使用者帳戶控制

維基百科,自由的百科全書
(重定向自UAC
跳轉到: 導覽搜尋
Windows 7 中的用戶帳戶控制

使用者帳戶控制英語User Account Control,UAC)是Windows Vista中新出現的安全技術,通過限制應用軟體而改進Windows作業系統的安全性。Windows 7中保持了這個功能,但是略有改變。

概要[編輯]

Windows XP作業系統中,使用者可以選擇以「系統管理員」(Administrator)或「標準使用者」其中一種模式進行操作。以系統管理員身份登入系統的使用者會擁有絕大多數權力,可以自由安裝和移除所有軟體、文件及系統服務。但由於系統管理員身份許可權極大,容易造成間諜軟體惡意程式侵入系統的機會,為此Windows XP也容許使用者以許可權受限制的標準使用者身份進行日常操作,降低惡意程式危害系統的風險,提供安全性。然而「標準使用者」的許可權限制較為嚴苛,無法進行許多系統設定和軟體安裝,對使用者造成許多困擾而不得不使用「系統管理員」身份進行日常操作。

進入Windows Vista時代之後,為了在「系統管理員」和「標準使用者」兩者之間的操作許可權及安全性上取得平衡,因此出現了使用者帳戶控制(UAC)功能,主要目的是在彈性管理和保護系統安全上發揮制衡作用。相對於Windows XP中沒有很多權利的「標準使用者」身份模式,Windows Vista的UAC功能適當調整了「標準使用者」的許可權,將部份管理權下放,容許標準使用者建立VPN、變更電源管理、安裝重要系統更新等。同時,UAC引進了幾項群組原則設定,讓「標準使用者」能安裝「系統管理員」核准的各種裝置,如印表機驅動程式等,和從「系統管理員」許可的網站上安裝ActiveX控制項等。

當使用者的某些動作可能會影響系統的安全及穩定性時,例如變更系統設定、執行未經微軟認證的程式等,UAC便會彈出提示視窗,在執行前要求提供管理員的帳戶及密碼,且該對話框之外的螢幕其他部份都會變暗,讓用戶不能進行其他操作提醒使用者操作。如果用戶的群組是「系統管理員」,則只需在彈出的對話框中選擇「允許」或「不允許」,如果用戶的群組是「標準使用者」,則需請求管理員的授權及密碼。UAC會根據四個層面觸發相應的提示視窗:UAC首先會攔截高危險性的程式及政策不容許的活動;如果該程式或活動並不違反政策或不屬於高危險性,UAC會首先衡量是否由Windows Vista發行的程式,如果答案是否定的,UAC繼而會判斷該程式是否來自獲微軟認證的合法發行者;如果UAC最終無法判斷程式來源,就會讓使用者謹慎決定是否允許程式執行。

透過啟動前先確認這些動作,UAC可協助防止惡意軟體間諜軟體未經授權就進行安裝或變更電腦。正因如此,在Windows系統中,此功能預設為開啟。

需要授權的動作[編輯]

UAC需要授權的動作包括:

  • 配置Windows Update
  • 增加或刪除用戶帳戶
  • 改變用戶的帳戶類型
  • 改變UAC設定
  • 安裝ActiveX
  • 安裝或移除程式
  • 安裝裝置驅動程式
  • 設定家長監護
  • 將檔案移動或複製到Program FilesWindows目錄
  • 檢視其他用戶資料夾

基本上,只要有涉及到存取系統磁碟的根目錄(例如C:\),存取Windows目錄,Windows系統目錄,Program Files目錄,存取Windows安全資訊以及讀寫系統登錄資料庫(Registry)的程式存取動作,都會需要通過UAC的認證。

批評[編輯]

雖然UAC可提高系統的安全性,但亦受到不少的批評,例如每次安裝應用程式或變更設定都會彈出對話框,帶來了很多不便。有部份用戶會避免麻煩而徹底關閉UAC功能。[1]也有些用戶在UAC的對話框彈出後看也不看一眼就直接按「允許」(或因提示內容過於專業,使用者難以知曉其用意),使其失去了實際作用。

開啟或關閉UAC[編輯]

用戶可在控制台中的「使用者帳戶」選擇「開啟或關閉使用者帳戶控制」中剔選是否開啟。之後,用戶需重新開機才會變更設定值。一經選擇關閉,Windows資訊安全中心會提醒用戶。

UAC在Windows 7裡的變化[編輯]

允許使用者選擇UAC的安全等級。系統為使用者提供了4個不同的安全等級,使用者可以選擇較低階別的安全等級,但是UAC設定視窗會提醒使用者這種方式「不推薦」。

  • 第一級(最高等級):相當於Windows Vista中的UAC,即對所有改變系統設定的行為進行提醒
  • 第二級(預設):只有當程式試圖改變系統設定時才會彈出UAC提示,使用者改變系統設定時不會彈出提示
  • 第三級:與第二級基本相同,但不使用安全桌面
  • 第四級:從不提示(相當於關閉UAC)

參考[編輯]

請參看[編輯]

外部連結[編輯]