Win Vista深度体验：UAC太容易被关闭

　　最新，我们发现了一些Windows Vista中的用户帐号控制(UAC)的缺陷所在。其中一个就是:UAC可以很轻易地完全关闭它!

　　在先前一篇文章中，David Flynn提到了一个叫做TweakVista的工具，并还提到了该工具的一个功能就是可以修改UAC的行为，并完全关闭它。

　　这些修改工具通常仅仅是动用了系统注册表，动态修改字符串和DWORD。并且，这些工具中的大多数是在本地组和安全系统政策下工作的。所有换句话说，如果了解注册表，那么你就可以修改任何你所希望修改的。

　　我们对TweakVista所担心的是其中的完全关闭UAC功能。根据就没有一个提示框去询问操作者是否真的希望去这样去--它仅仅是简单的一带而过。

　　所有我质问微软的一个问题就是:如果UAC是用来帮助用户免除恶意程序和他们自己的错误选择带来危险的话，那么如果一个善意应用程序，如TweakVista可以在这里可以径直跳过它，并在Vista休眠状态夏进行任何操作，那么这个功能又有什么作用?至少我们这些用户不知道发生了什么事情。

　　到底什么来阻止一个恶意软件--比如一个下载的“免费游戏”--在安装过程中通过用户的UAC的认证，并进入注册表，禁用UAC呢?

　　这是来自微软的回复:

　　“如果一个应用程序需要管理员特权，例如Tweak Vista，用户访问控制(UAC)将会产生一个提示。如果得到用户的许可，UAC将提升应用程序到一个更好的完全(管理员级别)的层面，并将只允许应用程序的内部内容的访问特权的出现。在应用程序被允许运行值钱，UAC提示需要用户提供一个授权许可。UAC只是Vista深入安全特性的一个防御组件之一。这些是Vista 的所有安全特性--UAC，IE7.防火墙，Defender，MIC，SID和CI---这些将防止用户在无意中许可了恶意程序的运行。微软建议用户以标准用户的权限使用操作系统，那样在以管理员权限运行应用程序的时候将会更加安全。”

　　这真的一点也不令人吃惊。它验证了我们对UAC的质疑--这对于标准用户来说非常有用，但总的来说对于最高级别用户、管理员们一点也没用。如果你不得不授予一个安装程序管理员特权，那样，该程序可以恣意妄为，UAC根本就无法保护你的系统了。

　　标准用户处于不同的位置，当UAC提示他们进行操作确认的时候，他们不得输入一个管理帐号和密码。这样(假想他们不知道密码)，用户才真正受到了保护。

　　唯一的缺陷就是获得全部的管理权限(尤其在文件系统水平)，UAC不得不被禁用。这意味着标准用户将得不到保护。对于家庭用户这可能根本不是个事，但是对于每台机器上都有管理员和普通用户的商业用机器来说，这可能将意味着需要做更多的工作才能使一切正常。珍惜希望用户们能使UAC物超所值。

　　---鸽子译自APC Magazine