Windows 7 使用者帳號控制UAC存在安全隱患

&HTTP://www.aliyun.com/zixun/aggregation/37954.html">nbsp;   UAC(User Account Control : 使用者帳戶控制)是微軟為提高系統安全而在Windows Vista中引入的新技術，它要求使用者在執行可能會影響電腦運行的操作或執行更改影響其他使用者的設置的操作之前， 提供許可權或管理員‌密碼。

通過在這些操作啟動前對其進行驗證，UAC 可以説明防止惡意軟體和間諜軟體在未經許可的情況下在電腦上進行安裝或對電腦進行更改。

澳大利亞科技博客作者Long Zheng近日撰文稱，微軟的Windows 7作業系統中使用者帳號控制（UAC）仍然存在安全隱患，如果微軟不加以改進，駭客仍可在Windows 7使用者不知情a前提下遠端關閉UAC功能， 並導致使用者機器更容易遭到各類網路攻擊。

自從微軟Vista作業系統上市後，就曾經接到大量使用者的回饋意見中稱使用者對一些設置進行調整後，Vista就會發出警告資訊，並要求使用者加以確認。 有鑑於此，微軟在Windows 7開發過程中，決定減少對使用者改變設置的提醒頻率。 今年2月初，Long Zheng和其他安全專家認為，微軟對Windows 7使用者帳號控制預設設置進行改變後，將使使用者面臨安全風險。

圖1 Windows 7

對於上述說法，微軟今年2月曾表示，Windows 7的RC版發佈後，如果使用者對UAC預設設置進行調整，系統將要求使用者加以確認。

Long Zheng近日表示，雖然Windows 7 RC版已於今年5月初發佈，但該版本的UAC仍存在安全隱患。 他認為，微軟此前曾就Windows 7的UAC功能發佈了說明文檔，該文檔的內容顯示，微軟並沒有對Windows 7中的UAC功能進行大幅調整，因此該作業系統仍存在較大安全風險。

雖然微軟Windows 7 UAC說明文檔已提到了業界人士今年2月指出的安全隱患，但從該文檔的表述看，微軟並不認為網路攻擊者可遠端關閉UAC功能，因此並沒有對UAC相應代碼進行修訂。

Long Zheng在其博文中寫道：「就像我此前曾指出的那樣，如果微軟不對Windows 7 RC版的UAC預設設置進行修訂，網路攻擊者仍可在使用者機器上執行惡意程式碼。 總而言之，就Windows 7 RC版目前UAC的預設設置看，網路攻擊者仍有可能獲得使用者機器管理權。 」

微軟回應

對於Long Zheng上述說法，微軟還沒有作出官方回應。 但微軟一位發言人私下裡對外界表示，Long Zheng其實誤解了微軟UAC功能說明文檔的意思。

微軟這位不願透露身份的發言人日前在一封電子郵件中表示：「我個人看法是，就Windows 7當前UAC預設設置看，惡意軟體很難在使用者機器中自動執行。 」