最新，我們發(fā)現(xiàn)了一些Windows Vista中的用戶帳號(hào)控制(UAC)的缺陷所在。其中一個(gè)就是:UAC可以很輕易地完全關(guān)閉它!

在先前一篇文章中，David Flynn提到了一個(gè)叫做TweakVista的工具，并還提到了該工具的一個(gè)功能就是可以修改UAC的行為，并完全關(guān)閉它。

這些修改工具通常僅僅是動(dòng)用了系統(tǒng)注冊(cè)表，動(dòng)態(tài)修改字符串和DWORD。并且，這些工具中的大多數(shù)是在本地組和安全系統(tǒng)政策下工作的。所有換句話說，如果了解注冊(cè)表，那么你就可以修改任何你所希望修改的。

我們對(duì)TweakVista所擔(dān)心的是其中的完全關(guān)閉UAC功能。根據(jù)就沒有一個(gè)提示框去詢問操作者是否真的希望去這樣去--它僅僅是簡(jiǎn)單的一帶而過。

所有我質(zhì)問微軟的一個(gè)問題就是:如果UAC是用來幫助用戶免除惡意程序和他們自己的錯(cuò)誤選擇帶來危險(xiǎn)的話，那么如果一個(gè)善意應(yīng)用程序，如TweakVista可以在這里可以徑直跳過它，并在Vista休眠狀態(tài)夏進(jìn)行任何操作，那么這個(gè)功能又有什么作用?至少我們這些用戶不知道發(fā)生了什么事情。

到底什么來阻止一個(gè)惡意軟件--比如一個(gè)下載的“免費(fèi)游戲”--在安裝過程中通過用戶的UAC的認(rèn)證，并進(jìn)入注冊(cè)表，禁用UAC呢?

這是來自微軟的回復(fù):

“如果一個(gè)應(yīng)用程序需要管理員特權(quán)，例如Tweak Vista，用戶訪問控制(UAC)將會(huì)產(chǎn)生一個(gè)提示。如果得到用戶的許可，UAC將提升應(yīng)用程序到一個(gè)更好的完全(管理員級(jí)別)的層面，并將只允許應(yīng)用程序的內(nèi)部?jī)?nèi)容的訪問特權(quán)的出現(xiàn)。在應(yīng)用程序被允許運(yùn)行值錢，UAC提示需要用戶提供一個(gè)授權(quán)許可。UAC只是Vista深入安全特性的一個(gè)防御組件之一。這些是Vista 的所有安全特性--UAC，IE7.防火墻，Defender，MIC，SID和CI---這些將防止用戶在無意中許可了惡意程序的運(yùn)行。微軟建議用戶以標(biāo)準(zhǔn)用戶的權(quán)限使用操作系統(tǒng)，那樣在以管理員權(quán)限運(yùn)行應(yīng)用程序的時(shí)候?qū)?huì)更加安全。”

這真的一點(diǎn)也不令人吃驚。它驗(yàn)證了我們對(duì)UAC的質(zhì)疑--這對(duì)于標(biāo)準(zhǔn)用戶來說非常有用，但總的來說對(duì)于最高級(jí)別用戶、管理員們一點(diǎn)也沒用。如果你不得不授予一個(gè)安裝程序管理員特權(quán)，那樣，該程序可以恣意妄為，UAC根本就無法保護(hù)你的系統(tǒng)了。

標(biāo)準(zhǔn)用戶處于不同的位置，當(dāng)UAC提示他們進(jìn)行操作確認(rèn)的時(shí)候，他們不得輸入一個(gè)管理帳號(hào)和密碼。這樣(假想他們不知道密碼)，用戶才真正受到了保護(hù)。

唯一的缺陷就是獲得全部的管理權(quán)限(尤其在文件系統(tǒng)水平)，UAC不得不被禁用。這意味著標(biāo)準(zhǔn)用戶將得不到保護(hù)。對(duì)于家庭用戶這可能根本不是個(gè)事，但是對(duì)于每臺(tái)機(jī)器上都有管理員和普通用戶的商業(yè)用機(jī)器來說，這可能將意味著需要做更多的工作才能使一切正常。珍惜希望用戶們能使UAC物超所值。

---鴿子譯自APC Magazine