Vista的新特性：懶人的安全感

2024-07-26 00:35:59

字體：大中小

供稿：網(wǎng)友

　　作者Heelen年僅19歲，從2003年開始接觸網(wǎng)絡(luò)并學(xué)習(xí)計算機，但現(xiàn)在已經(jīng)是微軟最有價值專家(MVP)之一，學(xué)習(xí)范圍較廣，從Windows Client到Windows Server，從網(wǎng)頁設(shè)計到編程，其中最擅長的是Windows Client的系統(tǒng)維護、安全設(shè)置等。

　　為懶人做出的妥協(xié)——UAC誕生記

　　1.Windows 2000/XP倡導(dǎo)的多用戶權(quán)限

　　大家知道在Windows 2000和XP中采取了多用戶的特性，用戶權(quán)力和權(quán)限因此得到了很好的分配，使不同用戶組的用戶在默認情況下只能進行某些系統(tǒng)操作，從而提高了系統(tǒng)的安全性。如果再搭配NTFS文件系統(tǒng)的“控制訪問列表”特性，那么整個系統(tǒng)的安全性將會大大增強。例如，Guests用戶組的用戶無法安裝軟件，Users用戶組的用戶無法更改系統(tǒng)時間。而Administrators是具有系統(tǒng)最高權(quán)限的用戶組，其用戶可以進行幾乎所有的系統(tǒng)操作。

　　2.懶人的安全哲學(xué)——越方便越好

　　權(quán)力是一把雙刃劍，它既可方便用戶使用和配置系統(tǒng)，又時時對系統(tǒng)造成很大的威脅。微軟建議用戶在日常操作時使用權(quán)力較低的Users組或Power Users組用戶，需要進行系統(tǒng)配置時再使用Administrators組用戶登錄系統(tǒng)進行操作。為了更好地方便使用，Windows 2000和XP提供了一個“Runas”命令，通過該命令可以在不注銷當(dāng)前用戶的情況下以其他用戶的身份運行某個程序。不過為了貪圖方便，絕大部分的用戶日常操作時都是使用Administrators組用戶，甚至根本沒有設(shè)置密碼！這樣當(dāng)運行了某個病毒程序后，該病毒程序就會獲得與當(dāng)前用戶同樣高的權(quán)力，對系統(tǒng)造成嚴(yán)重的威脅。

　　顯然，微軟早就注意到這個現(xiàn)象，也煞費苦心了一番，終于在Windows Vista中提出了一個全新功能:User Account Control(簡稱UAC)。

　　彩色盾牌的秘密——UAC怎么保護系統(tǒng)

　　UAC舊稱為UAP(User Account PRotection)，其作用是當(dāng)用戶進行一個對整個系統(tǒng)有影響的操作時，先中斷該操作，并提示用戶進行確認或者取消(如果當(dāng)前用戶不具備管理員權(quán)限，那么會提示輸入管理員賬戶及密碼)。那么，究竟哪些操作會激活UAC功能呢？在Windows Vista中需要經(jīng)過UAC驗證的操作選項前面都會顯示一個彩色盾牌，見下圖。

Vista 新特性

　　UAC的提示窗口有兩種，如果當(dāng)前用戶擁有管理員權(quán)利，那么UAC默認就會提示用戶進行確認。我們可以單擊“細節(jié)”箭頭，此時就會顯示該程序的詳細路徑，幫助用戶確定該程序是否為可信賴程序，見下圖。

Vista 新特性

　　如果當(dāng)前用戶不具備管理員權(quán)利，那么就會提示用戶選擇一個管理員賬戶并輸入相應(yīng)的密碼，見下圖。

Vista 新特性

　　UAC的這個特性，很有效地保護了系統(tǒng)。比如當(dāng)前用戶不小心運行了病毒程序，該病毒程序在后臺暗箱操作，想進行一些對系統(tǒng)破壞性的操作。如果是Windows Vista以前版本的系統(tǒng)，那么這些操作由于在后臺發(fā)生，用戶都是無法知曉的。但現(xiàn)在，UAC不管前臺還是后臺的操作，都會像一個堅固可靠的火警裝置一樣主動進行攔截，并出現(xiàn)提示窗口提示用戶。如果用戶發(fā)現(xiàn)自己沒有進行某項操作或運行某個程序，而出現(xiàn)UAC提示窗口了，那很可能就是病毒在作怪了。

　　不要留給惡意程序任何機會——UAC的安全桌面

　　大家可能會發(fā)現(xiàn)，在系統(tǒng)出現(xiàn)UAC提示窗口時，整個桌面會暗下來，只有UAC提示窗口高亮度顯示。此時只能在UAC提示窗口中進行操作，而無法進行其他任何操作。

