Win7操作系統(tǒng)用戶帳戶控制功能詳解

Windows 7 預(yù)發(fā)布版本的行為，該行為在許多方面與 beta 版有所不同。

　　UAC 技術(shù)：

　　UAC 技術(shù)的最基本元素和直接效益在于它能使標(biāo)準(zhǔn)用戶更方便地使用 Windows。演示示例展示了 Windows XP 和 Windows Vista 上有關(guān)設(shè)置時區(qū)的權(quán)限要求的不同之處。在 Windows XP 上，更改時區(qū)需要管理權(quán)限，實(shí)際上，即使是使用時間/日期控制面板小程序查看時區(qū)也需要管理權(quán)限。

　　這是因為 Windows XP 未將更改時間（安全敏感的系統(tǒng)操作）與更改時區(qū)（只是影響時間的顯示方式）區(qū)分開來。在 Windows Vista（和 Windows 7）中，更改時區(qū)不是一項管理操作，并且時間/日期控制面板小程序也將管理操作與標(biāo)準(zhǔn)用戶操作進(jìn)行了分隔。僅僅這一項更改就讓許多企業(yè)能夠為出差的用戶配置標(biāo)準(zhǔn)用戶帳戶，因為用戶將能夠調(diào)整時區(qū)來反映他們的當(dāng)前位置。Windows 7 進(jìn)一步做出了改進(jìn)，比如刷新系統(tǒng)的 IP 地址、使用 Windows Update 來安裝可選的更新和驅(qū)動程序、更改顯示 DPI，以及查看標(biāo)準(zhǔn)用戶可訪問的當(dāng)前防火墻設(shè)置。

　　文件系統(tǒng)和注冊表虛擬化在后臺工作，可以幫助許多無意間使用管理權(quán)限的應(yīng)用程序在沒有管理權(quán)限的情況下也能正常運(yùn)行。對于不必要地使用管理權(quán)限而言，最常見的情況是將應(yīng)用程序設(shè)置或用戶數(shù)據(jù)存儲在注冊表或文件系統(tǒng)中系統(tǒng)所使用的區(qū)域內(nèi)。舉例來說，某些舊版應(yīng)用程序?qū)⑵湓O(shè)置存儲在注冊表的系統(tǒng)范圍部分

　　（HKEY_LOCAL_MACHINE/Software），而不是每用戶部分 （HKEY_CURRENT_USER/Software），而注冊表虛擬化會將嘗試寫入系統(tǒng)位置的操作轉(zhuǎn)到 HKEY_CURRENT_USER （HKCU） 中的位置，同時保持應(yīng)用程序兼容性。

　　設(shè)計 PA 帳戶的目的是為了鼓勵開發(fā)人員將應(yīng)用程序編寫為只需要標(biāo)準(zhǔn)用戶權(quán)限，同時使盡可能多的在管理組件和標(biāo)準(zhǔn)用戶組件之間共享狀態(tài)的應(yīng)用程序能夠繼續(xù)工作。默認(rèn)情況下，Windows Vista 或 Windows 7 系統(tǒng)上的第一個帳戶（在 Windows 的早期版本上為完全權(quán)限管理員帳戶）是 PA 帳戶。PA 用戶執(zhí)行的任何程序都使用標(biāo)準(zhǔn)用戶權(quán)限運(yùn)行，除非用戶明確提升了應(yīng)用程序，即授予應(yīng)用程序管理權(quán)限。諸如安裝應(yīng)用程序和更改系統(tǒng)設(shè)置等用戶活動會觸發(fā)提升權(quán)限提示。這些提升權(quán)限提示是最顯著的 UAC 技術(shù)，表現(xiàn)形式為切換到一個包含允許/取消對話框的屏幕，背景為灰色的桌面快照。

　　在安裝之后創(chuàng)建的帳戶是標(biāo)準(zhǔn)用戶帳戶，默認(rèn)情況下，這些帳戶通過一個“即時權(quán)限提升”提示提供提升功能，該提示要求提供將用于授予管理權(quán)限的管理帳戶的憑據(jù)。利用這一便捷功能，只要共享家庭計算機(jī)的家庭成員或更注重安全的使用標(biāo)準(zhǔn)用戶帳戶的用戶知道管理帳戶的密碼，他們就能夠用管理權(quán)限來運(yùn)行應(yīng)用程序，而不必手動切換到其他用戶登錄會話。此類應(yīng)用程序的常見示例包括安裝程序以及家長控制配置。

