與之前的Windows版本如Windows XP相比，Windows Vista所帶來的改進(jìn)是全方位的，但要說在操作方面帶來的最大變化，恐怕非UAC(User Account Control : 用戶帳戶控制)莫屬。

　　因此，雖然之前Vista天地對(duì)UAC已經(jīng)作出相當(dāng)多的介紹，如從機(jī)制與原理方面的Vista中的UAC : 用戶帳戶控制、UAC為Windows Vista帶來了什么?以及具體的操作方法如關(guān)閉Windows Vista中的UAC等，但對(duì)Windows Vista使用教程而言，單獨(dú)地以一章的篇幅再來詳細(xì)介紹一下UAC 總是不可或缺的。

　　本文對(duì)UAC的介紹側(cè)重于從操作、使用方面，更詳細(xì)的信息請(qǐng)參考Vista天地的其他相關(guān)內(nèi)容。

3.1 UAC的目標(biāo)與策略

　　Windows系統(tǒng)因其龐大的市場(chǎng)占有率成為各類惡意軟件、病毒覬覦的首要目標(biāo)，各式各樣針對(duì)Windows系統(tǒng)的攻擊手段與技術(shù)層出不窮，這是微軟的成功但也是微軟最大的悲哀：以一家企業(yè)之力來對(duì)抗全世界狂熱的“攻擊愛好者”，只能是防不勝防疲于奔命，這也直接造成了在許多用戶印象中Windows是一款相當(dāng)脆弱的操作系統(tǒng)的印象。

　　當(dāng)然，這么說并不是為微軟開脫。從技術(shù)角度看，Windows為了保證易用性與用戶友好度，在安全性方面所付出的代價(jià)過大，存在著致命的缺陷，其中最引人詬病的當(dāng)屬用戶級(jí)別與執(zhí)行權(quán)限的問題。比如說，相信許多朋友都曾或多或少地受過“流氓軟件”的騷擾，許多人甚至談“網(wǎng)”色變，形成這么惡劣的上網(wǎng)環(huán)境，微軟難逃其咎——當(dāng)然，流氓軟件之所以在國(guó)內(nèi)泛濫，也與某些“民族企業(yè)”缺乏最基本的道德準(zhǔn)則有關(guān)——以最普遍的插件類流氓軟件來說，雖然其并沒有太高的技術(shù)含量，但卻往往能輕易地突破Windows系統(tǒng)的防御，最大的問題便在于Windows系統(tǒng)如Windows XP標(biāo)準(zhǔn)帳戶存在的諸多問題而使得用戶為操作的使得而使用超級(jí)用戶登錄，從而使流氓軟件輕易地獲得權(quán)限。

　　UAC(User Account Control : 用戶帳戶控制) 是微軟為提高系統(tǒng)安全性而在Windows Vista中引入的新技術(shù)，其設(shè)計(jì)目標(biāo)便是防止間諜軟件或病毒程序在用戶電腦系統(tǒng)中獲得權(quán)限并在用戶未察覺的情況下執(zhí)行。在UAC的作用下，當(dāng)Windows Vista檢測(cè)到某個(gè)未知的潛在威脅時(shí)，便會(huì)彈出一個(gè)“Windows 需要你的許可才能繼續(xù)！”的對(duì)話框，提醒用戶注意或并根據(jù)具體情況允許/阻止其執(zhí)行。

　　簡(jiǎn)單地說，UAC機(jī)制的核心在于：Windows Vista要求所有用戶在標(biāo)準(zhǔn)賬號(hào)模式下運(yùn)行程序和任務(wù)，這樣，當(dāng)相應(yīng)的程序或任務(wù)執(zhí)行可能會(huì)影響計(jì)算機(jī)運(yùn)行的操作或執(zhí)行更改影響其他用戶的設(shè)置的操作，即需要/試圖獲得高出標(biāo)準(zhǔn)賬號(hào)權(quán)限時(shí)，系統(tǒng)即會(huì)彈出相應(yīng)的警告信息并等待用戶確認(rèn)及賦予權(quán)限，從而阻止未認(rèn)證的程序安裝，或者阻止標(biāo)準(zhǔn)用戶進(jìn)行不當(dāng)?shù)南到y(tǒng)設(shè)置改變。

　　很顯然，通過引入U(xiǎn)AC，Windows Vista在安全性方面有了很大的改進(jìn)，但同樣地，UAC機(jī)制本身給用戶操作順暢度帶來的負(fù)面影響也是不容回避的：即使具有很好耐心的用戶，也可能會(huì)被日常操作中頻繁彈出的UAC窗口打斷頗有微辭，以至于很多用戶考慮在Windows Vista禁用UAC或繞開UAC開啟超級(jí)管理員?！?dāng)然，從系統(tǒng)安全性的角度考慮，這絕不是一個(gè)明智的選擇。

　　對(duì)微軟來說，在系統(tǒng)安全與系統(tǒng)操作的流暢間如何找到最佳的平衡點(diǎn)，也許仍是一個(gè)長(zhǎng)期的工作，UAC也許還需要謹(jǐn)慎、細(xì)致的調(diào)整。