　　這個就是Secure Desktop（安全桌面）特性，它是Windows Vista在最近的測試版本中新添加的一個功能，它能夠有效地預(yù)防了一些惡意程序利用欺騙手段來通過UAC的驗證。例如，在沒有Secure Desktop特性的Windows Vista上，惡意程序可以模擬一個UAC提示窗口（覆蓋真正的UAC提示窗口），以此盜取用戶輸入的管理員密碼?；蛘撸瑦阂獬绦蚩梢噪[藏用戶真實的鼠標(biāo)指針，然后模擬一個鼠標(biāo)指針。在出現(xiàn)UAC提示窗口提示用戶“確定”或“取消”操作時，用戶點的是“取消”按鈕，而其實被隱藏的真實的鼠標(biāo)指針點的卻是旁邊的“確定”按鈕。

　　在結(jié)合了Secure Desktop特性的UAC功能，只允許當(dāng)前系統(tǒng)中以SYSTEM身份運行的進程不經(jīng)過UAC監(jiān)控，而以其他身份運行的程序都難逃UAC的法眼。

　　沒有東西是完美的——UAC的兼容性弊端

　　1.管理員也有可能被束縛

　　除了系統(tǒng)內(nèi)置的管理員賬戶“Administrator”不受UAC束縛外，計算機上所有的用戶都要受到UAC的控制。這樣一來，即便是就具有管理員權(quán)利的用戶，運行一些程序或者訪問一些資源，都被UAC所攔截，需要確認操作才可以繼續(xù)，這無疑造成使用上的不便。而且，正是UAC大大限制了管理員賬戶對資源的權(quán)限，導(dǎo)致管理員賬戶無法運行一些管理命令，例如“BCDEdit”。在“命令行提示”下運行“BCDEdit”命令后，出現(xiàn)“無法打開啟動配置數(shù)據(jù)存儲，拒絕訪問”的錯誤提示。但是，此時沒有出現(xiàn)UAC提示窗口和任何導(dǎo)致該錯誤的詳細解釋，很容易讓普通用戶摸不著頭腦，見下圖。

Vista 新特性

　　2.煩瑣的操作，刪除快捷方式竟要7步

　　在應(yīng)用了UAC的Vista上刪除快捷方式需要這些步驟:①按下Delete鍵。②提示“刪除快捷方式并不會移除程序，您確定要將快捷方式移到回收站嗎？”，選擇“是”。③提示“快捷方式無法被移除到回收站，您要將其永久刪除嗎？”，選擇“是”。 ④提示錯誤“您沒有刪除這個檔案的權(quán)限。請按‘繼續(xù)’完成操作” ，按“繼續(xù)”。⑤提示“Windows需要您的許可進行文件操作?！?，點擊“允許”。 ⑥快捷方式并沒有按照第三步的要求進行操作，快捷方式進了回收站。⑦清空回收站，再次點“確定”。
　　安全是安全了，可是刪完之后人已經(jīng)瘋了……

　　3.新功能，意味著新的兼容性測試

　　Windows Vista上出現(xiàn)了很多兼容問題，其中UAC和第三方應(yīng)用程序的兼容性也是其中之一。就如Windows 2000/XP時代由于當(dāng)前用戶權(quán)力的限制，部分程序無法訪問相關(guān)資源而出現(xiàn)錯誤一樣，UAC也有可能與第三方應(yīng)用程序出現(xiàn)類似的兼容問題。目前據(jù)微軟UAC開發(fā)部的人員稱，日后的第三方軟件應(yīng)需要經(jīng)過微軟的測試，才可以獲得“Certified for Windows Vista”的LOGO。

　　4.如果UAC造成了麻煩，我們可以這么干

　　如果由于UAC造成了某些軟件的使用故障，那么在這個軟件通過微軟新的兼容性認證之前，我們只能選擇關(guān)閉UAC功能，依次打開“控制面板→用戶賬戶”，單擊“更改安全設(shè)置”選項，然后取消“使用用戶賬戶控制(UAC)幫助保護您的計算機”的勾選，最后重新啟動，見下圖。

Vista 新特性

　　后記：目前Windows Vista仍然處于測試階段，所以UAC功能難免有些不足。很多用戶都想把該功能禁用，但是在一般情況下并不建議這樣做，因為該功能確實能夠在很大程度上保護計算機的安全。同時希望微軟在正式版的Windows Vista能夠為UAC設(shè)計一個折衷的兼容性解決方案，比如類似Windows xp SP2中DEP的保護列表，讓用戶能夠有選擇地將程序設(shè)置為不受UAC監(jiān)管。

上一篇：Windows Vista SP1新增創(chuàng)建恢復(fù)盤功能

下一篇：Windows Vista中如何用閃存保護資料