　　在啟用了 UAC 后，所有用戶帳戶（包括管理帳戶）都將使用標(biāo)準(zhǔn)用戶權(quán)限運(yùn)行。這意味著，應(yīng)用程序開發(fā)人員必須考慮他們的軟件默認(rèn)情況下將沒有管理權(quán)限這一事實(shí)。這應(yīng)會提醒他們將其應(yīng)用程序設(shè)計為使用標(biāo)準(zhǔn)用戶權(quán)限工作。如果應(yīng)用程序或其功能的某些部分需要管理權(quán)限，它可以利用提升機(jī)制來允許用戶解鎖該功能。通常，應(yīng)用程序開發(fā)人員只需進(jìn)行少許更改就可讓其應(yīng)用程序使用標(biāo)準(zhǔn)用戶權(quán)限正常工作。如有關(guān) UAC 的 E7 博客文章所述，UAC 成功地改變了開發(fā)人員編寫軟件的方式。

　　提升權(quán)限提示的另一個優(yōu)點(diǎn)是：它們能夠在軟件想要對系統(tǒng)進(jìn)行更改時“通知”用戶，并使用戶有機(jī)會來阻止這種情況。例如，如果用戶不信任或不想允許修改系統(tǒng)的軟件包要求管理權(quán)限，則它們可以拒絕提示。

　　提升和惡意軟件安全性：

　　UAC 的主要目標(biāo)是讓更多用戶能夠使用標(biāo)準(zhǔn)用戶權(quán)限運(yùn)行。但是，其中一項 UAC 技術(shù)看起來像是安全功能：許可提示。許多人認(rèn)為，因為軟件必須要求用戶授予其管理權(quán)限，因此他們能夠防止惡意軟件獲得管理權(quán)限。提示是一種視覺暗示，它僅為其所述操作獲取管理權(quán)限，除此之外，用戶還可以切換到不同桌面來顯示提升對話框，以及使用 Windows 完整性機(jī)制，包括用戶界面特權(quán)隔離 （UIPI），這些都使人們更加堅信這一理念。

　　正如在 Windows Vista 推出之前我們所談到的，提升的主要目的不是安全性，而是其方便性：如果用戶必須通過登錄到管理帳戶或通過“快速用戶切換”切換到管理帳戶，從而切換帳戶以執(zhí)行管理操作，則大多數(shù)用戶都只會切換一次，而不會切換回來。更改應(yīng)用程序開發(fā)人員進(jìn)行設(shè)計所針對的環(huán)境將不會有進(jìn)展。那么，安全桌面和 Windows 完整性機(jī)制的目的是什么？

　　為提示切換到不同桌面的主要原因是：標(biāo)準(zhǔn)用戶軟件無法“欺騙”提升權(quán)限提示，例如，它們無法通過在對話框上的發(fā)布者名稱上繪圖來欺騙用戶，讓用戶認(rèn)為是 Microsoft 或另一個軟件供應(yīng)商（而不是這些軟件）生成了提示，從而欺騙提升權(quán)限提示。這種替代桌面稱為“安全桌面”，因為它是系統(tǒng)（而不是用戶）所擁有的，就像系統(tǒng)顯示 Windows 登錄對話框的桌面一樣。

　　使用其他桌面還有一個重要目的，就是為了實(shí)現(xiàn)應(yīng)用程序兼容性：在正在運(yùn)行其他用戶擁有的應(yīng)用程序的桌面上，如果內(nèi)置輔助功能軟件（比如屏幕鍵盤）能夠正常工作，那么此時就有一個第三方軟件不能正常工作。當(dāng)本地系統(tǒng)帳戶擁有的提升對話框顯示在用戶擁有的桌面上時，該軟件將無法正常工作。

　　Windows 完整性機(jī)制和 UIPI 的設(shè)計目的是在提升的應(yīng)用程序周圍建立一道保護(hù)性屏障。它最初的目標(biāo)其中之一是防止軟件開發(fā)人員投機(jī)取巧，利用已經(jīng)提升的應(yīng)用程序來完成管理任務(wù)。使用標(biāo)準(zhǔn)用戶權(quán)限運(yùn)行的應(yīng)用程序無法將合成鼠標(biāo)或鍵盤輸入發(fā)送到提升的應(yīng)用程序中，以使應(yīng)用程序執(zhí)行其指令，也無法將代碼注入提升的應(yīng)用程序以執(zhí)行管理操作。

　　Windows 完整性機(jī)制和 UIPI 在 Windows Vista 中用于保護(hù)模式 Internet Explorer，使得感染 IE 的運(yùn)行實(shí)例的惡意軟件更難于修改用戶帳戶設(shè)置，例如，將本身配置為在每次用戶登錄時啟動。盡管 Windows Vista 的一個早期設(shè)計目標(biāo)是使用帶有安全桌面的提升、Windows 完整性機(jī)制和 UIPI，在使用標(biāo)準(zhǔn)用戶權(quán)限和管理權(quán)限運(yùn)行的軟件之間建立一個堅不可摧的屏障（稱為安全邊界），但由于以下兩個原因，而導(dǎo)致該目標(biāo)未能實(shí)現(xiàn)，并隨之被放棄：可用性和應(yīng)用程序兼容性。