目錄
為何需要使用者帳戶控制?
Windows Vista 更新
預設為啟用 UAC
將所有後續的使用者帳戶建立為標準使用者
提高權限提示預設會顯示在安全桌面上
背景應用程式的提高權限提示會最小化在工作列上
提高權限被封鎖在使用者的登入路徑內
在新的安裝上內建的系統管理員帳戶預設為停用
使用者帳戶控制和遠端案例
最新預設存取控制清單 (ACL) 設定
新的 UAC 安全性設定和安全性設定名稱變更
為何需要使用者帳戶控制?
應用程式開發人員已不斷地建立需大量使用者權限與 Windows 權限的 Microsoft Windows® 應用程式,且通常需具有系統管理員帳戶的使用者才能執行。因此只具有最小使用者權限與
Windows 權限便能執行的 Windows 使用者相當少。許多在找尋既容易部署和容易使用且又能兼顧安全性之方法的企業,由於標準使用者應用程式的相容性問題,因此已常以系統管理員帳戶來部署他們的桌上型電腦。
下列清單詳述為什麼以標準使用者帳戶在 Microsoft Windows VistaTM 之前版本電腦上執行會有困難的其它原因:
- 許多 Windows 應用程式需要使用者以系統管理員帳戶登入,但實際上卻不需要系統管理員層級的存取。這些應用程式會在核准執行之前進行多種系統管理員存取檢查,包括:
- 系統管理員存取權杖檢查。
- 在系統受保護的位置內的「所有存取」存取要求。
- 資料寫入受保護的位置,如 %ProgramFiles%、%Windir%,以及 HKEY_LOCAL_MACHINE\Software。
- 許多 Windows 應用程式並非採用最小權限的概念設計而成,且並未將使用者與系統管理員功能性區隔到兩個不同的處理程序內。
- Windows® 2000 和 Windows® XP 預設會建立個別的新使用者帳戶作為系統管理員;因此,標準使用者無法順利操作如
[日期和時間] 和 [電源管理] 控制台之類的主要 Windows 元件。
- Windows 2000 和 Windows XP 系統管理員須建立兩個個別的使用者帳戶,一個負責執行系統管理工作,而另一個標準使用者帳戶則負責執行日常工作。因此使用者須登出他們的標準使用者帳戶和以系統管理員帳戶重新登入,或是使用
[執行身分],才能執行任何系統管理工作。
採用使用者帳戶控制 (UAC),Microsoft 便能提供一項技術以簡化在企業內和在家中部署標準使用者桌上型電腦。
建置 Windows 安全性架構,原先是設計在 Microsoft Windows NT® 3.1 作業系統內,UAC 小組嘗試實作一個兼具彈性和更高安全性的標準使用者模組。在先前版本的
Windows內,在登入程序中會為一個系統管理員建立一個存取權杖。系統管理員的存取權杖包含最多的 Windows 權限和最高的系統管理安全性識別元
(SID)。此存取權杖可確保系統管理員能安裝應用程式、設定作業系統,以及存取電腦上的任何資源。
UAC 小組採用完全不同的方式設計在 Windows Vista 內的存取權杖建立程序。當系統管理員使用者登入 Windows Vista 電腦時,會建立兩個存取權杖:一個已篩選的標準使用者存取權杖和一個完整系統管理員存取權杖。啟動桌面時
(Explorer.exe 處理程序),不再使用系統管理員的完整存取權杖,而改用已篩選的標準使用者存取權杖。從此初始桌面啟動繼承的所有子處理程序有助於限制
Windows Vista 的攻擊層面。根據預設,登入 Windows Vista 的所有使用者 (包括系統管理員在內) 均為標準使用者。
.gif)
注意
在前段描述中有項例外:如果登入電腦的是 Guest 使用者,則會具有比標準使用者更少的使用者權限與 Windows 權限。
當系統管理員使用者想要執行系統管理工作時 (如安裝應用程式),UAC 會提示使用者核准這項動作。當系統管理員使用者核准這項動作時,這項工作會以系統管理員的完整系統管理員存取權杖啟動。這是預設的系統管理員提示行為,且是可以設定在本機
[安全性原則管理員] 嵌入式管理單元 (secpol.msc) 和 [群組原則] (gpedit.msc) 內。
注意
在 Windows Vista 電腦上具有 UAC 啟用的系統管理員帳戶也就是所謂的在「管理核准模式」內的系統管理員帳戶。「管理核准模式」是代表在
Windows Vista 內預設的系統管理員之使用者經驗。
