文/ns　

最近我們發現了 Windows Vista 中用戶賬戶控制 (UAC) 功能的一些不足。 其中一點就是這東西很容易就被完全關掉了。 有一款叫做 TweakVista 的工具就能很容易的改變UAC的行為甚至完全的關掉它。 這些調整工具所做的工作一般來說就是調整系統注冊表， 修改字符串和DWord值。 也就是那些系統安全和組策略的可調選項。 我們所擔心的正是 TweakVista 那個關掉UAC的單選框。 一旦選中， UAC就從此消失了， 再也不會有那個詢問是否真的要做此項操作的彈出窗口了。 所以， 我問了微軟這樣的問題： 如果UAC打算保護用戶們免受惡意程序和自己操作失誤的威脅， 那么在類似 TweakVista 這樣的善意程序 “麻醉” 掉系統以便運行自帶的功能時， Vista 的保護功能還會有效？ 如果此時用戶要安裝一個號稱是 “免費游戲“ 的惡意程序， 還有什么東西能向用戶索要管理員權限， 阻止這個進程到注冊表中去禁用UAC？

微軟的回答如下：

“如果一個類似 Tweak Vista 這樣的程序需要管理員權限， UAC就會彈出授權對話框。 如果用戶選擇了同意， 這個程序的權限就會提升到管理員級別并被授予訪問特權。 注意， 程序在運行前是要用戶許可的。 UAC只是 Vista 深層安全防御功能 (UAC、IE7、Firewall、Defender、MIC、 SID 和 CI) 的一部分。 微軟建議用戶使用標準的用戶權限， 可更為謹慎的運行帶管理員權限的程序。”

這個回答其實也沒有太意外。 它證實了我們對UAC的質疑 - 對標準的用戶很有效， 而對超級用戶/管理員來說就失去了作用。 如果你授予了一個安裝進程管理員權限， 那么它就能為所欲為， UAC并不能確保萬無一失。 對標準用戶而言， 有時可能會被UAC要求輸入管理員的名稱和密碼。 在某些情況 (假設他不知道密碼) 下， 用戶用戶處于被保護狀態。 若一旦取得了管理員權限 (特別是文件系統級的) ， UAC就失去了作用， 標準用戶也不再受受保護。 也許這對于家庭用戶來說并不算什么， 但是對于同時設有管理員和普通用戶的商用機就得頗費心思了。 但愿UAC對用戶來說真的是功大于過。