用戶帳戶控制 (UAC) 是 WindowsServer2008 和 WindowsVista 操作系統(tǒng)的一個新的安全組件。

用戶帳戶控制有什么作用？

UAC 允許管理員在非管理員用戶會話過程中輸入憑據(jù)以執(zhí)行臨時管理任務，而不必切換用戶、注銷或使用 Run as 命令。

UAC 還會要求管理員以特殊方式批準應用程序，從而在運行這些應用程序之前先執(zhí)行“系統(tǒng)范圍”更改，即使在管理員用戶會話中也是如此。

誰會對該功能感興趣？

了解 UAC 的操作對于下列人員非常重要：

• 管理員
• IT 安全專業(yè)人士
• 為 Windows Server2008 或 WindowsVista 創(chuàng)建應用程序的開發(fā)人員

是否有其他特殊注意事項？

最初用戶可能遇到大量 UAC 提示，這是因為第一次配置操作系統(tǒng)時，要進行許多系統(tǒng)范圍更改。但是，這些類型的更改頻率會隨著時間而降低。

當 UAC 出現(xiàn)在 Windows Server2008 和 WindowsVista 中時，默認配置在以下方面有所不同：

• 默認情況下，對于 Windows Server2008 或 WindowsVista 中的內(nèi)置 Administrator 帳戶不啟用管理員批準模式 (AAM)。
• 默認情況下，在 WindowsVista 中禁用內(nèi)置 Administrator 帳戶，并且創(chuàng)建的第一個用戶帳戶放置在本地 Administrators 組中，并為該帳戶啟用 AAM。
• 默認情況下，Windows Server2008 中啟用了內(nèi)置 Administrator 帳戶。對此帳戶禁用 AAM。

此功能提供了哪些新用途？

UAC 包含多個功能和安全性改進。

管理員批準模式

管理員批準模式 (AAM) 是一種 UAC 配置，使用這種配置為管理員創(chuàng)建拆分用戶存取令牌。當管理員登錄到基于 Windows Server2008 的計算機時，將為管理員分配兩個單獨的存取令牌。在沒有 AAM 的情況下，一個管理員帳戶僅接收一個存取令牌，授予該管理員訪問所有 Windows 資源的權限。

為什么此功能非常重要？

AAM 幫助防止惡意程序在管理員不察覺的情況下無提示地進行安裝。它還幫助防止意外的系統(tǒng)范圍更改。最后，它可用于強制執(zhí)行更高級別的相容性，在此情況下，對于每個管理進程，管理員必須主動同意或提供憑據(jù)。

工作方式有何不同？

在 Windows Server2008 中的標準用戶（非管理員）和管理員之間的區(qū)別在于：用戶所具有的對計算機的受保護核心區(qū)域的訪問權限級別不同。管理員可以更改系統(tǒng)狀態(tài)、關閉防火墻、配置安全策略、安裝影響計算機上每個用戶的服務或驅(qū)動程序，以及為整個計算機安裝軟件程序。標準用戶不能執(zhí)行這些任務。

啟用 AAM 后，管理員會接收到一個完全存取令牌和一個被稱為“篩選的存取令牌”的第二個存取令牌。在登錄過程中，將刪除或禁用標識為管理員的授權和訪問控制組件，以創(chuàng)建篩選的存取令牌。然后使用篩選的存取令牌啟動 Explorer.exe，該進程創(chuàng)建并擁有用戶的桌面。由于應用程序一般從啟動它們的進程（在此情況下是 Explorer.exe）繼承其存取令牌，因此它們也通過該篩選的存取令牌運行。

備注
當標準用戶登錄時，僅創(chuàng)建一個用戶存取令牌。標準用戶的完全存取令牌所授予的訪問權限與管理員的篩選的存取令牌所授予的訪問權限相同。

管理員登錄后，除非嘗試執(zhí)行管理任務，否則將不使用該管理員的完全存取令牌。

重要事項
由于可以使用本地組策略編輯器 (secpol.msc) 和組策略管理控制臺 (GPMC) (gpedit.msc) 配置用戶體驗，因此不存在單一的 UAC 用戶體驗。

根據(jù)服務器的使用性質(zhì)，除終端服務器之外，管理員登錄服務器的頻率比管理員需要登錄到客戶端工作站的頻率高得多。因此，默認情況下，禁用 Windows Server2008 中內(nèi)置 Administrator 帳戶的 AAM。默認情況下，對于作為本地 Administrators 組的成員的其他帳戶，將啟用 AAM。

如何解決所有問題？

如果操作系統(tǒng)不能正確標識管理應用程序，它可能無法正常運行，因為它不使用完全存取令牌。

有關如何配置現(xiàn)有應用程序的詳細信息，請參閱本主題稍后介紹的其他資源。

對此更改應做哪些準備工作？

有關計劃的信息，請參閱本主題稍后介紹的部署此功能應做哪些準備工作？。

提升標準用戶權限

當標準用戶嘗試執(zhí)行的任務所需要的權限標準用戶不具備時，將出現(xiàn)提升權限提示。但是，在這種情況下，提示要求輸入管理憑據(jù)。

為什么此功能非常重要？

UAC 允許管理員在標準用戶的會話過程中輸入憑據(jù)以執(zhí)行臨時管理任務，而不必切換用戶、注銷或使用 Run as 命令。

工作方式有何不同？

在沒有 UAC 的情況下，應用程序嘗試運行，但在嘗試要求管理員權限的操作時將失敗。某些應用程序正常情況下能檢測到這種情況，而有些程序則不能。

在某些情況下，出現(xiàn)提升提示請求憑據(jù)可能會使用戶發(fā)生混淆或產(chǎn)生附加技術支持呼叫。因此，您可能不希望用戶看到這些提示，并且只是阻止啟動該應用程序。

