简介
用户帐户控制( UAC )是微软的Windows Vista操作系统采用的一个技术和安全基础设施。它的目的是改善安全的Microsoft Windows通过限制应用软件的标准用户权限的管理员授权之前增加权限级别。这样只有用户相信的应用程序才能获得较高的特权,恶意软件就会因没有足够特权而不能破坏操作系统。换言之,一个用户帐户可能具有管理员权限,但用户运行应用程序不具有这些特权,除非这些用户运行的应用程序被事先核准或用户明确授权才具有较高的特权。
当某些动作会影响系统的安全及稳定性或影响运作时,UAC便会弹出消息,在运行前要求管理员的帐户及密码,除了该对话框之外,屏幕其他部分都会变暗,用户不能进行其他操作。若果用户的组群是“系统管理员”,则只需在对话框中选择“允许”或“不允许”,若果用户的组群是“标准用户”,则需请求管理员的授权及密码。
通过激活前先确认这些动作,UAC 可协助防止恶意软件(malware) 与间谍软件未经授权就进行安装或变更计算机。正因如此,在Windows系统中,UAC默认为打开的。
但是,UAC在提高系统安全性的同时,相应地也使用户的操作不可避免地变得繁琐,在有些情况下这种繁琐甚至到了让人难以忍受的地步,许多人被没完没了弹出的UAC提示窗口搞得头大。
详细介绍
当需要权限或密码才能完成任务时,UAC 会用下列消息之一警告用户:
Windows 需要您的许可才能继续
可能会影响本计算机其他用户的 Windows 功能或程图为没有开启安全桌面时的UAC对话框序需要您的许可才能启动。请检查操作的名称以确保它正是您要运行的功能或程序。
程序需要您的许可才能继续
不属于 Windows 的一部分的程序需要您的许可才能启动。它具有指明其名称和发行者的有效的数字签名,该数字签名可以帮助确保该程序正是其所声明的程序。确保该程序正是您要运行的程序。
一个未能识别的程序要访问您的计算机
未能识别的程序是指没有其发行者所提供用于确保该程序正是其所声明程序的有效数字签名的程序。这不一定表明有危险,因为许多旧的合法程序缺少签名。但是,应该特别注意并且仅当其获取自可信任的来源(例如原装 CD 或发行者网站)时允许此程序运行。
此程序已被阻止
这是管理员专门阻止在您的计算机上运行的程序。若要运行此程序,必须与管理员联系并且要求解除阻止此程序。
建议您大多数情况下使用标准用户帐户登录计算机。可以浏览 Internet,发送电子邮件,使用字处理器,所有这些都不需要管理员帐户。当您要执行管理任务(如安装新程序或更改会影响其他用户的设置)时,不必切换到管理员帐户。在执行该任务之前,Windows 会提示您进行许可或提供管理员密码。
为了帮助保护计算机,可以为共享该计算机的所有用户创建标准用户帐户。当拥有标准帐户的人试图安装软件时,Windows 会要求输入管理员帐户的密码,以便在您不知情和未经您许可的情况下无法安装软件。
2.UAC(User Agent Client) 用户代理客户端
如何关闭UAC
控制面板→用户帐户→打开或关闭用户账户控制→取消使用用户账户控制(UAC)帮助保护您的计算机。
UAC是一件防护恶意软件、病毒、木马、蠕虫及间谍软件的神兵利器,可以帮助人们象安全专家一样避免执行不明来源的邮件附件,减少用户每天对于安全问题的困扰。
当打开UAC时,它会弹出一个总在最前端的窗口询问是否真的想安装或运行你不了解的程序,这对防止计算机收到感染真的有用吗?在回答这个问题之前,让我们首先来看一下在卸载你的防病毒软件如AVG或Avast之前,我们会面对何种危险?
UAC的重要意义
当UAC横空出世后,pc中几乎所有的进程与运行的程序都可以被拦截,尤其对那些试图使用管理员权限自动安装或自动运行的程序有显著的效果。
Windows Vista还带来了很多其它的安全特性。Windows防火墙的升级版可以对出站和入站连接进行管理。而以往版本的Windows防火墙只能对入站连接进行管理,这意味着有可能在用户毫不知情的情况下成为攻击其它计算机的DDoS攻击者中的一员。另外,Windows Defender可以免费提供对常见恶意软件的防护。
同时自动更新也应当被包含在安全组合中,虽然它不象前面提到的那些安全程序,但对于系统安全而言仍是必不可少的组成部分。微软每个月都会通过Windows Update对自己或其它研究机构发现的漏洞进行定期修补。
想在一台没有安装防病毒软件的机器上和病毒交锋,那么几乎所有的重担都将落在UAC的头上。既没有防病毒软件也没有UAC的机器可以被病毒无声无息的轻易攻破。
病毒可以通过电子邮件(如果用户运行包含病毒的附件)或其它程序感染电脑。一个非常有效的途径就是不法分子将商业软件破解(如“warez”)后植入病毒,然后通过网站、FTP、BT网络、即时通讯软件,甚至IRC进行大范围的传播。如果不安装防病毒软件对此类来源的软件进行扫描,那么就算被感染了用户也发现不了。
更糟糕的是,病毒通常都会极快的产生各种类型的“变种”,大多数的防病毒软件是通过特征码的形式进行病毒识别的,因此如果病毒变种后的代码与防病毒软件的定义不符,那么它同样可以感染“受保护”的电脑。
关于UAC的小测试
为了测试在没有防病毒软件的环境下UAC机制对电脑的保护能力,我们在一台装有Windows Vista的机器中拷入了一份包含病毒的邮件,然后拔掉此台电脑的网线将其完全与本地网络物理隔离。
然后在此台机器上打开这份受感染的邮件,其中包含2个可疑的附件,我们将这2个附件保存到目录中然后执行它们。
不管运行哪个附件,UAC都马上跳出来报警,报告这种正常情况下看不到任何提示的自动安装。其中一个程序的名称为“??.EXE”,UAC会用红色标志对其标记,这说明此程序是非常可疑的。
而如果有这样一种恶意软件,其名称为“BANK.EXE”,当UAC对其进行阻止时,另一个值得考虑的问题就会浮出水面。
对于Vista用户来说,UAC是无处不在的。一般在安装游戏、升级驱动的时候出现,很多人在UAC对话框弹出后甚至连看都不看一眼就允许程序运行了。很多毫无经验的用户在看到“BANK.EXE”,出于习惯,或者只是因为他们不知道还能做什么,那干嘛不让它运行呢?
