[调查] 您有没有禁用UAC功能(用户帐户控制) (单选)

原帖由 dengfz 于 2007-1-7 12:19 发表
盆盆  :

你的网站我打不开啊！
UAC是真正的MAC体系吗？和SELinux比如何？

ITECN博客，您可以访问以下地址：
ITECN博客：http://blogs.itecn.net/blogs
Windows Vista技术博客：http://blogs.itecn.net/blogs/winvista/
我的博客页面：http://blogs.itecn.net/blogs/ahpeng

非常好的问题，您的问题很有技术含量！

我查看了MAC和SELinux的文档，发现Windows Vista的安全功能，和SELinux确实有类似的地方。
但是两者的实现差别比较大。

SELinux简述
SELinux实际上既是把进程和文件、目录、设备等都划分不同的类型，然后借助事先定义好的策略，再配合传统的DAC权限，来达到最小程序特权的目的。这样的话，就算某个进程被攻破，拿到了root权限，也没有用，因为它只拿到该进程所对应类型的root权限，而非整个系统的权限。

Windows简述
由于Windows的安全子系统的实现和Unix-kind的OS有一些差异，Windows的安全有两个方面，进程的访问令牌+资源的访问控制列表。资源的访问控制列表，等同于Unix-kind的DAC权限。而进程的访问令牌则记录了该进程的运行帐户身份，属于哪些用户组，具有哪些全局的特权，然后Windows安全子系统把进程的访问令牌和资源的访问控制列表，进行逐项匹配，以确认是否具有权限。

到了Windows Vista，系统新增了三个安全特性，UAC、MIC和UIPI。

其中UAC相信不少用户比较熟悉，其特点是让进程默认运行在标准用户的访问令牌下，这样的话，即使进程被攻破，也能把危害降到最低。

而MIC，则是把进程和资源，都划分不同的等级，低等级的进程，不能访问高等级的资源，哪怕资源的访问控制列表允许这么做。

UIPI，则是不允许低等级的进程，给高等级的进程发送Windows消息，这样就可以阻止诸如粉碎攻击一类的行为。

窃以为，UAC、MIC和UIPI的功能，符合MAC的效果：
UAC可以让进程默认运行在中等级别，只能访问标准用户所能访问的资源，这样就算进程被攻破，也只能影响到该用户本身，而不会对全局造成影响。
而IE浏览器的进程，由于级别最低，就算被攻破，也无法造成危害，甚至对登录用户本身都没有影响，因为登录用户本身的资源级别是中等。

而Windows Vista中的UAC、MIC和UIPI，相比SELinux来说，优点在于，无须针对每个进程、文件和目录设置类型以及访问策略，而预设的策略又不见得可以满足所有的定制化要求，例如很多Linux用户抱怨SELinux对Apache等造成影响。而Windows Vista默认让所有进程运行在标准用户的级别，这样就减少了用户配置的需要，而需要管理权限的任务，会自动弹出确认框，确认即可提升权限级别。但是目前的Windows Vista主要缺陷有以下两点：
1. 可配置性比较差，无法对管理任务配置策略，以便下次运行时不要弹出UAC提示。当然微软这样做是有原因的，防止恶意程序调用合法程序干坏事。
2. 对于进程的级别，目前只能把IE进程设置为最低级别(实际上就是IE保护模式)，其他进程默认是中级。当然目前来说，也只有IE的安全威胁最大，但是今后，应该需要把其他的高危险进程设置为最低级别。

最后还得补充一句，尽管UAC确实麻烦些，但是我们平时一般不可能经常执行管理任务。UAC不仅可以阻止恶意程序，还能防止一些合法的软件有意无意破坏系统（有些合法软件，由于开发的缺陷，可能无意中破坏系统）。所以应该开启UAC，小小的麻烦，可以换来安全，何乐不为？

觉得UAC太烦了，用什么都要提问，烦死了

还是开着好。

原帖由 coregear 于 2007-1-8 19:51 发表
太烦了,禁用!
而且UAC打开时屏幕一黑一黑跟死机似的,巨不爽!

要用好Windows，就应该花点时间了解一下其中的基本原理，最好能够知道Windows为什么要这样设置。这样就可以更好地发挥Windows的威力。

毕竟买一台电脑要花费不少，而其中的个人数据更是珍贵，Windows能够帮助管理、保护这些数据和硬件。如果不能发挥Windows的全部功能，等于这些投资都白费。

UAC可以保护系统不受恶意软件的攻击，防止数据被破坏，同时防止一些合法的软件，有意或者无意破坏系统。

顺便提问二个很简单的问题，还望知道的朋友不吝赐教(纯技术问题)：
1. 而且UAC打开时屏幕一黑一黑跟死机似的，这是为什么，微软为什么要这样做？
2. 能否消除这种干扰，同时会给系统带来什么影响？

a
1、为了进一步的安全，在“提升提示”时，用户的“确认操作”vista默认会切换到安全桌面，等用户确认完毕后，再切回用户桌面。（只有windows进程可以访问安全桌面）
2、secpol.msc→本地策略→安全选项→用户帐户控制→提示提升时切换到安全桌面→禁用
禁用会给恶意软件带来可乘之机 。

禁用！！在ie右键那里好多东西都不起作用，像有些下载工具都用不起。禁了干净。。

为什么要禁用呢，不在乎多点一下鼠标

原帖由 testyy 于 2007-1-9 22:31 发表
a
1、为了进一步的安全，在“提升提示”时，用户的“确认操作”vista默认会切换到安全桌面，等用户确认完毕后，再切回用户桌面。（只有windows进程可以访问安全桌面）
2、secpol.msc→本地策略→安全选项→用 ...

非常感谢