如何利用UAC來提高Windows 7的安全

 　　問：如何利用UAC來提高Windows 7的安全性?

　　答：在Windows7作業系統中，提出了一個新的電腦安全管理機制，即UAC(使用者帳戶控制)。這個功能到底有什麼用呢?簡單的說，就是其他使用者對作業系統做了更改，而這些更改需要有管理員權限的，此時作業系統就會自動通知管理員，讓其判斷是否允許採用這個更改。雖然在以前的版本中，也有這方面的限制。但是在Windows7中有了很大的改善。其不但對細分了控制的層級，而且還會自動通知管理員。

　　一、管理員根據需要可以選擇不同的控制層級

　　在Windows7 中，將這個控制層級分為四個層級。最高的層級是“始終通知我”，即使用者安裝應用軟體或者對應用軟體進行升級、應用軟體在使用者知情或者不知情的情況下對作業系統變更、修改Windows設定等等，都會向系統管理員彙報。

　　第二個層級為“僅在應用程式試圖嘗試改變電腦時”通知系統管理員。這個層級是作業系統的預設控制層級。他與第一個層級的主要差異就在於改變 Windows設定時不會通知系統管理員。在這個層級下，即使作業系統上有惡意程式在運行，也不會給作業系統造成多大的負面影響。因為其惡意程式不能夠在系統管理員不知情的情況下修改系統的配置，如更改註冊表、更改IE瀏覽器的預設頁面、更改服務啟動列表等等。為此對於大部分使用者來說，特別是企業使用者來說，這個安全層級已經夠用。層級太高的話，就太過於死板了。可能系統管理員要不斷的為此奔忙了。

　　第三個層級與第四個層級其安全性逐漸降低，最後到所有都不通知為止。其實這個控制層級跟原先IE瀏覽器的控制層級類似，都是微軟自訂的控制層級。作為系統管理員需要瞭解各個層級控制的具體內容，然後根據企業的實際情況，來設定安全層級。通常來說，安全層級越高，作業系統越安全。但是系統管理員可能需要抽出更多的時間來應對使用者的抱怨。因為可能使用者對作業系統任何的更改都需要告知系統管理員。魚與熊掌不可兼得，系統管理員需要在安全與便利性上取得一個均衡。

　　二、使用者權利不夠如何通知系統管理員

　　不知道各位讀者有沒有用過微軟或者其他公司的工作流程產品?其實微軟在這個問題的處理上就是借鑒了工作流程得處理方法。當使用者試圖更改某個設定或者安全某個應用程式，當其許可權不夠時，系統就會向管理者發送一個請求。當系統管理員下次登陸系統時就會看到一個對話方塊。在對話方塊中顯示了使用者需要更改的設定或者要安裝的應用程式。系統管理員要仔細查看這些資訊，以判斷是否會破壞系統的穩定性。然後可以通過這個對話方塊告訴作業系統，允許或者拒絕使用者的更改操作。最後，系統會把系統管理員的這個決定反饋給使用者。使用者就可以繼續後續的操作了。如果系統管理員同意的話，就可以安裝應用程式或者更改操走系統的配置。顯然，這個流程的話大家非常的熟悉。不錯，這就是一個工作流程處理流程。在Windows7作業系統中，很多地方都可以看到這個工作流程的身影。這也是Windows7 作業系統人性化的體現。

　　三、關掉UAC控制

　　如果使用者不喜歡這個先進的東西，而是喜歡Window的控制方案，這也是可以的。系統管理員只需要將這個層級調到第四個層級，即關掉UAC控制。此時，跟以前的作業系統版本一樣，任何的改變不會告知系統管理員。如當使用者以管理員的身份登陸到作業系統中，則應用程式對作業系統所作的任何更改都將不會提醒管理員，而是直接應用了相關的更改。

　　可見，此時如果是一些惡意的程式在變更，則會在神不知鬼不覺的情況下，更改了系統的某些設定，如網頁、註冊表等等。如果使用者是以普通標準使用者登入作業系統的，如果其所作的操作，包括安裝或者升級應用程式、更改作業系統配置等等，只要其沒有相關的許可權，則作業系統就會直接拒絕掉。也就是，不會採用工作流程的形式去通知管理員。如果使用者確實有這個需要的話，只有口頭去通知，並讓系統管理員調整相關的許可權。當系統管理員將這個UAC控制從進階別調到這第四個層級，必須重新啟動後這個控制層級才會生效。

　　當系統管理員關閉這個UAC的話，就必須要小心各種應用程式可能對作業系統所造成的破壞，因為應用程式只要以系統管理員帳戶運行，則其就可以訪問或者修改那些受保護的地區、使用者的私人資料等等。也就是說，其應用程式的許可權就跟系統管理員的許可權相同。另外一些惡意程式也可以在系統管理員不知情的情況下跟網路中的其他電腦、甚至互連網上的主機進行通訊與資料轉送，以達到破壞的作用。

　　其實這個UAC控制層級，在某方面看起來跟作業系統的個人防火牆比較類似。當任何應用程式有修改作業系統配置的行為(更改IE首頁、修改註冊表、把某個服務設定為自動啟動)，都會向使用者提示。當應用程式要向互連網發送資訊時，也會告知使用者。為此如果系統管理員用不慣這個功能，需要關閉它的話，最好能夠採用其他的安全措施來替代。如可以利用這個個人防火牆來代替UAC控制層級。雖然其不能夠實現UAC的所有功能，但是一些核心的保護功能個人防火牆已經可以勝任。確實，如果企業現在已經部署了個人防火牆，那麼在推廣Windows7作業系統的時候，如果再採用這個UAC控制的話，就重複了。反而可能會造成使用者的反感。總之，系統管理員要根據自己與使用者的作業系統，在這兩個方案中選擇一個即可。多了反而是累贅。

　　四、通過域安全性原則來統一這個管理層級

　　企業中的用戶端數量往往不在少數。一個系統管理員管理的用戶端沒有幾百台的話，也有幾十台。如果一一的去調整這個UAC的控制層級，顯然是一項重複、無挑戰性的工作。根據筆者的測試，其實這個UAC控制層級可以跟組策略或者域安全性原則結合使用。即可以在網域控制站層級上或者組層級上設定這個層級。然後當用戶端加入到這個域或者這個組的話，就會繼承這個管理層級。也就是說，不需要在各個用戶端上再進行一一配置。說實話，微軟在這方面一直都做的不錯。雖然微軟的域環境搭建與管理起來是複雜一點，但是其功能還是比較強大的。如果要讓Windows作業系統的一些進階功能應用的更加順手，則這個域環境往往是少不了的。至少這個域環境能夠提供一個統一管理各個用戶端的平台。