说到这里,大家应该意识到防病毒软件只是安全防护的一部分,另一个非常重要的方面就是培养用户的使用习惯及安全意识。
如果你经常泡论坛的话,可能会遇到这样的超级玩家,其Windows XP系统4年来没有安装任何防病毒软件竟然仍然安然无恙,为什么?其实很简单,那就是避免使用破解软件及运行可疑的Email附件。
另解:UAC=Ultimate Ape Creator
如何微调
如何微调Vista“用户帐户控制”功能以更适合实际操作:
“用户帐户控制”(User Account Control)是Vista系统新增的重要安全功能,从Beta版本至今经过了不断的改进,已经把以往不时弹出的警告窗口大大减少。但是对于资深的电脑用户而言,这些弹出的警告仍然有碍电脑操作,所以有些人想把此功能关闭。其实,完全关闭“用户帐户控制”功能也不是好办法,大家不妨考虑将它稍作调整来配合自己,同时也能够保留它的保护作用。
1.关闭UAC功能的方法是,在“控制面板”→“用户帐户”中,点击“打开或关闭用户帐户控制”一项进行设置。而如果想微调UAC功能,则可按选键盘上Windows键+R键,调出“运行”对话框,然后键入“secpol.msc”,打开“本地安全策略”设置窗口。
2.在“本地安全设置”窗口中,在窗口左边依次点击“本地策略” →“安全选项”,窗口右边会对应显示出多个“用户帐户控制”功能的具体设置项目。有经验的电脑用户可以根据自己的喜好,对其中的项目作出修改,以符合自己使用电脑的习惯。
3.例如,有些人会将“管理员批准模式中系统管理员的提升行为”由“同意提示”改为“不提示直接提升”;同时将“只提升签名并验证的可执行文件”一项由“已禁用”改为“已启用”。虽然修改设置会削弱UAC本身的效力,但用户在进行管理操作时却能减少警告窗口弹出的次数。
4.使用Norton UAC Tool。它可以把UAC设置为始终允许某一程序。安装后UAC的提示窗口会有一个复选框“始终允许该程序”,这样可以把杀毒软件的升级程序等设为始终放行,方便操作。
5.暂时关闭UAC。先打开任务管理器,结束explorer.exe,桌面就没了,然后按下“显示所有用户的进程”,会出来一个UAC窗口,放行。然后打开“文件->新任务”,会看到“将以管理员身份运行此程序”,输入explorer.exe回车,重开桌面,就暂时禁止了UAC。原理:按下“显示所有用户的进程”并放行后,任务管理器被提升权限,在UAC中权限可以继承,开启explorer.exe后,桌面继承权限,在桌面上运行的程序也自然继承了权限。要开启UAC,结束explorer.exe再重开,就恢复了。
需要授权的动作
UAC需要授权的动作包括:
* 配置Windows Update
* 增加或删除用户帐户
* 改变用户的帐户类型
* 改变UAC 设置
* 安装ActiveX
* 安装或卸载程序
* 安装设备驱动程序
* 设置家长控制
* 将文件移动或复制到Program Files或Windows目录
* 查看其他用户文件夹
基本上,只要有涉及到访问系统磁盘的根目录 (例如 C:/),访问 Windows 目录,Windows 系统目录,Program Files 目录,访问 Windows 安全信息以及读写系统登录数据库 (Registry) 的程序访问动作,都会需要通过 UAC 的认证。
Windows7中的UAC
UAC(用户帐户控制)是作为一项安全功能第一次在Vista中出现,它被设计用来减少PC受到恶意软件侵害的机会。但因为它弹出警告窗口的次数过于频繁,扰乱了正常的用户体验,引起了用户的反感,当时被当成是“垃圾”。但微软在Windows 7中并没有放弃UAC,而是将其重新设计,使之更适合用户使用。
相比于Vista的UAC只有“开启”和“关闭”两项功能设置,微软在Windows7的UAC里增加了四个级别的设置项。 最高的级别是“始终通知我”,即用户安装应用软件或者对应用软件进行升级、应用软件在用户知情或者不知情的情况下对操作系统进行更改、修改Windows设置等等,都会向系统管理员汇报,同时屏幕会被锁死并降低亮度。
第二个级别为“仅在应用程序试图尝试改变计算机时”通知系统管理员。这个级别是操作系统的默认控制级别。他与第一个级别的主要差异就在于用户主动改变Windows设置时不会通知系统管理员。在这个级别下,即使操作系统上有恶意程序在运行,也不会给操作系统造成多大的负面影响。因为恶意程序不能够在系统管理员不知情的情况下修改系统的配置,如更改注册表、更改IE浏览器的默认页面、更改服务启动列表等等。
第三个级别为“仅当应用程序试图尝试改变计算机时”通知系统管理员,其他设置基本和第二级别一致,区别在于屏幕亮度不降低,也不锁屏。
到第四个级别就是所有都不通知即关闭UAC。
