Win7操作系统用户帐户控制功能详解.docVIP

Win7操作系统用户帐户控制功能详解 在家庭和公司环境中，使用标准用户帐户可以提高安全性并降低总体拥有成本。当用户使用标准用户权限(而不是管理权限)运行时，系统的安全配置(包括防病毒和防火墙配置)将得到保护。这样，用户将能拥有一个安全的区域，可以保护他们的帐户及系统的其余部分。对于企业部署，桌面 IT 经理设置的策略将无法被覆盖，而在共享家庭计算机上，不同的用户帐户将受到保护，避免其他帐户对其进行更改。 　　但是，很久以来，Windows 的用户一直都在使用管理权限运行。因此，软件通常都开发为使用管理帐户运行，并且(通常无意间)依赖于管理权限。为了让更多软件能够使用标准用户权限运行，并且帮助开发人员编写能够使用标准用户权限正常运行的应用程序，Windows Vista 引入了用户帐户控制 (UAC)。UAC 集成了一系列技术，其中包括文件系统和注册表虚拟化、受保护的系统管理员 (PA) 帐户、UAC 提升权限提示，以及支持这些目标的 Windows 完整性级别。我在我的会议演示文稿和 TechNet 杂志UAC 内部信息一文中详细讨论了这些内容。 　　Windows 7 沿用了 UAC 的目标，基础技术相对未做改变。但是，它引入了 UAC 的 PA 帐户可以运行的两种新模式，以及某些内置 Windows 组件的自动提升机制。在此文章中，我将论述推动 UAC 技术发展的因素、重新探讨 UAC 和安全性之间的关系、描述这两种新模式，并介绍自动提升的具体工作方式。请注意，此文章中的信息反映了 　　提升和恶意软件安全性 　　UAC 的主要目标是让更多用户能够使用标准用户权限运行。但是，其中一项 UAC 技术看起来像是安全功能：许可提示。许多人认为，因为软件必须要求用户授予其管理权限，因此他们能够防止恶意软件获得管理权限。提示是一种视觉暗示，它仅为其所述操作获取管理权限，除此之外，用户还可以切换到不同桌面来显示提升对话框，以及使用 Windows 完整性机制，包括用户界面特权隔离 (UIPI)，这些都使人们更加坚信这一理念。 　　正如在 Windows Vista 推出之前我们所谈到的，提升的主要目的不是安全性，而是其方便性：如果用户必须通过登录到管理帐户或通过“快速用户切换”切换到管理帐户，从而切换帐户以执行管理操作，则大多数用户都只会切换一次，而不会切换回来。更改应用程序开发人员进行设计所针对的环境将不会有进展。那么，安全桌面和 Windows 完整性机制的目的是什么? 　　为提示切换到不同桌面的主要原因是：标准用户软件无法“欺骗”提升权限提示，例如，它们无法通过在对话框上的发布者名称上绘图来欺骗用户，让用户认为是 Microsoft 或另一个软件供应商(而不是这些软件)生成了提示，从而欺骗提升权限提示。这种替代桌面称为“安全桌面”，因为它是系统(而不是用户)所拥有的，就像系统显示 Windows 登录对话框的桌面一样。 　　使用其他桌面还有一个重要目的，就是为了实现应用程序兼容性：在正在运行其他用户拥有的应用程序的桌面上，如果内置辅助功能软件(比如屏幕键盘)能够正常工作，那么此时就有一个第三方软件不能正常工作。当本地系统帐户拥有的提升对话框显示在用户拥有的桌面上时，该软件将无法正常工作。 　　Windows 完整性机制和 UIPI 的设计目的是在提升的应用程序周围建立一道保护性屏障。它最初的目标其中之一是防止软件开发人员投机取巧，利用已经提升的应用程序来完成管理任务。使用标准用户权限运行的应用程序无法将合成鼠标或键盘输入发送到提升的应用程序中，以使应用程序执行其指令，也无法将代码注入提升的应用程序以执行管理操作。 　　Windows 完整性机制和 UIPI 在 Windows Vista 中用于保护模式 Internet Explorer，使得感染 IE 的运行实例的恶意软件更难于修改用户帐户设置，例如，将本身配置为在每次用户登录时启动。尽管 Windows Vista 的一个早期设计目标是使用带有安全桌面的提升、Windows 完整性机制和 UIPI，在使用标准用户权限和管理权限运行的软件之间建立一个坚不可摧的屏障(称为安全边界)，但由于以下两个原因，而导致该目标未能实现，并随之被放弃：可用性和应用程序兼容性。  　　首先，考虑提升对话框本身。它显示将被授予管理权限的主要可执行文件的名称和发布者。遗憾的是，尽管越来越多的软件发布者为其代码添加了数字签名，但仍然有一些软件发布者没有这样做，并且还有许多未添加签名的旧版应用程序。对于未签名的软件而言，提升对话框只会显示可执行文件的文件名，因此，对于某些恶意软件(例如，已采用用户帐户运行并且正在监视未签名 Setup.exe 应用程序安装程序的提升)而言，