Windows 7 安全之根本：UAC 詳解

Win7之家（ airtaxifl.com）：Windows 7 安全之根本：UAC 詳解

UAC是什么？

在本文之前，建議先閱讀一篇老文章《軟媒原創(chuàng)：如何從根上保證電腦安全、不中毒》。

UAC（User Account Control），中文翻譯為用戶帳戶控制，是微軟在Windows Vista和Windows7中引用的新技術(shù)，主要功能是進行一些會影響系統(tǒng)安全的操作時，會自動觸發(fā)UAC，用戶確認后才能執(zhí)行。因為大部分的惡意軟件、木馬病毒、廣告插件在進入計算機時都會有如：將文件復(fù)制到Windows或Program Files等目錄、安裝驅(qū)動、安裝ActiveX等操作，而這些操作都會觸發(fā)UAC，用戶都可以在UAC提示時來禁止這些程序的運行。

能夠觸發(fā)UAC的操作包括：

• 修改Windows Update配置；
• 增加或刪除用戶帳戶；
• 改變用戶的帳戶類型；
• 改變UAC設(shè)置；
• 安裝ActiveX；
• 安裝或卸載程序；
• 安裝設(shè)備驅(qū)動程序；
• 修改和設(shè)置家長控制；
• 增加或修改注冊表；
• 將文件移動或復(fù)制到Program Files或是Windows目錄；
• 訪問其他用戶目錄

UAC很煩
是的，微軟自從Windows Vista開始加入了UAC，這也成了人們對VISTA不滿的詬病之一，因為Vista不像Win7一樣可以對 UAC進行級別設(shè)置（其實Windows7的UAC也很煩），當時的電腦的普遍配置也很低，所以人們對這個動不動就彈出來，同時還會鎖定屏幕的家伙很厭惡。

UAC在Windows 7中的完善

就是因為UAC太煩了，所以微軟在Windows 7中，加入了UAC的等級設(shè)置功能，分別對應(yīng)4個級別：

最高級別：
在高級級別下，“始終通知”(即完全開啟)，在該級別下，用戶安裝應(yīng)用程序、對軟件進行升級、應(yīng)用程序在任何情況下對操作系統(tǒng)進行更改、更改 Windows設(shè)置等情況，都會彈出提示窗口(并啟用安全桌面)，請求用戶確認。由此可見該級別是最安全的級別，但同時也是最“麻煩”的級別，適用于多人 共用一臺電腦的情況下，限制其他標準用戶，禁止其隨意更改系統(tǒng)設(shè)置。

默認級別：
在默認級別下，只有在應(yīng)用程序試圖改變計算機設(shè)置時才會提示用戶，而用戶主動對Windows進行更改設(shè)置則不會提示。同時，在該模式下將啟用安全 桌面，以防繞過UAC更改系統(tǒng)設(shè)置�？梢钥闯�，默認級別可以既不干擾用戶的正常操作，又可以有效防范惡意程序在用戶不知情的情況下修改系統(tǒng)設(shè)置。一般的用 戶都可以采用該級別設(shè)置。

比默認級別稍低的級別：
與默認級別稍有不同的是該級別將不啟用安全桌面，也就是說有可能產(chǎn)生繞過UAC更改系統(tǒng)設(shè)置的情況。不過一般情況下，如果使用戶啟動某些程序而需要 對系統(tǒng)進行修改，可以直接運行，不會產(chǎn)生安全問題。但如果用戶沒有運行任何程序卻彈出提示窗口，則有可能是惡意程序在試圖修改系統(tǒng)設(shè)置，此時應(yīng)果斷選擇阻 止。該級別適用于有一定系統(tǒng)經(jīng)驗的用戶。

最低的級別：
最低的級別則是關(guān)閉UAC功能(必須重新啟動后才能生效)。在該級別下，如果是以管理員登錄，則所有操作都將直接運行而不會有任何通知，包括病毒或 木馬對系統(tǒng)進行的修改。在此級別下，病毒或木馬可以任意連接訪問網(wǎng)絡(luò)中的其他電腦、甚至與互聯(lián)網(wǎng)上的電腦進行通信或數(shù)據(jù)傳輸。可見如果完全關(guān)閉UAC并以 管理員身份登錄，將嚴重降低系統(tǒng)安全性。此外，如果是以標準用戶登錄，那么安裝、升級軟件或?qū)ο到y(tǒng)進行修改和設(shè)置，將直接被拒絕而不彈出任何提示，用戶只 有獲得管理員權(quán)限才能進行。可見完全關(guān)閉UAC并以標準用戶登錄，各種操作和設(shè)置也非常不方便，因此建議不要選擇該級別。