每個系統管理提高權限也都是由處理程序所指定的,可防止其它處理程序在無提示使用者核准的情況下使用存取權杖。因此當影響巨大的惡意軟體期望所登入的使用者能以完整系統管理員存取權杖執行時,系統管理員使用者便能對所安裝的軟體具有更精細的控制。標準使用者也有機會可使用
UAC 基礎結構在工作流程中提高權限以執行系統管理工作。當標準使用者想要執行系統管理工作時,UAC 會提示使用者鍵入有效的系統管理員帳戶認證。這是預設的標準使用者提示行為,且是可設定在本機
[安全性原則管理員] 嵌入式管理單元 (secpol.msc) 和 [群組原則] (gpedit.msc) 內。
Windows Vista 更新
下列更新反應出在 Windows Vista 內功能性的核心變更演進。
預設為啟用 UAC
您可能會在不同的應用程式之間遇到一些相容性問題,因為這些應用程式尚未被更新成具有 Windows Vista UAC 元件。如果有個應用程式需要系統管理員存取權杖(這可從當您想要執行此應用程式時所傳回的「拒絕存取」錯誤訊息中得知),您只須使用在內容功能表
(按右鍵) 上的 [以系統管理員身分執行] 便能以系統管理員帳戶執行程式。
將所有後續的使用者帳戶建立為標準使用者
標準使用者和系統管理員使用者帳戶均可善加運用 UAC 增強安全性。在新的安裝上,預設所建立的第一個使用者帳戶為「管理核准模式」(UAC
已啟用) 內的本機系統管理員帳戶。然後會將所有後續的使用者帳戶建立為標準使用者。
提高權限提示預設會顯示在安全桌面上
在 Windows Vista 內,同意與認證提示預設會顯示在安全桌面上。
背景應用程式的提高權限提示會最小化在工作列上
背景應用程式會在工作列上自動提示使用者提供提高權限,而不會自動切換到安全桌面提供提高權限。提高權限提示會以最小化形式出現在工作列上,並會閃爍通知使用者應用程式要求提高權限。有個背景應用程式範例是發生在當使用者瀏覽網站和開始下載安裝檔案時。然後使用者會在背景下載安裝的同時進行電子郵件檢查。一旦背景下載完成和安裝開始之後,提高權限會被偵測到為背景工作而不是前景工作。這項偵測可防止安裝在使用者正在執行其它工作
(如閱讀電子郵件) 時突然搶走使用者螢幕上的焦點。這項行動可為提高權限提示建立更佳的使用者經驗。本文稍後會介紹有關應用程式開發人員當他們要求提高權限時如何確保他們的應用程式不會被最小化到工作列上的資訊。
提高權限被封鎖在使用者的登入路徑內
在使用者登入時啟動且需要提高權限的應用程式現在會被封鎖在登入路徑內。由於在使用者的登入路徑內不會封鎖應用程式提示提高權限,因此標準使用者與系統管理員均須在每次登入時回應使用者帳戶控制對話方塊。當有個應用程式已被封鎖時,Windows
Vista 會在系統匣內放置一個圖示通知使用者。然後使用者只須在此圖示上按右鍵,便能執行在使用者登入時因提示提高權限而被封鎖的應用程式。使用者只須在系統匣圖示上按兩下並可管理哪些啟動應用程式要被停用或從清單上移除。
在新的安裝上內建的系統管理員帳戶預設為停用
在 Windows Vista 內,內建的系統管理員帳戶預設為停用。如果 Windows Vista 判斷在 Windows
XP 升級過程中內建的系統管理員帳戶是唯一使用中的系統管理員帳戶,則 Windows Vista 會保留帳戶為啟用狀態,並將帳戶放置在「管理核准模式」(UAC
已啟用) 內。此外,內建的系統管理員帳戶預設為無法在安全模式下登入電腦。請參閱下列章節以得知更多資訊。
注意
在安裝過程中所建立的內建系統管理員帳戶會以 Administrator 作為使用者名稱。
- 未加入網域
只要至少有一個已啟用的本機系統管理員帳戶存在,安全模式就不允許停用的內建系統管理員帳戶登入。而須改用任何的本機系統管理員帳戶登入。如果最後的本機系統管理員帳戶無意中被降級、停用或刪除,則安全模式才會允許停用的內建系統管理員帳戶登入進行損壞修復。
- 已加入網域
在已加入網域之電腦上的所有情況下,停用的內建系統管理員帳戶均無法在安全模式下登入。如果無任何本機系統管理員存在,則屬於 Domain
Admins 群組內之成員的使用者帳戶便能登入電腦建立本機系統管理員。
注意
如果網域系統管理員帳戶之前從未登入過,則電腦須以 [安全模式 (含網路功能)] 啟動,因為 Windows Vista 不會快取使用者的認證。
