文/ns　

最近我們發(fā)現(xiàn)了 Windows Vista 中用戶(hù)賬戶(hù)控制 (UAC) 功能的一些不足。 其中一點(diǎn)就是這東西很容易就被完全關(guān)掉了。 有一款叫做 TweakVista 的工具就能很容易的改變UAC的行為甚至完全的關(guān)掉它。 這些調(diào)整工具所做的工作一般來(lái)說(shuō)就是調(diào)整系統(tǒng)注冊(cè)表， 修改字符串和DWord值。 也就是那些系統(tǒng)安全和組策略的可調(diào)選項(xiàng)。 我們所擔(dān)心的正是 TweakVista 那個(gè)關(guān)掉UAC的單選框。 一旦選中， UAC就從此消失了， 再也不會(huì)有那個(gè)詢(xún)問(wèn)是否真的要做此項(xiàng)操作的彈出窗口了。 所以， 我問(wèn)了微軟這樣的問(wèn)題： 如果UAC打算保護(hù)用戶(hù)們免受惡意程序和自己操作失誤的威脅， 那么在類(lèi)似 TweakVista 這樣的善意程序 “麻醉” 掉系統(tǒng)以便運(yùn)行自帶的功能時(shí)， Vista 的保護(hù)功能還會(huì)有效？ 如果此時(shí)用戶(hù)要安裝一個(gè)號(hào)稱(chēng)是 “免費(fèi)游戲“ 的惡意程序， 還有什么東西能向用戶(hù)索要管理員權(quán)限， 阻止這個(gè)進(jìn)程到注冊(cè)表中去禁用UAC？

微軟的回答如下：

“如果一個(gè)類(lèi)似 Tweak Vista 這樣的程序需要管理員權(quán)限， UAC就會(huì)彈出授權(quán)對(duì)話(huà)框。 如果用戶(hù)選擇了同意， 這個(gè)程序的權(quán)限就會(huì)提升到管理員級(jí)別并被授予訪問(wèn)特權(quán)。 注意， 程序在運(yùn)行前是要用戶(hù)許可的。 UAC只是 Vista 深層安全防御功能 (UAC、IE7、Firewall、Defender、MIC、 SID 和 CI) 的一部分。 微軟建議用戶(hù)使用標(biāo)準(zhǔn)的用戶(hù)權(quán)限， 可更為謹(jǐn)慎的運(yùn)行帶管理員權(quán)限的程序。”

這個(gè)回答其實(shí)也沒(méi)有太意外。 它證實(shí)了我們對(duì)UAC的質(zhì)疑 - 對(duì)標(biāo)準(zhǔn)的用戶(hù)很有效， 而對(duì)超級(jí)用戶(hù)/管理員來(lái)說(shuō)就失去了作用。 如果你授予了一個(gè)安裝進(jìn)程管理員權(quán)限， 那么它就能為所欲為， UAC并不能確保萬(wàn)無(wú)一失。 對(duì)標(biāo)準(zhǔn)用戶(hù)而言， 有時(shí)可能會(huì)被UAC要求輸入管理員的名稱(chēng)和密碼。 在某些情況 (假設(shè)他不知道密碼) 下， 用戶(hù)用戶(hù)處于被保護(hù)狀態(tài)。 若一旦取得了管理員權(quán)限 (特別是文件系統(tǒng)級(jí)的) ， UAC就失去了作用， 標(biāo)準(zhǔn)用戶(hù)也不再受受保護(hù)。 也許這對(duì)于家庭用戶(hù)來(lái)說(shuō)并不算什么， 但是對(duì)于同時(shí)設(shè)有管理員和普通用戶(hù)的商用機(jī)就得頗費(fèi)心思了。 但愿UAC對(duì)用戶(hù)來(lái)說(shuō)真的是功大于過(guò)。