但是UAC很有用
UAC雖然經(jīng)常安裝軟件的人很煩，但UAC的作用卻不容小覷。不得不承認微軟對于操作系統(tǒng)的理念是很超前的，所以經(jīng)常會搞出一些雖然很棒卻很尷尬的 東西，就好像當年的VISTA，在人們開始接受Windows 7的今天，再回頭去看Vista，才越來越意識到VISTA其實是一個很不錯的操作系統(tǒng)，只 不過是生不逢時。

更完善的安全機制
在木馬病毒變種越來越多，越來越快的今天，殺毒軟件對系統(tǒng)安全的作用越來 越有限，我們越來越需要一些全方位的系統(tǒng)防護軟件，如目前很多殺毒軟件已經(jīng)加入的防火墻、防間諜、保護敏感數(shù)據(jù)、文件粉碎機等等。

微軟在Windows 7更好的完善了安全機制，提供了Windows Update、內(nèi)置防火 墻、Windows Defender、UAC、MSE、Bitlocker等安全功能組件。其中：

• Windows Update可以更新系統(tǒng)補丁，及時修復(fù)系統(tǒng)漏洞；
• 防火墻可以阻止一些網(wǎng)絡(luò)攻擊和信息泄露；
• Windows Defender可以清除一些已被定義的惡意軟件；
• UAC可以協(xié)助用戶阻止一些未定義的惡意軟件、木馬的運行；
• MSE是微軟官方提供的免費殺毒軟件，可以清除病毒；
• Bitlocker是微軟給企業(yè)用戶及Windows Ultimate（旗艦版）用戶提供的專業(yè)級加密系統(tǒng)，可以對敏感數(shù)據(jù)進行加密，防止資料和數(shù)據(jù)外泄。

這些安全組件相結(jié)合，才能打造一個更好的系統(tǒng)安全環(huán)境，其實合理利用Windows7自帶的如系統(tǒng)還原和 備份、策略組、PowerShell等功能，都可以對系統(tǒng)安全起到很好的作用。

優(yōu)化的誤區(qū)
從Windows XP起，系統(tǒng)優(yōu)化就是一個很熱門的話題，網(wǎng)上可以搜到很多關(guān)于優(yōu)化的文章。可是系統(tǒng)優(yōu)化，要因人而異，盲目的優(yōu)化只能適得其反。很多優(yōu)化的文章上來就教人怎么關(guān)閉Windows自帶的各種功能，如關(guān)閉UAC，卻很少告訴別人這個功能的用途，美其名曰可以加入系統(tǒng)速度，卻不知道這樣做會造成很多隱患，也失去了體驗Windows新功能的機會，結(jié)果往往是得不償失。

信息安全的木桶原理
一個木桶能裝多少水，不是由那些長板決定的，而是由那塊最短的板決定的，這就是著名的“木桶原理”。同樣適用于信息安全，其中任何一個環(huán)節(jié)的失敗， 就是全盤的失敗。假如當年陳冠希把他的“數(shù)據(jù)”通過文件粉碎刪除，或使用Bitlocker加密一下，我們就不會有 “大飽眼福”的機會了。

安全，最重要的還是你自己
這是引用了我以前的一篇文章的標題，這個世界沒有無緣無故的 愛，也沒有無緣無故的恨，我用這句話來解釋為什么裝了同樣的殺毒軟件，很多人經(jīng)常中病毒，而有些人卻很少中病毒的原因。是因為很少中病毒的人有很好的安全 意識和操作習慣，還有很重要的一點是能夠利用各種除殺毒軟件以外的工具來保障系統(tǒng)安全。

多學習、多了解、多實踐，才是關(guān)鍵，不妨打開你的UAC，去好好體驗一下這項功能吧。