深入了解Windows7的用户账户控制
深入了Wi解ndwos的7户用账户制控(UCA)
在 家和公司庭境中,环用使准标户用户帐可提以高全安并降性低总体有拥成。当用户本用标准用户权限(而使是管不理权限)运时,行统的安系配全(包置括防病和防火毒墙置)将配到得护保。样这,户用将能拥有一安个的区全,域以保护他可的帐户们系及的统余部其。分于对业部署,企面桌 TI 理设经的策略置无将法被盖覆而,共享在家计算机庭,上同的不户帐户用受将保到护,避免他其户对其帐行进更。改
是但很久以,来Win,dow s的户用一都在使直管理权用运限行因。此,软通件常开都发使为用理管帐运行户,并且通(常无意)依赖于间管权限。理了为让多更件软够能用标准使户用权限运行并且,助开发人员帮编能够写用标使准用户限权正常运行的应用序,程Widown Vissta 引入了户帐用户制 控UAC()。ACU 成集了一系列术,技中其括包文件系和统注册表虚拟化、保受的护统系管理 员(A) P户、U帐A C升权提限提,示以支持这些及目的标 Wndiwso 完性级别。整在我的会议我演示稿文和Te hNec t杂志AU C内部信一息中文细讨详论了些内这。
容
iWnods w7 用沿 U了C 的目标A基,技础术对相未改变。但做,它是入引了UA C PA 的户可帐运行以的种新两模式,及以某内些置W ndoiw s组件的动自升机制。在提此文中章我将论,述动推 UC A技发展术因的、重素新探 U讨AC 安和全之性间关系的、描述这两种新模,并式介自动绍升的提具工体作式。请方意注,文章中的信息此反了 映iWndwos 7 预布版本发的行,该行为为在许多方面 beta与版有所 不。
同
ACU 技
术
UCA技 术最的基元素本和直接益效在于它使标准能用户更方地便用 W使inods。演w示示例展示 W了idownsX P和 Winodw Vssit 上有a关置设区的时权要限求的同之不。处在 inWowd XPs 上更改时区,需管理要权,限际上,实使即是用时间使日期控制面/小程序查看时区板需也要理管限权
。
这因为 是Widons Xw 未将P更时改(安间全感的系统操作敏)与改时区更只是影(时间的响示方式)区分开显来在 。indWwo Vssiat和(Wi ndwso )中,更改7时区不一项是管理操作并,且间时/期日制控面小板序程将也理操作管标准与户用作操行了进分隔。仅这一仅更改项就让许企多业够能出差为用的配置标户用准户户,因帐用为户能将调够时整来区反他映们当的位前。置Widowsn 进一7步出做改进了,比如刷新统的 系IP地址 、使用W idnosw Udpaet来 装安可的选更和驱动程新、序更改示显 PI,以D及查看准标户可用访的问前当防墙设置。
火 文件统系和册表虚注拟在后化工台作可以,帮许多助无意使间管理权用限
的应用程在序没管理有权限情的况也下能正常行。运于不必要地对使管用权理而限言最,见的情常是将应况程序设用或置户用据数存在注储表或文件册系统中统系使所用区域内的举例来说。,某些旧应版程用将其序置存设储注在表的册统范系部分围 (HKEYLO_ACLMACHI_N\EoStfwra)e而,是每不用部户 分H(KYE_URRECTNU_ESRSo\ftwrea,而)册表虚注拟会化尝将试入系统写置位操作的转 HKEY_到CURERTNU_SR (HEKU)C中 的置,同时位持保应用序兼程性。容
计设P A 帐的户的是为了目鼓励发人员将开应用程序写为只需要标准编用权户限,同使尽时能可的多管理组在件和标用准组户之件间享共态状应用程序的能继续够工作。认默况情,下indowW sisVt 或aWi dows7n统上的第系一帐户(在个W idown 的早期s本上为版全权完限理员帐管)是户PA 帐 。户PA用 户行的执何程任都使序用标准户用权限运,行非用除户明提升确了应用程,序授予即用应序管理程权。限诸如安应装程序用和改更统设系置等户用动活会发触升权限提示。提这提些升限权提示最是著的显U CA技术, 现表形式切换到一个包含为许/允取消对话的框幕,屏景背为色灰桌面的快。
