Windows上有一個備受唾棄的功能—— UAC(用戶賬戶控制)
我們安裝軟件、修改設置……它都會彈出一個窗口,讓我們確定是不是要這樣做。
但是對於一些人來說這個彈窗和脫了褲子放屁沒什麼兩樣,因為大多數彈窗都是在用戶主動操作(安裝軟件,修改設置)的情況下進行的,多一個彈窗只是多了確認的步驟,徒增干擾。
所以很多人在進入新系統後會第一時間關掉這個提醒,以前七號也是這樣,但如果你瞭解UAC的運作機制和帶來的安全性,可能會重新考慮打開它。
01—用戶賬戶與權限
Windows XP 是第一個引入不同賬戶不同權限的Windows操作系統,但默認使用系統管理員賬戶(最高權限)登錄,這也導致一旦賬戶遭到入侵,病毒就可以在系統裡暢通無阻。從Vista開始微軟引入了 UAC(用戶賬戶控制),其目的是「用標準權限完成所有操作」。都知道現在Windows中有不同的賬戶對應不同的管理權限:
開啟UAC後,程序默認以Users的權限級別運行(哪怕登錄管理員賬戶),在程序試圖修改系統設置,文件,註冊表等等時,就會彈出提示框請求管理員級別的權限,類似MAC中的需要輸入密碼操作。
在Vista時代,UAC只有兩個選項,開啟或關閉,到了Windows 7後UAC擁有了自己的設置界面和4個通知檔位,並一直延續至今。
02—不止一個彈窗
在資源管理器中,不同權限級別的進程是隔離的。
如果一個程序在運行過程中申請高級別權限,哪怕用戶同意,它也不能直接獲得權限,這麼做是為了避免惡意程序誘導用戶,甚至繞過UAC獲取權限。
無論程序怎麼做,因為不同權限隔離,想到管理員權限組的進程必須自殺重啟,新的進程才能以管理員權限運行,而所有新開的進程,資源管理器都會驗證它的權限級別,如果是管理員級別權限則會需要用戶同意。
03—UAC虛擬化
UAC剛問世的時候因為頻繁彈窗的問題,被許多用戶埋怨,微軟為了推進UAC的使用率,引入了UAC虛擬化。
有很多程序運行時候只需要寫入HKLM或Windows目錄,而不加載驅動,Windows檢測到這種程序後,便會啟用UAC虛擬化。
程序對註冊表HKLM裡的修改將虛擬化到HKCR中的一個項,需要寫到Windows目錄的內容虛擬化到Appdata目錄中。
這樣做既減少了UAC彈窗的次數,也提升了系統的安全性(避免其他程序通過DLL注入等方法獲得管理員權限甚至System權限)。
04—標準賬戶足以
剛才說過第一次登錄Windows時創建的是一個管理員賬戶,實際上對於小白或數據安全要求高的用戶,標準賬戶足以。
不管在那種賬戶下登錄,程序都以Users標準權限運行。
在管理員賬戶下運行的程序需要提升權限時,會直接申請,用戶作為管理員直接給權限。
在標準賬戶下運行的程序需要提升權限時,因為標準賬戶中不具備管理員權限,所以必須輸入管理員賬戶密碼才能繼續。
這就避免了程序繞過UAC獲得管理員權限,特別是國產全家桶靜默安裝。因為標準賬戶中根本沒有管理員權限。
05—4個檔位的區別
前面提到Windows 7開始的UAC通知有四個檔位,第三檔是Windows默認的,但是七號推薦大家使用第四檔“始終提醒”。
前面也說過一些程序會繞過UAC來達到提權的目的,其實這是Windows允許的靜默提權行為,目的還是為了較少彈窗,避免用戶反感。但也相當於留了一個後門,讓惡意程序有了可趁之機。
而“始終通知”可以避免掉靜默提權行為,所有涉及管理員權限的行為都將彈窗。
中間兩檔在通知數量上沒有差別,他們取消了以下行為的彈窗:
在控制面板裡的管理操作時不彈窗;
在 Windows 資源管理器內部操作時不彈窗(啟動子進程依然需要);
打開任務管理器時不彈窗;
更改防火牆設置時不彈窗;
打開 UAC 設置界面時不彈窗。
中間兩檔的區別是:第三檔彈窗界面背景為黑色,此時所有進程暫停,等待用戶操作後才能繼續運行,避免惡意程序控制鼠標自行獲取管理員權限(常在用戶未使用計算機的情況下)。
此界面截圖程序也被暫停,只能拍照。
而第二檔只是彈窗,背景就是原來的操作界面,只有申請權限的程序被暫停,其他程序照舊運行(存在幫兇風險)。
雖說是“始終通知”,但實際使用下來通知數量並沒有很多,還遠不到令人厭煩的地步。
06—UAC發展至今
現在看來UAC這個當初受人詬病的功能能夠存活到現在,確實要感謝微軟主動選擇並堅持了這條對抗用戶習慣的道路,有效避免了很多安全問題。
固然有些操作確實需要提供給程序管理員權限,比如修改開機啟動項,但是這些操作本不該頻繁出現,只有在偶爾調用時才會彈窗。
以後再遇到有程序頻繁請求權限,或許我們不該急著罵微軟多管閒事,而是懷疑為什麼這個程序需要如此頻繁的獲取管理員權限?它想幹什麼?
更有甚者在用戶沒有使用計算機的時候彈出請求權限,這樣的軟件還是換掉的好。
難道你寧可看各種流氓衛士的彈窗, 也不願意看Windows的UAC安全提示嗎?
閱讀更多 一起閱讀吧2020 的文章
