UAC虚拟化
名词解释UAC虚拟化,即User Account Control(用户帐户控制)虚拟化,通常见于Windows系统下的Vista和7(此处以Vista为对象介绍)。
UAC虚拟化的由来从安全角度考虑,即使对之前的Windows系统如WindowsXP,我们在日常操作中也应使用标准用户帐户登录,而非管理员帐户,这是微软一直所大力提倡的,毕竟使用管理员帐户下运行程序便会让程序拥有了与管理员相同的权限,从而让系统安全出现很大的漏洞,病毒、恶意软件包括流氓软件可以轻而易举地获得系统的控制权。
但是,在Windows2000/XP中使用标准用户帐户存在很多不便,这也许正是许多人尽管意识到使用管理员帐户不是个好的选择但仍坚持使用管理员帐户的原因。首先,在这些系统中的标准用户帐户,权限被设置得过于严格,许多操作诸如设置时区、更改电源设置包括网络设置等功能均受到限制,这样,使用标准用户帐户登录后可能需要频繁使用Runas命令,以赋予当前帐户管理员权限,进行相应的操作,这样不但造成工作中的繁琐,也使得标准用户登录的初衷付诸流水;其次,也是最致命的一点,便是应用程序兼容性。由于许多应用程序是使用管理员帐户编写和测试的,很多时候其在标准用户帐户下无法运行或出现不可预知的故障,比如说当应用程序要尝试写入受限区域——如 Program Files 目录或 HKLM 注册表项——便会出现权限不足导致程序无法运行的情况,许多用户不得不陷入安全与易用性间的两难。
WindowsVista则在保证系统安全性的前提下解决了这些问题,通过WindowsVista中新纳入的UAC(用户帐户控制),即使登录用户没有管理员权限,UAC也可以使用户方便地进入各类日常操作。
UAC虚拟化的作用标准用户被赋予更多权限WindowsVista赋予了标准用户帐户更多权限,这样,标准用户可以在没有管理员帐户提供的全部权限的情况下执行常规任务,包括查看系统时钟和日历、更改时区、修改无线网络安全设置、更改电源管理设置以及从 WindowsUpdate 下载并安装关键更新。
在 WindowsVista 中,需要管理员权限的操作标有一个盾牌图标,用户可以一目了然地知道他们可以更改哪些配置,无法更改哪些配置。Vista取消PowerUser组以更好地管理安全性许多用户可能注意到,在WindowsVista中,找不到之前在WindowsXP中承担重要角色的Power User 组,这是因为在 WindowsVista 中已经去掉了 Power User 组。
在WindowsXP中,理论上可以将某些用户设置为 Power User ,防止其未经批准进行系统配置,同时,Power User用户又因具有高于标准用户的权限而可以进入某些高权限的操作,但在实际应用中,一方面,Power User用户在进行很多日常操作时会出现权限不够的问题,另一方面,以 Power User 凭证运行的恶意软件则可能获得更多权限甚至完整的管理凭证,因此,这个“高不成低不就”的用户组并没有带来微软预期中的正面意义。
在WindowsVista中,则取消了Power User组,默认设置仅有管理员用户和标准用户两种主要的帐户类型。UAC通过虚拟化改善程序兼容性在WindowsVista中,通过提供文件与注册表的虚拟化功能,可以让许多在 WindowsXP 下无法以标准用户身份运行的应用程序,不用经过修改即可在 WindowsVista 中运行。
在 WindowsXP 中,当应用程序试图往标准用户没有访问权限的文件系统和注册表的保护区域写入数据时,程序就会崩溃。WindowsVista 则通过巧妙的机制避免了这个问题:将写入操作(以及随后的文件或注册表读取)重定向到该用户配置文件中的一个特殊位置来改善应用程序兼容性。
例如,如果一个应用程序试图向 “C:program filescontososettings.ini” 进行写入操作,但该用户没有写入该目录的权限,那么写入操作将会被重定向到 “C:Users用户名AppDataLocalVirtualStoreProgram Filescontososettings.ini”。而如果一个应用程序试图写入 “HKLMSoftwareContoso”,该操作将会被自动重定向到 “HKCUSoftwareClassesVirtualStoreMACHINESoftwareContoso”。
此外,WindowsVista 软件徽标认证计划中,一项基本要求便是应用程序无需虚拟化就可以按标准用户身份运行。普通用户也可安装硬件设备驱动程序对笔记本用户而言,其要连接的周边设备常常发生变化,比如说到一个新地方后可能需要安装新的打印机,或者连接一台新的数码设备等,但默认情况下,只有具有管理员权限的用户才能将新的驱动程序添加到驱动程序库中。这也是导致大部分安装WindowsXP系统的笔记本用户必须具有管理员权限。
在WindowsVista中,UAC(User Account Control : 用户帐户控制)通过新增的驱动程序库基础结构缓解了这个难题。所谓驱动程序库,是指位于每台客端计算机硬盘上的系统自带和第三方驱动程序的可信赖缓存区,首先,用户或管理员可以用可信赖的驱动程序预先填充驱动程序库,以便用户在需要时可以安装允许的设备;其次,管理员可以使用组策略来为标准用户指定安装各类设备的权限,比如打印机,甚至指定具体的硬件 ID,如允许使用的闪存驱动器。这样,当笔记本需要连接一个新的设备时,便可以不需要管理员权限安装驱动程序。通过这样灵活控制标准用户可以安装设备的方式,让笔记本使用标准用户不再是个两难之选。
而借助新的组策略设置,WindowsVista 可以使管理员能够为标准用户灵活指定允许安装的设备,即使尚未在驱动程序库中对驱动程序分级也可进行安装。
怎样使用UAC虚拟化要指派设备驱动程序分级权限,请打开组策略界面,依次定位到“计算机配置” => “管理模板” => “系统” => “驱动程序安装” =>“管理员为这些设备安装驱动程序”。