導言

　　如果你還沒有聽說過用戶帳戶控制(UAC)，那么有必要花一些時間看看關于Vista和UAC的資料信息。UAC最初出現在Vista系統中，一直以來都是XP系統后的系統中最受關注、討論最多、爭議最多的技術。 現在我們已經看到了完整版本的Vista系統，而下一代系統Windows 7正在進行測試和評估，很多人對其包含UAC功能表示不滿。本文將對新舊UAC技術進行對比分析，幫助用戶確定是否需要考慮使用Windows 7和UAC。

　　UAC的設計目的

　　UAC功能最初的設計目的是為了解決需要管理特權的應用程序問題，讓最終用戶配置為本地管理員。最開始的時候，UAC被稱為LUA(最小特權用戶訪問)，但是由于發現并不只是解決這個問題時被立即改名了。

　　最終的產品UAC是一個安全相關的技術，目的在于保護操作系統文件以及注冊表，防止惡意軟件、病毒和代碼試圖更新電腦保護區域。該惡意軟件試圖添加、修改刪除操作系統的關鍵部件以在不被發現的情況下控制計算機。

　　UAC運行方式

　　Vista和Windows 7的UAC都是以類似的方式運作，在Windows7中有一些Vista沒有的功能，在下文中我們將討論到。UAC的工作就是在例行功能中去除用戶執行的應用程序、任務、功能或者行動的“特權”。其實UAC適用于這兩種不同的模式：屬于本地管理員組成員的用戶以及不屬于本地管理員組成員的用戶。

　　如果看看vista系統的UAC功能的運作方式，我們就能對比出其與Windows 7的不同。我們需要審視這兩種運作模式，首先，讓我們看看非管理員登錄的情況，在這種情況下，用戶沒有管理權限憑證來登錄，這樣當要求管理權限時所有應用程序、任何或者功能將無法運行。當啟用UAC功能時(默認情況下會彈出確認對話框)，會彈出對話框讓用戶輸入管理權限帳戶用戶名和密碼。當輸入這些信息時，只有UAC功能標記的和要求的應用程序、任務或者功能能夠有管理權限操作。顯示UAC彈出確認對話框。

　　 接下來，我們需要調查Vista系統的UAC在“管理員”已登錄的情況，在這種情況下，當用戶使用管理員權限登陸時，UAC基本上會取消所有管理權限，只到有任務需要管理權限為止。這樣做的話，后臺應用程序、病毒、惡意軟件、蠕蟲等就不能使用登錄憑證修改操作系統文件和注冊表。如果看看屬于域管理員組成員的用戶帳戶登錄后的驗證令牌，我們就能夠清楚地看到“管理特權”已經被取消。清楚地顯示了域管理組SID已經將令牌設置為“拒絕”。

　　 這是管理員登錄最重要的方面，因為幾乎所有被寫入的惡意程序都利用了當前登錄的信息，拒絕令牌使用時就能使惡意程序失效。當然這樣做的不利影響就是所有應用程序(即使是那些眾所周知的程序)在啟動時都會彈出確認對話框以啟動程序。

　　 當你第十次運行一個已知為安全的應用程序，并且第十次看到確認框時，會感到非常厭煩。我們知道，安全向來都是很麻煩的。不過這樣做的好處時，當惡意應用程序試圖靠近受保護的文件或者注冊表項時，就會出現提示框，提示用戶有東西正在后臺運行，而此時用戶并沒有啟動任何程序。

　　這種對于非管理員和管理員的提示框是UAC最安全模式，任何啟動的任務都會要求管理權限。任何比這種提示框模式低級的保護模式都不能保護計算機免受惡意軟件或者病毒的攻擊，因為后臺活動很難被發現并且將改變系統。

　　Windows 7的UAC功能選項

　　 Vista的這種UAC功能模式讓很多管理員和公司(非管理員)對Vista敬而遠之，微軟公司被迫解決UAC中被認為“讓人厭煩的”彈出式窗口問題，而在Windows 7中微軟公司想出了所謂的UAC滑塊模式。

　　該滑塊控制運行計算機管理員控制部署UAC提示和安全的級別，該滑塊可以控制哪種類型的應用程序將出現彈出窗口，哪些程序可以不需要提示窗口。總共有四種不同的滑塊設置。

　　這四種級別定義如下：

　　1. 對每個系統變化進行通知。這也就是Vista的模式，任何系統級別的變化(windows設置、軟件安裝等)都會出現UAC提示窗口。

　　2. 僅當程序試圖改變計算機時發出提示。當用戶更改windows設置(如控制面板和管理員任務時)將不會出現提示信息。

　　3. 僅當程序試圖改變計算機時發出提示，不使用安全桌面。這與第2有些類似，但是UAC提示窗口僅出現在一般桌面，而不會出現在安全桌面。這對于某些視頻驅動程序是有用的，因為這些程序讓桌面轉換很慢，請注意安全桌面對于試圖偽裝響應的軟件而言是一種阻礙。

　　4. 從不提示，這也等于完全關閉UAC功能。

　　 很多人表示，滑塊是個很不錯的選擇，當然第1是最安全的設置。但是即使是第1也已經被攻擊過，微軟系統的安全性確實值得人質疑。

　　Windows 7的UAC可以使用滑塊來選擇提示級別，而vista系統中只有提示模式和非提示模式。最安全的設置通常是最讓人厭煩的，但是非常安全。非提示環境基本上讓Windows 7計算機的安全性回到XP系統水平。

　　總結

　　 因為Vista系統提供UAC功能，因此Vista比XP更加安全。如果你選擇非提示模式或者禁用UAC，那么系統安全性就基本與XP系統差不多。如果你運行Windows 7中除最安全模式以外的模式，那么安全性也將回到XP水平。安全從來都不是輕而易舉可以實現的。如果你決定禁用偉大的UAC安全功能或者將選擇較低級別的滑塊，那么你就錯過了Windows系統為你提供的最佳安全模式。如果安全不是大問題，為什么要升級系統?當新版本ConFlicker發動攻擊時，你會發現確實值得花錢升級至windows 7系統。