1. 首頁 > 生活百科 > >

Win7操作系統用戶帳戶控制功能詳解收獲很多的( 三 )

電腦知識


Win7操作系統用戶帳戶控制功能詳解收獲很多的

文章插圖

最后 , 為了實現應用程序兼容性 , 提升的應用程序與標準用戶環境共享實質性狀態 , 惡意應用程序可以使用該狀態來影響提升的應用程序的行為 。 就這一點而言 , 最直觀的示例就是用戶的注冊表配置文件 HKEY_CURRENT_USER (HKCU) 。 該配置文件是共享的 , 因為用戶希望他們作為標準用戶注冊的設置和擴展能夠在提升的應用程序中工作 。 惡意軟件可以使用 HKCU 中注冊的外殼擴展來加載到使用任何外殼瀏覽對話框(比如“打開文件”和“保存文件”)的已提升應用程序中 。 其他各種狀態也是共享的 , 特別是基本命名對象命名空間 , 應用程序將在其中創建同步和共享內存對象 。 舉例來說 , 惡意軟件可以利用該共享來劫持提升的應用程序使用的共享內存對象 , 從而對應用程序和系統造成危害 。
至于 Windows 完整性機制 , 由于我前面提到的提升問題 , 因此它作為屏障的有效性是有限的 , 而它還存在由于應用程序兼容性而導致的限制 。 舉例來說 , UIPI 不會阻止標準用戶應用程序在桌面上繪圖 , 這一點可能會被用來欺騙用戶 , 采用為惡意軟件授予管理權限的方式來與提升的應用程序交互 。 同時 , Windows 完整性機制也不能跨網絡應用 。 采用 PA 帳戶運行的標準用戶應用程序將能訪問 PA 帳戶具有管理權限的遠程系統上的系統資源 。 如果解決這些限制 , 將會對應用程序兼容性造成很大影響 。 盡管如此 , 我們一直在探尋提高系統安全性(例如 , 改善保護模式 IE) , 同時解決應用程序兼容性問題并與軟件開發人員密切配合的方法 。
那么 , 當您在啟用了 UAC 的情況下采用 Windows Vista PA 帳戶運行時 , 您將得到什么程度的惡意軟件防護?首先 , 請記住 , 要使任何這種情況發生 , 惡意軟件首先必須進入系統并且開始執行 。 Windows 具有許多深層防御功能 , 其中包括數據執行保護 (DEP)、地址空間加載隨機化 (ASLR)、保護模式 IE、IE 8 SmartScreen 篩選器 , 以及可以幫助防止惡意軟件進入系統并運行的 Windows Defender 。
至于惡意軟件通過某種方式成功進入系統的情況 , 由于惡意軟件作者(比如合法的開發人員)假設用戶使用管理權限運行 , 因此大多數惡意軟件將無法正常工作 。 僅這一點可以被視為一種安全優勢 。 但是 , 已進入系統并且設計為可利用這些機會的惡意軟件將能夠在用戶第一次提升時獲得管理權限 — 但惡意軟件甚至不需要等待“實際”提升 , 因為它可以促成提升 , 而這種提升甚至可以欺騙最注重安全的用戶 。 我已經在我的 UAC 內部信息和 Windows 安全邊界演示文稿中公開演示過惡意軟件如何能夠劫持提升過程(演示位于安全邊界討論的 1 分 03 秒處) 。 但是 , 請記住 , 如果惡意軟件已經開始運行 , 它只需使用標準用戶權限就可達到惡意軟件想要達到的大部分目的 , 其中包括將本身配置為在每次用戶登錄時運行、竊取或刪除所有用戶的數據 , 或者甚至成為僵尸網絡的一部分 。
Windows 7 中的不同之處:
我在前面提過 , Windows 7 中的某些操作現在可由標準用戶執行 , 但正如有關 UAC 的 E7 博客文章所述 , 我們還認識到 , 我們可以在不影響 UAC 的目標的情況下使 Windows 體驗更加流暢 。 許多用戶抱怨說 , 當他們執行常見的系統管理操作時 , Windows Vista 本身會頻繁地請求管理權限 。 使 Windows 能夠針對標準用戶環境正常工作對我們最有利 , 因為這樣將為我們的客戶帶來利益 。 但是 , 提升權限提示并沒有告誡或鼓勵我們這樣做 , 而是會強制用戶在絕大多數用戶都不理解的對話框中再次單擊 。 因此 , Windows 7 開始從默認 Windows 體驗中最大程度地減少這些提示 , 并使以管理員身份運行的用戶能夠控制其提示體驗 。
為此 , 我們進一步重構了系統 , 這樣 , 擁有標準用戶權限的用戶將能執行更多任務 , 并且 , 我們減少了若干多提示方案(例如 , 在 IE 中安裝 ActiveX 控件)中的提示數量 。 Windows 7 還引入了兩種新的 UAC 操作模式 , 可以在新的 UAC 配置對話框(請參閱圖 3)中選擇這些模式 。 通過轉到控制面板 , 單擊“用戶帳戶” , 單擊“用戶帳戶” , 然后單擊“更改用戶帳戶控制設置” , 您可以打開該對話框 。 (您也可以通過單擊提升權限提示上的“顯示這些通知時進行更改”鏈接或通過訪問“操作中心”來進入該對話框 。 )

推薦閱讀