让懒人也有安全感

1、让懒人也有安全感作者 Heelen 年仅 19 岁，从 2003 年开始接触网络并学 习计算机，但现在已经是微软最有价值专家（MVP）之一，学习范围较广，从 Windows Client 到 Windows Server ，从网页 设计到编程，其中最擅长的是 Windows Client 的系统维护、 安全设置等。为懒人做出的妥协 UAC 诞生记1Windows 2000/XP 倡导的多用户权限大家知道在 Windows 2000和XP中采取了多用户的特性， 用户权力和权限因此得到了很好的分配，使不同用户组的用 户在默认情况下只能进行某些系统操作，从而提高了系统的 安全性。如果再搭配 NTFS

2、文件系统的“控制访问列表”特 性，那么整个系统的安全性将会大大增强。例如，Guests用户组的用户无法安装软件，Users用户组的用户无法更改系 统时间。而 Administrators 是具有系统最高权限的用户组， 其用户可以进行几乎所有的系统操作。2 懒人的安全哲学越方便越好 权力是一把双刃剑，它既可方便用户使用和配置系统，又时时对系统造成很大的威胁。微软建议用户在日常操作时使用权力较低的 Users组或Power Users组用户，需要进行系 统配置时再使用 Administrators 组用户登录系统进行操作。为了更好地方便使用，Windows 2000和XP提供了一个“ Runas”

3、 命令，通过该命令可以在不注销当前用户的情况下以其他用 户的身份运行某个程序。不过为了贪图方便，绝大部分的用 户日常操作时都是使用 Administrators 组用户，甚至根本没 有设置密码！这样当运行了某个病毒程序后，该病毒程序就 会获得与当前用户同样高的权力，对系统造成严重的威胁。显然，微软早就注意到这个现象，也煞费苦心了一番，终于在 Windows Vista 中提出了一个全新功能 :User AccountControl（简称 UAC）。彩色盾牌的秘密一UAC怎么保护系统UAC 旧称为 UAP（User Account Protection），其作用是当用 户进行一个对整个系统有影响

4、的操作时，先中断该操作，并 提示用户进行确认或者取消 （如果当前用户不具备管理员权 限，那么会提示输入管理员账户及密码）。那么，究竟哪些操作会激活UAC功能呢？在Windows Vista中需要经过UAC验 证的操作选项前面都会显示一个彩色盾牌（见图 1）。UAC的提示窗口有两种，如果当前用户拥有管理员权利， 那么UAC默认就会提示用户进行确认 （见图2）。我们可以单 击“细节”箭头，此时就会显示该程序的详细路径，帮助用 户确定该程序是否为可信赖程序。如果当前用户不具备管理员权利，那么就会提示用户选 择一个管理员账户并输入相应的密码（见图 3）。UAC的这个特性，很有效地保护了系统。比如当前用

5、户不小心运行了病毒程序，该病毒程序在后台暗箱操作，想进 行一些对系统有破坏性的操作。如果是 Windows Vista 以前 版本的系统，那么这些操作由于在后台发生，用户都是无法 知晓的。但现在，UAC不管前台还是后台的操作，都会像一 个坚固可靠的火警装置一样主动进行拦截，并出现提示窗口 提示用户。如果用户发现自己没有进行某项操作或运行某个 程序，而出现UAC提示窗口了，那很可能就是病毒在作怪了。不要留给恶意程序任何机会一 UAC的安全桌面大家可能会发现，在系统出现UAC提示窗口时，整个桌 面会暗下来，只有 UAC提示窗口高亮度显示。此时只能在 UAC 提示窗口中进行操作，而无法进行其他任何操

6、作。这个就是Secure Desktop（安全桌面）特性，它是WindowsVista 在最近的测试版本中新添加的一个功能， 它能够有效地预防一些恶意程序利用欺骗手段来通过UAC 的验证。例如，在没有 Secure Desktop 特性的 Windows Vista 上，恶意程序可 以模拟一个UAC提示窗口（覆盖真正的UAC提示窗口），以此 盗取用户输入的管理员密码。或者，恶意程序可以隐藏用户 真实的鼠标指针，然后模拟一个鼠标指针。 在出现UAC提示 窗口提示用户“确定”或“取消”操作时，用户点的是“取 消”按钮，而其实被隐藏的真实的鼠标指针点的却是旁边的 “确定”按钮。在结合了 Secure

7、 Desktop特性的UAC功能，只允许当前 系统中以SYSTEM身份运行的进程不经过 UAC监控，而以其 他身份运行的程序都难逃 UAC的法眼。没有东西是完美的一UAC的兼容性弊端1 管理员也有可能被束缚除了系统内置的管理员账户“ Administrator ”不受 UAC 束缚外，计算机上所有的用户都要受到UAC的控制。这样一来，即便是具有管理员权利的用户，运行一些程序或者访问 一些资源，都要被 UAC所拦截，需要确认操作才可以继续， 这无疑造成使用上的不便。而且，正是UAC大大限制了管理员账户对资源的权限，导致管理员账户无法运行一些管理命 令，例如“ BCDEdit”。在“命令行提示”下

8、运行“BCDEdit” 命令后，出现“无法打开启动配置数据存储，拒绝访问”的 错误提示 （见图 4）。但是，此时没有出现 UAC 提示窗口和任 何导致该错误的详细解释，很容易让普通用户摸不着头脑。2 烦琐的操作，删除快捷方式竟要 7 步在应用了 UAC的Vista上删除快捷方式需要这些步骤 ： 按下Delete键。提示“删除快捷方式并不会移除程序，您 确定要将快捷方式移到回收站吗？”，选择“是”。提示“快捷方式无法被移除到回收站，您要将其永久删除吗？” ，选 择“是”。提示错误“您没有删除这个档案的权限。请按 继续'完成操作” ，按“继续” 。提示“ Windows 需要您 的许可进行

9、文件操作。 ”，点击“允许” 。 快捷方式并没有 按照第三步的要求进行操作，快捷方式进了回收站。清空 回收站，再次点“确定” （见图 5）。安全是安全了，可是删完之后人已经疯了3 新功能，意味着新的兼容性测试Windows Vista上出现了很多兼容问题，其中UAC和第三方应用程序的兼容性也是其中之一。就如 Windows 2000/XP 时代由于当前用户权力的限制，部分程序无法访问 相关资源而出现错误一样，UAC也有可能与第三方应用程序出现类似的兼容问题。目前据微软UAC开发部的人员称，日后的第三方软件应需要经过微软的测试，才可以获得Certified for Windows Vista ”的 LOGO。4 如果 UAC 造成了麻烦，我们可以这么干如果由于 UAC 造成了某些软件的使用故障， 那么在这个 软件通过微软新的兼容性认证之前，我们只能选择关闭 UAC 功能，依次打开“控制面板T用户账户”，单击“更改安全设置”选项，然后取消“使用用户账户控制 （UAC帮助保护您 的计算机”的勾选 （见图 6），最后重新启动。后记：目前Windows Vista仍然处于测试阶段，所以UAC 功能难免有些不足。