UAC虛擬化

UAC虛擬化

UAC虛擬化,即User Account Control(用戶帳戶控制)虛擬化,通常見於Windows系統下的Vista和7(此處以Vista為對象介紹)。

由來

從安全形度考慮,即使對之前的Windows系統如WindowsXP,我們在日常操作中也應使用標準用戶帳戶登錄,而非管理員帳戶,這是微軟一直所大力提倡的,畢竟使用管理員帳戶下運行程式便會讓程式擁有了與管理員相同的許可權,從而讓系統安全出現很大的漏洞,病毒、惡意軟體包括流氓軟體可以輕而易舉地獲得系統的控制權。

但是,在Windows2000/XP中使用標準用戶帳戶存在很多不便,這也許正是許多人儘管意識到使用管理員帳戶不是個好的選擇但仍堅持使用管理員帳戶的原因。首先,在這些系統中的標準用戶帳戶,許可權被設定得過於嚴格,許多操作諸如設定時區、更改電源設定包括網路設定等功能均受到限制,這樣,使用標準用戶帳戶登錄後可能需要頻繁使用Runas命令,以賦予當前帳戶管理員許可權,進行相應的操作,這樣不但造成工作中的繁瑣,也使得標準用戶登錄的初衷付諸流水;其次,也是最致命的一點,便是應用程式兼容性。由於許多應用程式是使用管理員帳戶編寫和測試的,很多時候其在標準用戶帳戶下無法運行或出現不可預知的故障,比如說當應用程式要嘗試寫入受限區域——如 Program Files 目錄或 HKLM 註冊表項——便會出現許可權不足導致程式無法運行的情況,許多用戶不得不陷入安全與易用性間的兩難。

WindowsVista則在保證系統安全性的前提下解決了這些問題,通過WindowsVista中新納入的UAC(用戶帳戶控制),即使登錄用戶沒有管理員許可權,UAC也可以使用戶方便地進入各類日常操作。

作用

標準用戶更多許可權

WindowsVista賦予了標準用戶帳戶更多許可權,這樣,標準用戶可以在沒有管理員帳戶提供的全部許可權的情況下執行常規任務,包括查看系統時鐘和日曆、更改時區、修改無線網路安全設定、更改電源管理設定以及從 WindowsUpdate 下載並安裝關鍵更新。

在 WindowsVista 中,需要管理員許可權的操作標有一個盾牌圖示,用戶可以一目了然地知道他們可以更改哪些配置,無法更改哪些配置。

安全性

許多用戶可能注意到,在WindowsVista中,找不到之前在WindowsXP中承擔重要角色的Power User 組,這是因為在 WindowsVista 中已經去掉了 Power User 組。

在WindowsXP中,理論上可以將某些用戶設定為 Power User ,防止其未經批准進行系統配置,同時,Power User用戶又因具有高於標準用戶的許可權而可以進入某些高許可權的操作,但在實際套用中,一方面,Power User用戶在進行很多日常操作時會出現許可權不夠的問題,另一方面,以 Power User 憑證運行的惡意軟體則可能獲得更多許可權甚至完整的管理憑證,因此,這個“高不成低不就”的用戶組並沒有帶來微軟預期中的正面意義。

在WindowsVista中,則取消了Power User組,默認設定僅有管理員用戶和標準用戶兩種主要的帳戶類型。

兼容性

在WindowsVista中,通過提供檔案與註冊表的虛擬化功能,可以讓許多在 WindowsXP 下無法以標準用戶身份運行的應用程式,不用經過修改即可在 WindowsVista 中運行。

在 WindowsXP 中,當應用程式試圖往標準用戶沒有訪問許可權的檔案系統和註冊表的保護區域寫入數據時,程式就會崩潰。WindowsVista 則通過巧妙的機制避免了這個問題:將寫入操作(以及隨後的檔案或註冊表讀取)重定向到該用戶配置檔案中的一個特殊位置來改善應用程式兼容性。

例如,如果一個應用程式試圖向 “C:/program files/contoso/settings.ini” 進行寫入操作,但該用戶沒有寫入該目錄的許可權,那么寫入操作將會被重定向到 “C:/Users/用戶名/AppData/Local/VirtualStore/Program Files/contoso/settings.ini”。而如果一個應用程式試圖寫入 “HKLM/Software/Contoso”,該操作將會被自動重定向到 “HKCU/Software/Classes/VirtualStore/MACHINE/Software/Contoso”。

此外,WindowsVista 軟體徽標認證計畫中,一項基本要求便是應用程式無需虛擬化就可以按標準用戶身份運行。

驅動程式

對筆記本用戶而言,其要連線的周邊設備常常發生變化,比如說到一個新地方後可能需要安裝新的印表機,或者連線一台新的數碼設備等,但默認情況下,只有具有管理員許可權的用戶才能將新的驅動程式添加到驅動程式庫中。這也是導致大部分安裝WindowsXP系統的筆記本用戶必須具有管理員許可權。

在WindowsVista中,UAC(User Account Control : 用戶帳戶控制)通過新增的驅動程式庫基礎結構緩解了這個難題。所謂驅動程式庫,是指位於每台客端計算機硬碟上的系統自帶和第三方驅動程式的可信賴快取區,首先,用戶或管理員可以用可信賴的驅動程式預先填充驅動程式庫,以便用戶在需要時可以安裝允許的設備;其次,管理員可以使用組策略來為標準用戶指定安裝各類設備的許可權,比如印表機,甚至指定具體的硬體 ID,如允許使用的快閃記憶體驅動器。這樣,當筆記本需要連線一個新的設備時,便可以不需要管理員許可權安裝驅動程式。通過這樣靈活控制標準用戶可以安裝設備的方式,讓筆記本使用標準用戶不再是個兩難之選。

而藉助新的組策略設定,WindowsVista 可以使管理員能夠為標準用戶靈活指定允許安裝的設備,即使尚未在驅動程式庫中對驅動程式分級也可進行安裝。

使用

要指派設備驅動程式分級許可權,請打開組策略界面,依次定位到“計算機配置” => “管理模板” => “系統” => “驅動程式安裝” =>“管理員為這些設備安裝驅動程式”。

相關詞條

相關搜尋

熱門詞條

聯絡我們