3.2 UAC機(jī)制簡(jiǎn)解

　　在Windows Vista中，默認(rèn)有兩個(gè)級(jí)別的用戶組，即標(biāo)準(zhǔn)用戶組和管理員組，其中，標(biāo)準(zhǔn)用戶是計(jì)算機(jī) Users 組的成員；管理員是計(jì)算機(jī) Administrators 組的成員。

　　而微軟在Windows 所做的改進(jìn)在于，與以前版本的 Windows 不同，默認(rèn)情況下標(biāo)準(zhǔn)用戶和管理員都會(huì)在標(biāo)準(zhǔn)用戶安全上下文中訪問資源和運(yùn)行應(yīng)用程序。這樣，當(dāng)用戶登錄到計(jì)算機(jī)后，系統(tǒng)為該用戶創(chuàng)建一個(gè)訪問令牌。該訪問令牌包含有關(guān)授予給該用戶的訪問權(quán)限級(jí)別的信息，其中包括特定的安全標(biāo)識(shí)符(SID)和 Windows 權(quán)限。

　　如果登錄用戶屬于管理員組，則Windows Vista為該用戶創(chuàng)建兩個(gè)單獨(dú)的訪問令牌：標(biāo)準(zhǔn)用戶訪問令牌和管理員訪問令牌。標(biāo)準(zhǔn)用戶訪問令牌包含的用戶特定信息與管理員訪問令牌包含的信息相同，但是已經(jīng)刪除管理 Windows 權(quán)限和 SID，用于啟動(dòng)不執(zhí)行管理任務(wù)的應(yīng)用程序。而當(dāng)運(yùn)行執(zhí)行管理任務(wù)的應(yīng)用程序時(shí)，Windows Vista提示用戶將他們的安全上下文從標(biāo)準(zhǔn)用戶更改或“提升”為管理員，這一過程被稱為 “管理審核模式”。只有在此該模式下，應(yīng)用程序需要特定的權(quán)限才能以管理員應(yīng)用程序(具有與管理員相同訪問權(quán)限的應(yīng)用程序)運(yùn)行。

　　默認(rèn)情況下，當(dāng)管理員應(yīng)用程序啟動(dòng)時(shí)，會(huì)出現(xiàn)“用戶帳戶控制”消息。如果用戶是管理員，該消息會(huì)提供選擇允許或禁止應(yīng)用程序啟動(dòng)的選項(xiàng)。如果用戶是標(biāo)準(zhǔn)用戶，該用戶可以輸入一個(gè)本地 Administrators 組成員的帳戶的用戶名和密碼。

3.3 UAC無(wú)處不在

　　在Windows Vista中，UAC遍及系統(tǒng)的各個(gè)角落。事實(shí)上，只要在Windows Vista進(jìn)行操作，便可時(shí)不時(shí)地遇到以小盾牌標(biāo)注的UAC操作提示，比如說在控制面板中：

　　再或在文件夾屬性頁(yè)中的“高級(jí)共享”設(shè)置：

　　當(dāng)點(diǎn)擊這些以小盾牌標(biāo)注的操作項(xiàng)時(shí)，系統(tǒng)即會(huì)觸發(fā)UAC，彈出相應(yīng)的權(quán)限提升及確認(rèn)窗口，根據(jù)登錄用戶身份的不同，會(huì)有上節(jié)介紹的兩種提示窗口。此時(shí)用戶需輸入管理員密碼(標(biāo)準(zhǔn)用戶)或確認(rèn)是否允許執(zhí)行(管理員)。

　　需要指出的是，在彈出的UAC窗口中，按鍵焦點(diǎn)默認(rèn)為“取消”，即如果允許該程序/服務(wù)執(zhí)行，用戶需手動(dòng)選定“確定”鈕，這也可在一定程度上避免用戶不小心誤操作存在的風(fēng)險(xiǎn)。

3.4 安裝程序、下載文件與UAC

　　UAC不僅存在于系統(tǒng)設(shè)置的相關(guān)操作中，事實(shí)上，當(dāng)我們?cè)赪indows Vista安裝應(yīng)用程序時(shí)也會(huì)經(jīng)常遇到UAC，特別是對(duì)通過網(wǎng)絡(luò)下載的應(yīng)用程序安裝文件而言。

　　下圖即為在撰寫定制Windows Vista啟動(dòng)畫面一文時(shí)我們所使用的Vista Boot Logo Generator下載文件，注意其圖標(biāo)中的小盾牌。

　　當(dāng)Windows Vista檢測(cè)到相應(yīng)程序在安裝中可能會(huì)更改系統(tǒng)設(shè)置時(shí)，即會(huì)彈出相應(yīng)的UAC要求確認(rèn)或提升權(quán)限。

