1.1 用户帐户控制概述
用户帐户控制 (UAC) 是 Microsoft? Windows Vista? 和 Windows Server? 2008 操作系统的一个新安全组件。UAC 使用户可以用非管理员(在此版本的 Windows 中称为“标准用户”)以及管理员身份执行常见任务,而无需切换用户、注销或使用“以管理员身份运行”命令。标准用户帐户与 Microsoft Windows? XP 中的用户帐户类似。作为本地 Administrators 组成员的用户帐户以标准用户身份运行大多数应用程序。因为 UAC 在进行生产时将用户功能和管理员功能分隔开来,所以它是此版本的 Windows 的一个重要增强功能。
当管理员登录到 Windows Vista 或 Windows Server 2008 计算机时,将为用户分配两个单独的访问令牌。Windows 使用访问令牌(包含用户的组成员身份、授权数据和访问控制数据)控制用户可以访问的资源和任务。在先前版本的 Windows 中,管理员帐户接收的一个访问令牌包含授予用户访问所有 Windows 资源权限的数据。此访问控制模型不包含任何故障保险检查,而故障保险检查可以确保用户真正执行需要他(或她)的管理访问令牌的任务。因此,恶意软件可以将其自身安装在计算机上,而不会通知用户。此过程通常称为“无提示”安装。因为用户是管理员,所以恶意软件可以使用管理员的访问控制数据感染核心操作系统文件。在某些情况下,恶意软件可能会变得几乎不可能被删除,而且可能会造成更多破坏。
此版本的 Windows 中的标准用户和管理员之间的主要区别在于他们对计算机有多少控制权。管理员可以更改系统状态、关闭防火墙、关闭策略、安装影响计算机上每个用户的服务或驱动程序等等。管理员可以为整台计算机安装软件。标准用户无法以这种方式更改系统状态。
1.1.1 为什么您不应该以管理员身份运行计算机
以 Administrators 组成员的身份运行计算机将使系统容易受到特洛伊***及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。不熟悉的 Internet 站点或电子邮件附件可能有特洛伊***代码,这些代码可以下载到系统并被执行。
如果以本地计算机的管理员身份登录,特洛伊***可能使用管理访问权重新格式化您的硬盘,删除文件并创建新的用户帐户。
在本地计算机上,建议将域用户帐户仅添加到 Users 组(而非 Administrators 组),以执行例行任务,包括运行程序和访问 Internet 站点。当需要在本地计算机上执行管理任务时,请通过管理凭据使用“以管理员身份运行”启动程序。
您可以使用“以管理员身份运行”完成管理任务,而不至将计算机置于不必要的风险中。
1.1.2 启用用户帐户控制(UAC)
以管理员的身份登录计算机。
点击“开始”à“设置”à“控制面板”à“用户帐户”。点击打开“用户帐户控制”。
选中“使用用户帐户控制(UAC)帮助保护您的计算机”。
1.1.3 以管理员身份运行
以普通用户的账号登录计算机。点击“服务器管理器”,出现用户控制对话框,会显示这台计算机上具有管理员权限的账号,单击账号,输入密码,点击“确定”,就以管理员的身份打开服务区管理器了。
“开始”à“设置”à“控制面板”à“管理工具”,右击某个管理工具,点击“以管理员身份运行”。