注意
一旦電腦從網域解除加入後,便會回到前述的未加入網域行為。
使用者帳戶控制和遠端案例
當系統管理員遠端登入 Windows Vista 電腦時 (例如經由 [遠端桌面]),登入此電腦的使用者會預設為標準使用者。遠端系統管理已被修改為受限於網路。這項限制有助於當使用者在以系統管理員存取權杖執行的情況下防止惡意軟體執行應用程式「迴路」。
- 本機使用者帳戶
當使用者以Windows Vista 電腦本機安全性帳戶管理員 (SAM) 資料庫內的系統管理員帳戶遠端連線到 Windows
Vista 電腦時,該使用者在遠端電腦上並無提高權限的可能,且無法執行系統管理工作。如果使用者想以 SAM 帳戶進行工作站上的系統管理工作,則該使用者須以互動方式登入他/她所想進行系統管理的電腦。
- 網域使用者帳戶
當使用者以網域使用者帳戶遠端登入 Windows Vista 電腦,且該使用者是屬於 Administrators 群組的成員時,則該網域使用者便能以完整系統管理員存取權杖在遠端電腦上執行,且此時在遠端電腦的工作階段內該使用者的
UAC 會被停用。
最新預設存取控制清單 (ACL) 設定
在某些 Windows 目錄上的 ACL 已被變更為可在資料目錄內和受使用者保護之目錄的外部啟用資料共用和協同作業。當資料目錄範例是位在資料磁碟機之作業系統磁碟分割的外部
(如 D:\Pictures\) 時,受使用者保護的目錄則為使用者的設定檔 (如 C:\Users\Denise\Pictures\)。因為根目錄
(此處為 C) 是由更嚴格的限制 ACL 所保護,因此舊使用者將無法使用在 Windows Vista 早期版本內的資料目錄。
這些 ACL 變更可確保使用者能在無須在使用者帳戶控制對話方塊內提供核准的情況下共用和編輯檔案。此外,使用者現在還可讓資料夾成為私用的。這項變更可確保使用者仍能輕鬆維護在資料磁碟機上的資料機密性和完整性。如果這些私用資料夾須提高權限和須被用來保持資料私密性不讓標準使用者存取時,這些私用資料夾也可由其他的系統管理員所讀取。
下列表格列出有關在 Windows XP 的 %systemroot% 和資料磁碟機內的預設 ACL 設定。
- Windows XP %systemroot% 和資料磁碟 ACL 設定
|
使用者或群組 |
存取控制項目 |
|
BUILTIN\Administrators |
完全控制 |
|
NT AUTHORITY\SYSTEM |
完全控制 |
|
CREATOR OWNER |
完全控制 |
|
BUILTIN\Users |
讀取
特殊存取:FILE_APPEND_DATA
特殊存取:FILE_WRITE_DATA
|
|
Everyone |
讀取 |
下列表格詳細介紹有關在由 format.exe 所建立的資料磁碟機上新的 Windows Vista 資料磁碟機 ACL 設定。
- Windows Vista 資料磁碟 ACL 設定
|
使用者或群組 |
存取控制項目 |
|
BUILTIN\Administrators |
完全控制 |
|
NT AUTHORITY\SYSTEM |
完全控制 |
|
NT AUTHORITY\Authenticated Users |
修改 |
|
BUILTIN\Users |
讀取和執行
一般讀取、一般執行
|
下列表格詳細介紹有關在由 format.exe 所建立的資料磁碟機上新的 Windows Vista 資料磁碟機 ACL 設定。
- Windows Vista %systemroot% ACL 設定
|
使用者或群組 |
存取控制項目 |
|
BUILTIN\Administrators |
完全控制 |
|
NT AUTHORITY\SYSTEM |
完全控制 |
|
BUILTIN\Users |
讀取和執行 |
|
NT AUTHORITY\Authenticated Users |
修改
附力資料
|
|
Mandatory Label\High Mandatory Level |
沒有寫入 |
下列表格詳細介紹有關在由 format.exe 所建立的資料磁碟機上新的 Windows Vista 資料磁碟機 ACL 設定。
新的 UAC 安全性設定和安全性設定名稱變更
在本文的〈參考資料〉一節內會詳細介紹新的安全性設定和安全性設定名稱更新。