畅间如何找到最佳的平衡点，也许仍是一个长期的工作，UAC也许还需要谨慎、细致的调整。

　　3.2 UAC机制简解

　　在Windows Vista中，默认有两个级别的用户组，即标准用户组和管理员组，其中，标准用户是计算机 Users 组的成员；管理员是计算机 Administrators 组的成员。

　　而微软在Windows 所做的改进在于，与以前版本的 Windows 不同，默认情况下标准用户和管理员都会在标准用户安全上下文中访问资源和运行应用程序。这样，当用户登录到计算机后，系统为该用户创建一个访问令牌。该访问令牌包含有关授予给该用户的访问权限级别的信息，其中包括特定的安全标识符(SID)和 Windows 权限。

　　如果登录用户属于管理员组，则Windows Vista为该用户创建两个单独的访问令牌：标准用户访问令牌和管理员访问令牌。标准用户访问令牌包含的用户特定信息与管理员访问令牌包含的信息相同，但是已经删除管理 Windows 权限和 SID，用于启动不执行管理任务的应用程序。而当运行执行管理任务的应用程序时，Windows Vista提示用户将他们的安全上下文从标准用户更改或“提升”为管理员，这一过程被称为 “管理审核模式”。只有在此该模式下，应用程序需要特定的权限才能以管理员应用程序(具有与管理员相同访问权限的应用程序)运行。

　　默认情况下，当管理员应用程序启动时，会出现“用户帐户控制”消息。如果用户是管理员，该消息会提供选择允许或禁止应用程序启动的选项。如果用户是标准用户，该用户可以输入一个本地 Administrators 组成员的帐户的用户名和密码。