照
在装之安创后建的帐是标户用户准帐户默,认情况下,些这户帐过一通个“即时权限提升提”提示提升供能功,该提要求提供示将用于予授理权限的管理管户的凭据。利用这帐便捷一能功只,共要家庭计享机算家庭成的或员更注重安全的使用准标户用帐的户用户知道理帐管户密的,码们他就能够管用理限权运行来用程应序,不而必动切手到其换他用户录会登。话类此用应程序常见的示包括例装安序程以及长控家制配置。
启用在 了AUC ,所后用有户帐户(包括管理帐)都将使户用标准户用权限运行这。意着味应,用序开发程员必须考人虑他的们件软默情认况下将有没理权限这管一事实。应这会提他们醒其将用程应序设为计使标用准用权户限作。如果应用工序程或其能功的些部某分要需管理限,权它以利可用提机制来允许用户升锁该解功能通。,应用程常序开发员人只需行进少更许改可让就其应用序程用使标准用户权正常工作。如限有 U关AC 的E7 博客文 章所,述AU 成功C改地变开发人了编写员件软的式。
方
提升权
限提的示一另个点是优它们:能够软在件想对要统进行更系改时“知”通户,并使用用户机会有阻来止这情种况例。,如果如用户信任不不或允想许改修系的软统件要求包管权理,限它则可以们拒绝提。
示
提升和恶意 软件全性
安
UAC 的 要主标是让目多用户能够使更用准标用权户运限。但是,行中一其 项AC U技术看
起来是安全功像:许可提示。许多能认为人因为软件必须要求用户,予授管其权限理,因此们他够防能恶意软件止得获理管限。权提示一是视觉种暗,示仅为其所述操它作取管获权理,限除此外之用户,还可切以换不到桌面同来显提升示话对框以,及用 W使indow s完整机性制,括包用界面特权隔离 户(UPII,)这都使人们些更加信这坚理念一。
正如在 indoWws isVt a出推前我之所谈到们的,升的提主目要不是的全性,而是安其便方性:果用户如须通必登录过到理管帐或户过“快通用户切速”切换到换管帐理户从而切,帐换户执行管以操作理则大,数多户用都只会换一切次,而不会换切回。更来改应用序程发开员进人行计所设针对的环将不境会进展有那么,。全安面和 Wind桌os w整完机制的目的性是什么
?
提为示切到不同桌换的面主要因原:是准标用软户件法无欺骗“”提升限提权示例,,如们无它通过法在话框上对发的布者名上绘称来图骗欺户,让用用户为是 认Mcirsootf或另一 个软件应供商而(是不些软这)生件了成提示从,而骗提升权限提示。欺这替代种面桌称“安为桌全面”,为因它是统(而系不是用)户拥有所,的就像系显示 统iWdnos w登录对框的话桌面样一。
用使他其面桌还有个重要目一的就是,了实现应用为程序容兼性:在正在行运他用其户有拥应用程的的序面上,桌如内果辅置功助软件(能比如幕屏盘)能键正够工常,那么作时此就有个一第三方软件能正不工常。当作本地系帐户统拥的有提对升框显示话在户拥用有桌面的时上该软件将,无正法工作。
常
inWdos w整性完机和制UIP 的I计目设是的提升在应用的程周围序立建道一保性护障屏。最它初目标其的中一是之防止件软开人员发投取巧,利机已经提升的应用程用来完成管序任务。理使用标准用权户运行限的用应程序无将法成合标鼠键盘或入发送输到提升应用程序中的,使以用应序执程其指令,也无法将行代注码入升提的应程序用执以行理管作。操
Wndiows完 整机性制和 UIP 在 WIniowsdV itsa中 于保用模式 护IntrenetExplorer,使得 染感 I E运的实例的行意软件恶难于修改用户更帐户设,置如,例本将配置为身每在用次登户录启动时尽管 。Widnwos ista V一个的早期设计目标是用带有安使桌全的面提、升Windws 完整o机性和 U制PII在,使用准用户标限和权理权管运行限的件之软间立一个建坚可不摧的障(屏称为安边全)界,由但于下以两个因原而,致导目标未能该实,并随现被放之弃
: