評論(0

用戶賬戶控制

標籤: 暫無標籤

1概述

用戶帳戶控制 (User Account Control) 是Windows Vista中一組新
用戶賬戶控制
的基礎結構技術,可以幫助阻止惡意程序(有時也稱為「惡意軟體」)損壞系統,同時也可以幫助組織部署更易於管理的平台。
使用 UAC,應用程序和任務總是在非管理員帳戶的安全上下文中運行,但管理員專門給系統授予管理員級別的訪問許可權時除外。UAC 會阻止未經授權應用程序的自動安裝,防止無意中對系統設置進行更改。
用戶賬戶控制(UAC)是Windows Vista的核心安全功能,也是Vista最常被人誤解的眾多安全功能當中的一種。

2變化

登錄過程
登錄過程發生了變化
雖然登錄過程對用戶來說似乎一樣——都需要輸入賬戶名和口令,但是Vista的登錄過程實際上發生了變化。如果使用管理員賬戶登錄,不但會獲得該賬戶的訪問令牌,還會獲得普通用戶的訪問令牌。這個普通令牌可用於啟動Explorer.exe,Explorer.exe的所有子進程都使用該令牌的許可權運行,除非通過響應UAC提示對話框,提升了許可權。
批准模式
管理員批准模式是默認值
默認狀態下,Vista使用普通用戶許可權運行,即使以管理員身份登錄也是如此。如果某項任務需要管理員特權,對話框就會要求獲得許可,才能繼續操作。這可以阻止惡意軟體在用戶不知情的情況下提升許可權。
進一步提高安全性
默認狀態下,如果響應了UAC提示對話框,簽名和未簽名的可執行文件都可以使用提升許可權來運行。不過在高度安全環境下,可通過編輯組策略,以便Vista只為簽名有效的可執行文件提升許可權,從而改變這種行為。
遺留程序
遺留程序需要做上標記
Vista出現前編寫的不支持UAC的程序需要經過特別配置,才能在Vista下工作。如果程序需要執行具有管理員許可權的任務,應當將它們標上請求的執行級別,提示用戶要求得到批准。可使用應用程序兼容性工具包來完成這一步,這個工具可從微軟網站免費下載。

3工作原理

在該版本的 Windows 中,有兩個級別的用戶:標準用戶和管理員。標準用戶是計算機 Users 組的成員;管理員是計算機 Administrators 組的成員。
與以前版本的 Windows 不同,默認情況下標準用戶和管理員都會在標準用戶安全上下文中訪問資源和運行應用程序。任何用戶登錄到計算機后,系統為該用戶創建一個訪問令牌。該訪問令牌包含有關授予給該用戶的訪問許可權級別的信息,其中包括特定的安全標識符(SID) 和 Windows 許可權。當管理員登錄到計算機時,該版本的 Windows 為該用戶創建兩個單獨的訪問令牌:標準用戶訪問令牌和管理員訪問令牌。標準用戶訪問令牌包含的用戶特定信息與管理員訪問令牌包含的信息相同,但是已經刪除管理 Windows 許可權和 SID。標準用戶訪問令牌用於啟動不執行管理任務的應用程序(「標準用戶應用程序」)。
當管理員需要運行執行管理任務的應用程序(「管理員應用程序」)時,該版本的 Windows 提示用戶將他們的安全上下文從標準用戶更改或「提升」為管理員。該默認管理員用戶體驗稱為「管理審核模式」。在該模式下,應用程序需要特定的許可權才能以管理員應用程序(具有與管理員相同訪問許可權的應用程序)運行。
默認情況下,當管理員應用程序啟動時,會出現「用戶帳戶控制」消息。如果用戶是管理員,該消息會提供選擇允許或禁止應用程序啟動的選項。如果用戶是標準用戶,該用戶可以輸入一個本地 Administrators 組成員的帳戶的用戶名和密碼。

4注意

可以使用組策略更改「用戶帳戶控制」消息的行為。
設計應用程序時,軟體開發者應該將應用程序標識為管理員應用程序或標準用戶應用程序。如果應用程序沒有標識為管理員應用程序,則 Windows 會將它看作標準用戶應用程序。但是,管理員也可以將應用程序看作管理員應用程序。
上一篇[農田溫度]  

相關評論

同義詞:暫無同義詞