|
Windows Vista遭受的十大安全误解真相(2) 3、用户帐号控制(UAC)减少管理员被需要的次数?
Vista要求用户获得提升的权限和许可来完成系统任务,诸如安装软件、更新内核驱动等等。Vista还有一些新的要求较少管理性帐号的功能,但是用户帐号控制(UAC)不是其中之一。
用户帐号控制(UAC)明确的要求那些希望完成管理性任务的用户具有提升的本地组中成员资格,例如administrators组或backup operators组。用户帐号控制(UAC)的存在并不会减少对管理性用户的需要,当执行诸如电子邮件或网络浏览等非管理性任务的时候,它提供了针对属于提升权限组的用户的额外的保护。
当一个提升权限的用户(但不是真正的administrator)登录后,用户帐号控制(UAC)设定两个访问安全令牌,也被叫做一个“分离令牌split-token”。直到用户通过用户帐号控制(UAC)提升了访问权限后,标准系统管理员组的成员安全令牌才可用。否则,Vista针对用户的安全令牌采取如下措施:
·Vista移除通常设置给管理员组成员的9个提升的权限
·用户的强制完整等级从高等降级为中级
·指定禁用安全标示符(deny-only security identifier,deny-only SID)
·出现用户帐号控制(UAC)同意提示窗口
·应用文件和注册虚拟化
当用户提升它们的session时,那些额外的限制将被移除。但是,Vista要求一个管理员帐号来完成许多普通的系统任务。通过在不明确被需要的时候移除提升的权限和许可,用户帐号控制可以同时保护系统和用户。这样,管理帐号不用在浏览网页或打开恶意电子邮件的时候担心其被提升的安全权限被使用。
在其他方面,Vista的确降低了必需的管理员的数量。首先,Vista已经移除了完成许多普通系统任务对管理员权限的需要,诸如查看或修改时区,配置无线网络,修改电源管理设置,创建和配置一个虚拟专用网络(VPN)连接和安装关键的Windows更新。
其次,Vista让管理员可以定义非管理员帐号可以安装的驱动、设备和ActiveX控制。因此,举个例子来说,你可以让你的用户安装打印机、网卡、USB设备和VPN软件。
第三,对于基本的网络重新配置任务,你可以增加非管理员用户到网络配置操作组中。在这个组中的用户可以释放IP地址,清空DNS缓存和完成其他普通网络任务。还有很多其他的方式来降低你需要管理员权限的次数。UAC不是其中之一。
4、只有administrators才能使用用户帐号控制(UAC)权限提升?
默认情况下,你不能输入非提升权限的帐号到用户帐号控制(UAC)同意对话框中。这意味着,如果一个用户帐号不属于一个提升权限组,它不能通过用户帐号控制(UAC)来提升权限。但是权限提升并不是管理员才有的功能。任何在administrators、backup operators、network configuration operators和power users组的帐号都被认为是可以提升权限的。你可以把它们作为潜在的用户帐号控制(UAC)凭证来使用进行合适的权限提升。当然,你依然不能使用非管理员用户来完成只有管理员才能完成的任务,但是你可以使用这些在提升权限组里的帐号来完成其他任务。
举个例子来说,你可能需要用户来运行一个要求细微差别许可的程序,但是你并不想给予他们管理权限。你可以创建一个具有合适权限的新用户帐号,并把它放到power用户组里(这个Vista中的组没有默认的权限或许可)。当这个用户需要“提升权限”来运行这个应用程序的时候,他们可以使用在power users组中的那个新帐号。
5、用户帐号控制是一个安全防线?
用户帐号控制(UAC)不是一个安全边界或安全范围。微软从来没有想让用户帐号控制(UAC)成为像防火墙一样具有定义好的安全范围的安全边界。当用户通过一个提升权限的帐号登录到系统时,用户帐号控制(UAC)保护保护用户和系统免遭特定类型的恶意攻击。它实际被用作一个支撑系统,无论什么时候要求临时的管理员访问。对于合法的应用程序来说,这是经常发生的事情。
| 
