如何利用UAC來提高Windows 7的安全性��?
答:在Windows7操作系統(tǒng)中����,提出了一個(gè)新的計(jì)算機(jī)安全管理機(jī)制,即UAC(用戶帳戶控制)����。這個(gè)功能到底有什么用呢?簡(jiǎn)單的說,就是其他用戶對(duì)操作系統(tǒng)做了更改�����,而這些更改需要有管理員權(quán)限的�,此時(shí)操作系統(tǒng)就會(huì)自動(dòng)通知管理員,讓其判斷是否允許采用這個(gè)更改�����。雖然在以前的版本中���,也有這方面的限制�����。但是在Windows7中有了很大的改善��。其不但對(duì)細(xì)分了控制的級(jí)別����,而且還會(huì)自動(dòng)通知管理員���。
一����、管理員根據(jù)需要可以選擇不同的控制級(jí)別
在Windows7 中���,將這個(gè)控制級(jí)別分為四個(gè)級(jí)別�。最高的級(jí)別是“始終通知我”,即用戶安裝應(yīng)用軟件或者對(duì)應(yīng)用軟件進(jìn)行升級(jí)��、應(yīng)用軟件在用戶知情或者不知情的情況下對(duì)操作系統(tǒng)進(jìn)行更改��、修改Windows設(shè)置等等�,都會(huì)向系統(tǒng)管理員匯報(bào)。
第二個(gè)級(jí)別為“僅在應(yīng)用程序試圖嘗試改變計(jì)算機(jī)時(shí)”通知系統(tǒng)管理員���。這個(gè)級(jí)別是操作系統(tǒng)的默認(rèn)控制級(jí)別�。他與第一個(gè)級(jí)別的主要差異就在于改變Windows設(shè)置時(shí)不會(huì)通知系統(tǒng)管理員�����。在這個(gè)級(jí)別下��,即使操作系統(tǒng)上有惡意程序在運(yùn)行���,也不會(huì)給操作系統(tǒng)造成多大的負(fù)面影響�。因?yàn)槠鋹阂獬绦虿荒軌蛟谙到y(tǒng)管理員不知情的情況下修改系統(tǒng)的配置�����,如更改注冊(cè)表、更改IE瀏覽器的默認(rèn)頁(yè)面�、更改服務(wù)啟動(dòng)列表等等。為此對(duì)于大部分用戶來說��,特別是企業(yè)用戶來說�,這個(gè)安全級(jí)別已經(jīng)夠用�����。級(jí)別太高的話����,就太過于死板了?����?赡芟到y(tǒng)管理員要不斷的為此奔忙了����。
第三個(gè)級(jí)別與第四個(gè)級(jí)別其安全性逐漸降低,最后到所有都不通知為止�����。其實(shí)這個(gè)控制級(jí)別跟原先IE瀏覽器的控制級(jí)別類似,都是微軟自定義的控制級(jí)別�。作為系統(tǒng)管理員需要了解各個(gè)級(jí)別控制的具體內(nèi)容,然后根據(jù)企業(yè)的實(shí)際情況��,來設(shè)置安全級(jí)別�����。通常來說�����,安全級(jí)別越高��,操作系統(tǒng)越安全�����。但是系統(tǒng)管理員可能需要抽出更多的時(shí)間來應(yīng)對(duì)用戶的抱怨���。因?yàn)榭赡苡脩魧?duì)操作系統(tǒng)任何的更改都需要告知系統(tǒng)管理員��。魚與熊掌不可兼得���,系統(tǒng)管理員需要在安全與便利性上取得一個(gè)均衡��。
二�、用戶權(quán)利不夠如何通知系統(tǒng)管理員
不知道各位讀者有沒有用過微軟或者其他公司的工作流產(chǎn)品?其實(shí)微軟在這個(gè)問題的處理上就是借鑒了工作流得處理方法�����。當(dāng)用戶試圖更改某個(gè)設(shè)置或者安全某個(gè)應(yīng)用程序�,當(dāng)其權(quán)限不夠時(shí)�,系統(tǒng)就會(huì)向管理者發(fā)送一個(gè)請(qǐng)求。當(dāng)系統(tǒng)管理員下次登陸系統(tǒng)時(shí)就會(huì)看到一個(gè)對(duì)話框��。在對(duì)話框中顯示了用戶需要更改的設(shè)置或者要安裝的應(yīng)用程序�����。系統(tǒng)管理員要仔細(xì)查看這些信息�����,以判斷是否會(huì)破壞系統(tǒng)的穩(wěn)定性�。然后可以通過這個(gè)對(duì)話框告訴操作系統(tǒng),允許或者拒絕用戶的更改操作���。最后�,系統(tǒng)會(huì)把系統(tǒng)管理員的這個(gè)決定反饋給用戶。用戶就可以繼續(xù)后續(xù)的操作了����。如果系統(tǒng)管理員同意的話,就可以安裝應(yīng)用程序或者更改操走系統(tǒng)的配置�����。顯然��,這個(gè)流程的話大家非常的熟悉�。不錯(cuò)�����,這就是一個(gè)工作流處理流程���。在Windows7操作系統(tǒng)中���,很多地方都可以看到這個(gè)工作流的身影��。這也是Windows7 操作系統(tǒng)人性化的體現(xiàn)�����。
三、關(guān)掉UAC控制