3.5 更改UAC的提示方式

　　不可諱言，頻繁彈出的UAC提示窗口在很多時(shí)候令人厭煩，不過，雖然Vista天地也曾介紹過在Windows Vista中禁用UAC的設(shè)置方法，但為了保證系統(tǒng)的安全，我們強(qiáng)烈建議用戶不要這么做。如果因某種原因不得不這么做，請(qǐng)務(wù)必全面權(quán)衡這樣做帶來的風(fēng)險(xiǎn)，以及時(shí)刻謹(jǐn)記禁用UAC的后果。

　　作為一種替代的解決方案，我們可以嘗試更改UAC(用戶帳戶控制)消息的提示方式，以盡可能避免操作被UAC彈出打斷的情況。

　　注：對(duì)一般用戶來說，這仍是不建議采用的方式，因此，除非您確知這樣做存在的風(fēng)險(xiǎn)并明白如何規(guī)避，不然請(qǐng)勿進(jìn)行修改。

　　要更改UAC提示信息的顯示方式，首先需以本地管理員組成員身份登錄——或以標(biāo)準(zhǔn)用戶身份登錄后提供管理員組成員的認(rèn)證憑據(jù)——修改相應(yīng)的安全策略。

• 在開始菜單搜索框中輸入“gpedit.msc”后按回車，打開組策略對(duì)象編輯器，依次選擇“計(jì)算機(jī)配置” => “Windows 設(shè)置”=> “安全設(shè)置”=> “本地策略”=> “安全選項(xiàng)”；
  或
  在開始菜單搜索框中輸入“Secpol.msc”后按回車，打開本地安全策略編輯器，依次選擇“本地策略” => “安全選項(xiàng)”；
  在Windows Vista默認(rèn)配置中，運(yùn)行這兩款系統(tǒng)設(shè)置工具均會(huì)彈出UAC權(quán)限信息窗口，需要用戶確認(rèn)。
• 更改使用管理員身份登錄時(shí)UAC信息提示方式
  在右側(cè)窗格中找到“用戶帳戶控制: 管理員批準(zhǔn)模式中管理員的提升提示行為”，雙擊打開，在下拉菜單中選擇。

   

  

  下拉菜單中共有三個(gè)選項(xiàng)，分別為：

  • 不提示，直接提升
    啟用該項(xiàng)時(shí)，所有已標(biāo)記為管理員應(yīng)用程序的應(yīng)用程序以及被檢測(cè)出是安裝應(yīng)用程序的應(yīng)用程序，都將使用完全管理員訪問令牌自動(dòng)運(yùn)行?！布词钦f，當(dāng)使用具有管理員身份用戶登錄Windows Vista后，由系統(tǒng)自動(dòng)處理提升權(quán)限的操作，而不會(huì)出現(xiàn)UAC確認(rèn)窗口。——而所有其他應(yīng)用程序都將使用標(biāo)準(zhǔn)用戶令牌自動(dòng)運(yùn)行。
  • 提示憑據(jù)
    啟用該項(xiàng)時(shí)，當(dāng)需要提升權(quán)限時(shí)，用戶必須輸入管理員憑據(jù)。此項(xiàng)設(shè)置一般用于域環(huán)境或企業(yè)策略。
  • 同意提示
    該項(xiàng)為Windows Vista默認(rèn)設(shè)置。

  因此，如果我們選擇“不提示，直接提升”項(xiàng)，當(dāng)以管理員身份登錄Windows Vista后，將不再看到煩人的UAC信息提示窗口。

• 更改使用標(biāo)準(zhǔn)用戶身份登錄時(shí)UAC信息提示方式
  在右側(cè)窗格中找到“用戶帳戶控制: 標(biāo)準(zhǔn)用戶的提升提示行為”，雙擊打開，在下拉菜單中選擇。

   

  

  下拉菜單中共有二個(gè)選項(xiàng)，分別為：

  • 自動(dòng)阻止提升請(qǐng)求
    啟用該項(xiàng)后，Windows Vista將禁止標(biāo)準(zhǔn)用戶運(yùn)行管理員應(yīng)用程序或服務(wù)，用戶只會(huì)看到來自該應(yīng)用程序的錯(cuò)誤消息，提示某個(gè)策略已經(jīng)阻止運(yùn)行該應(yīng)用程序。
  • 提示憑據(jù)
    該項(xiàng)為Windows Vista默認(rèn)設(shè)置。即對(duì)標(biāo)準(zhǔn)用戶而言，在運(yùn)行某些需要更改系統(tǒng)設(shè)置的程序時(shí)允許其獲得管理員訪問令牌——當(dāng)然，前提是用戶必須輸入管理員憑據(jù)。

  如果我們根本不想讓標(biāo)準(zhǔn)用戶更改系統(tǒng)設(shè)置，那么可直接啟用“自動(dòng)阻止提升請(qǐng)求”，這樣既避免了標(biāo)準(zhǔn)用戶的操作可能對(duì)系統(tǒng)帶來的風(fēng)險(xiǎn)，同時(shí)也不會(huì)出現(xiàn)頻繁的UAC提示窗口。

• 設(shè)置完畢后單擊“應(yīng)用”即可。