如何解決這些問題？

可以使用本地組策略編輯器 (secpol.msc) 和組策略管理控制臺 (GPMC) (gpedit.msc) 配置這種標準用戶默認提示行為。

對此更改應做哪些準備工作？

有關計劃的信息，請參閱本主題稍后介紹的部署此功能應做哪些準備工作？。

防火墻圖標

管理任務和程序以新的“防火墻”圖標標記。

為什么此功能非常重要？

在 Windows Server2008 中統(tǒng)一使用防火墻圖標，以表明啟動特定任務或程序要求管理權限。這有助于查明哪個任務或程序要求提升權限、培訓用戶和管理員，以及減少技術支持呼叫。

UAC 文件和注冊表虛擬化

Windows Server2008 包含適用于下列應用程序的文件和注冊表虛擬化技術：不支持 UAC 的應用程序，以及可能要求管理員的存取令牌才能正常運行的應用程序。

為什么此功能非常重要？

UAC 虛擬化有助于確保即使是不支持 UAC 的應用程序也與 Windows Server2008 兼容。

工作方式有何不同？

當不支持 UAC 的管理應用程序嘗試寫入受保護的目錄（例如 Program Files）時，UAC 會使用“寫時復制”策略為應用程序提供其自身的正在嘗試更改的資源的虛擬化視圖。虛擬化復制在用戶的配置文件下進行維護。因此，為運行不支持 UAC 的應用程序的每個用戶創(chuàng)建一個單獨的虛擬化文件的副本。

虛擬化技術確保不支持 UAC 的應用程序不會自動運行失敗，也不會因發(fā)生不一致且難以解決的錯誤而運行失敗。

備注
虛擬化不適用于要求完全存取令牌的應用程序。

如何解決這些問題？

使用虛擬化功能，大多數(shù)應用程序任務將正常操作。但是，UAC 虛擬化是對應用程序的短期修復，而不是長期解決方案。應用程序開發(fā)人員應盡快修改其應用程序以便支持 UAC，而不是依賴于文件、文件夾和注冊表虛擬化來暫時修復應用程序。

有關如何設計應用程序以支持 UAC 的指南，請參閱其他資源。

備注
不支持對本機 Windows 64 位應用程序進行虛擬化。需要這些應用程序與 UAC 協(xié)同工作，并將數(shù)據(jù)寫入正確的位置。

備注
如果程序包含具有所需執(zhí)行級別屬性的應用程序清單，則將對應用程序禁用虛擬化。

對此更改應做哪些準備工作？

有關計劃的信息，請參閱本主題稍后介紹的部署此功能應做哪些準備工作？。

添加或更改了哪些設置？

以下系統(tǒng)設置控制 Windows Server2008 中 UAC 的行為。可以通過使用本地組策略編輯器 (secpol.msc) 或 GPMC (gpedit.msc) 配置這些設置。

在 “本地策略”的“安全選項”節(jié)點中，在“安全設置”下可以找到以下設置。

我是否需要更改任何現(xiàn)有代碼？

編寫的新的應用程序應該能與 UAC 一起使用，并且應包括嵌入清單。

有關為 Windows Server2008 和 WindowsVista 創(chuàng)建新程序的詳細信息，請參閱其他資源。

部署此功能應做哪些準備工作？

UAC 可以顯著減少暴露于惡意軟件的機會，并允許使用標準用戶憑據(jù)運行舊版本的應用程序。為了使用 UAC 能取得最大的成功，請參閱在其他資源中列出的信息。

Windows Server 2008 的所有版本中是否都提供此功能？

在所有版本的 Windows Server2008 中 UAC 是操作系統(tǒng)中必不可少的一部分。UAC 也是 WindowsVista 操作系統(tǒng)的一部分。

其他資源

有關 UAC 的詳細信息，請參閱下列內(nèi)容：

• 用戶帳戶控制（功能信息頁）(http://go.microsoft.com/fwlink/?LinkID=82373)（可能為英文網(wǎng)頁）
• 用戶帳戶控制概述 (http://go.microsoft.com/fwlink/?LinkId=89652)（可能為英文網(wǎng)頁） 使用新的 Windows Vista 操作系統(tǒng)中的用戶帳戶控制，可以通過限制管理員級別對授權進程的訪問權限，從而減小泄露的風險。
• 了解和配置 Windows Vista 中的用戶帳戶控制 (http://go.microsoft.com/fwlink/?LinkID=79026)（可能為英文網(wǎng)頁） 了解 UAC 的工作方式，包括部署方案以及確保舊版應用程序的兼容性。
• Windows Vista 用戶帳戶控制循序漸進指南 (http://go.microsoft.com/fwlink/?LinkID=53781)（可能為英文網(wǎng)頁） 本循序漸進指南提供了測試實驗室環(huán)境中使用用戶帳戶控制 (UAC) 的必要說明。
• 探索 Windows Vista 虛擬實驗室中新的用戶帳戶控制 (http://go.microsoft.com/fwlink/?LinkId=89653)（可能為英文網(wǎng)頁） 無需在您的個人計算機上安裝 Windows Vista 用戶帳戶控制，即可獲得使用此應用程序的實踐經(jīng)驗。
• 用戶帳戶控制 (UAC) 的 Windows Vista 應用程序開發(fā)要求 (http://go.microsoft.com/fwlink/?LinkId=89654)（可能為英文網(wǎng)頁） 了解如何開發(fā)與 UAC 協(xié)同工作的應用程序。

原文地址

查看更多相關文章