如果用戶不喜歡這個(gè)先進(jìn)的東西�,而是喜歡Window的控制方案,這也是可以的�。系統(tǒng)管理員只需要將這個(gè)級(jí)別調(diào)到第四個(gè)級(jí)別����,即關(guān)掉UAC控制�。此時(shí)���,跟以前的操作系統(tǒng)版本一樣����,任何的改變不會(huì)告知系統(tǒng)管理員�����。如當(dāng)用戶以管理員的身份登陸到操作系統(tǒng)中����,則應(yīng)用程序?qū)Σ僮飨到y(tǒng)所作的任何更改都將不會(huì)提醒管理員,而是直接應(yīng)用了相關(guān)的更改�。
可見�,此時(shí)如果是一些惡意的程序在進(jìn)行更改����,則會(huì)在神不知鬼不覺的情況下,更改了系統(tǒng)的某些設(shè)置�,如網(wǎng)頁(yè)、注冊(cè)表等等�。如果用戶是以普通標(biāo)準(zhǔn)用戶登錄操作系統(tǒng)的,如果其所作的操作����,包括安裝或者升級(jí)應(yīng)用程序�����、更改操作系統(tǒng)配置等等����,只要其沒有相關(guān)的權(quán)限,則操作系統(tǒng)就會(huì)直接拒絕掉���。也就是,不會(huì)采用工作流的形式去通知管理員��。如果用戶確實(shí)有這個(gè)需要的話�,只有口頭去通知��,并讓系統(tǒng)管理員調(diào)整相關(guān)的權(quán)限�。當(dāng)系統(tǒng)管理員將這個(gè)UAC控制從高級(jí)別調(diào)到這第四個(gè)級(jí)別,必須重新啟動(dòng)后這個(gè)控制級(jí)別才會(huì)生效�。
當(dāng)系統(tǒng)管理員關(guān)閉這個(gè)UAC的話,就必須要小心各種應(yīng)用程序可能對(duì)操作系統(tǒng)所造成的破壞���,因?yàn)閼?yīng)用程序只要以管理員帳戶運(yùn)行�,則其就可以訪問或者修改那些受保護(hù)的區(qū)域���、用戶的私人數(shù)據(jù)等等���。也就是說,其應(yīng)用程序的權(quán)限就跟系統(tǒng)管理員的權(quán)限相同��。另外一些惡意程序也可以在系統(tǒng)管理員不知情的情況下跟網(wǎng)絡(luò)中的其他電腦�、甚至互聯(lián)網(wǎng)上的主機(jī)進(jìn)行通信與數(shù)據(jù)傳輸�,以達(dá)到破壞的作用。
其實(shí)這個(gè)UAC控制級(jí)別���,在某方面看起來跟操作系統(tǒng)的個(gè)人防火墻比較類似��。當(dāng)任何應(yīng)用程序有修改操作系統(tǒng)配置的行為(更改IE主頁(yè)���、修改注冊(cè)表、把某個(gè)服務(wù)設(shè)置為自動(dòng)啟動(dòng))����,都會(huì)向用戶提示�����。當(dāng)應(yīng)用程序要向互聯(lián)網(wǎng)發(fā)送信息時(shí)����,也會(huì)告知用戶。為此如果系統(tǒng)管理員用不慣這個(gè)功能����,需要關(guān)閉它的話,最好能夠采用其他的安全措施來替代����。如可以利用這個(gè)個(gè)人防火墻來代替UAC控制級(jí)別。雖然其不能夠?qū)崿F(xiàn)UAC的所有功能�����,但是一些核心的保護(hù)功能個(gè)人防火墻已經(jīng)可以勝任�。確實(shí)�����,如果企業(yè)現(xiàn)在已經(jīng)部署了個(gè)人防火墻����,那么在推廣Windows7操作系統(tǒng)的時(shí)候���,如果再采用這個(gè)UAC控制的話,就重復(fù)了����。反而可能會(huì)造成用戶的反感����?��?傊?,系統(tǒng)管理員要根據(jù)自己與用戶的操作系統(tǒng)���,在這兩個(gè)方案中選擇一個(gè)即可。多了反而是累贅�����。
四����、通過域安全策略來統(tǒng)一這個(gè)管理級(jí)別
企業(yè)中的客戶端數(shù)量往往不在少數(shù)����。一個(gè)系統(tǒng)管理員管理的客戶端沒有幾百臺(tái)的話,也有幾十臺(tái)�����。如果一一的去調(diào)整這個(gè)UAC的控制級(jí)別���,顯然是一項(xiàng)重復(fù)、無挑戰(zhàn)性的工作�。根據(jù)筆者的測(cè)試����,其實(shí)這個(gè)UAC控制級(jí)別可以跟組策略或者域安全策略結(jié)合使用。即可以在域控制器級(jí)別上或者組級(jí)別上設(shè)置這個(gè)級(jí)別����。然后當(dāng)客戶端加入到這個(gè)域或者這個(gè)組的話���,就會(huì)繼承這個(gè)管理級(jí)別����。也就是說���,不需要在各個(gè)客戶端上再進(jìn)行一一配置����。說實(shí)話,微軟在這方面一直都做的不錯(cuò)���。雖然微軟的域環(huán)境搭建與管理起來是復(fù)雜一點(diǎn),但是其功能還是比較強(qiáng)大的���。如果要讓W(xué)indows操作系統(tǒng)的一些高級(jí)功能應(yīng)用的更加順手,則這個(gè)域環(huán)境往往是少不了的���。至少這個(gè)域環(huán)境能夠提供一個(gè)統(tǒng)一管理各個(gè)客戶端的平臺(tái)。
