用户帐户控制(UAC)相关的概念摘自Vista自带的帮助
了解有关用户帐户控制的更多信息用户帐户控制概述用户帐户控制 (UAC) 是该版本 Windows 中一组新的基础结构技术,可以帮助阻止恶意程序(有时也称为“恶意软件”)损坏系统,同时也可以帮助组织部署更易于管理的平台。
使用 UAC,应用程序和任务总是在非管理员帐户的安全上下文中运行,但管理员专门给系统授予管理员级别的访问权限时除外。UAC 会阻止未经授权应用程序的自动安装,防止无意中对系统设置进行更改。
UAC 如何工作?
在该版本的 Windows 中,有两个级别的用户:标准用户和管理员。标准用户是计算机 Users 组的成员;管理员是计算机 Administrators 组的成员。
与以前版本的 Windows 不同,默认情况下标准用户和管理员都会在标准用户安全上下文中访问资源和运行应用程序。任何用户登录到计算机后,系统为该用户创建一个访问令牌。该访问令牌包含有关授予给该用户的访问权限级别的信息,其中包括特定的安全标识符 (SID) 和 Windows 权限。当管理员登录到计算机时,该版本的 Windows 为该用户创建两个单独的访问令牌:标准用户访问令牌和管理员访问令牌。标准用户访问令牌包含的用户特定信息与管理员访问令牌包含的信息相同,但是已经删除管理 Windows 权限和 SID。标准用户访问令牌用于启动不执行管理任务的应用程序(“标准用户应用程序”)。
当管理员需要运行执行管理任务的应用程序(“管理员应用程序”)时,该版本的 Windows 提示用户将他们的安全上下文从标准用户更改或“提升”为管理员。该默认管理员用户体验称为“管理审核模式”。在该模式下,应用程序需要特定的权限才能以管理员应用程序(具有与管理员相同访问权限的应用程序)运行。
默认情况下,当管理员应用程序启动时,会出现“用户帐户控制”消息。如果用户是管理员,该消息会提供选择允许或禁止应用程序启动的选项。如果用户是标准用户,该用户可以输入一个本地 Administrators 组成员的帐户的用户名和密码。
注意
可以使用组策略更改“用户帐户控制”消息的行为。有关详细信息,请参阅如何更改“用户帐户控制”消息的行为?
设计应用程序时,软件开发者应该将应用程序标识为管理员应用程序或标准用户应用程序。如果应用程序没有标识为管理员应用程序,则 Windows 会将它看作标准用户应用程序。但是,管理员也可以将应用程序看作管理员应用程序。
其他资源
用户帐户控制(
http://go.microsoft.com/fwlink/?LinkId=68918) 为什么在默认情况下会运行用户帐户控制?
对于控制访问资源而言,最重要的规则是向用户提供执行必要任务所需的最低访问权限。很多这些任务都不需要管理员权限。但是,因为以前版本的 Windows 将所有用户默认创建为管理员,所以许多用户总是以管理员帐户登录计算机。如果某个用户是管理员,在没有用户帐户控制的情况下,系统会自动授予该用户访问所有系统资源的完整权限。
但是,大多数用户不需要对计算机具有如此高级别的访问权限。很多用户甚至没有意识到他们是管理员,他们整天作为管理员浏览网页,检查电子邮件以及运行软件。
此外,当用户作为管理员运行时,可以安装合法软件,也可以有意或无意地安装恶意程序。管理员安装的恶意软件可以严重危害计算机并影响所有用户。
在该版本的 Windows 中,访问控制模式已经更改,以便减少恶意程序的影响。当用户在可以使用用户的完全管理员访问令牌之前尝试启动管理员应用程序时,“用户帐户控制”消息会要求用户单击“继续”或“取消”。(如果用户不是管理员,则该用户必须提供运行该应用程序的管理员凭据)。
因为 UAC 要求管理员审核应用程序的安装,所以未授权的应用程序或没有得到管理员明确许可的应用程序无法自动安装。
其他资源
用户帐户控制(
http://go.microsoft.com/fwlink/?LinkId=68918)
在用户帐户控制中,“使用完全管理员访问令牌运行”或“使用提升令牌运行”是什么意思?
“使用完全管理员访问令牌运行”有时称为“使用提升令牌运行”,表示允许某个应用程序使用用户的完全管理员访问令牌,它包括管理员安全标识符 (SID)。
在该版本的 Windows 中,即使应用程序由本地 Administrators 组成员的用户启动,一般情况下也只能使用在标准用户访问令牌中授予的访问权限级别运行这些应用程序。
其他资源
用户帐户控制(
http://go.microsoft.com/fwlink/?LinkId=68918)如何允许在用户帐户控制中使用完全管理员访问令牌运行一次应用程序?
某些合法的应用程序需要完全管理员访问令牌,以便执行它们所有的功能或任务。“用户帐户控制 (UAC)”消息将会出现,要求使用允许应用程序在以下任何环境中使用完全管理员访问令牌运行的许可或凭据:
应用程序开发人员已将该应用程序标记为需要管理员访问令牌。这一功能由称为“嵌入清单”的开发技术来实现。
UAC 已经检测到该应用程序是安装程序或安装应用程序。(可以使用组策略禁用自动检测。)
Microsoft 已经分析该应用程序并提供了应用程序兼容性填充码。填充码是指 Microsoft 提供的少量额外代码,用以支持特定的非 Microsoft 应用程序。
管理员已经在应用程序的“程序属性”页配置了应用程序兼容性设置。
交互式用户右键单击应用程序,再单击“以管理员身份运行”来启动该应用程序。
每次启动应用程序时,除“以管理员身份运行”之外的所有设置都会应用。若要偶尔使用完全管理员访问令牌运行应用程序,使用以下步骤。
若要执行以下步骤,必须使用本地Administrators 组的成员身份登录,或者提供该组成员的凭据。
使用完全管理员访问令牌运行一次应用程序的步骤
在 Windows 资源管理器中查找程序图标或程序快捷方式。
右键单击程序图标或程序快捷方式,然后单击“以管理员身份运行”。
在“用户帐户控制”消息出现时,请执行下列操作之一:
如果作为标准用户登录,或 UAC 配置为总是要求凭据,请输入相应的凭据,再单击“提交”。
如果作为管理员登录,且 UAC 没有配置为总是要求凭据,请单击“继续”启动应用程序。
其他资源
Windows Vista 用户帐户控制循序渐进指南 (http://go.microsoft.com/fwlink/?LinkId=53779)(英文)
如何在用户帐户控制中启用和禁用应用程序安装检测?
默认情况下,用户帐户控制 (UAC) 可以自动检测大部分安装应用程序,并将它们视为需要用户安全上下文提升的应用程序,即使它们没有明确标明也是如此。
在不希望用户运行安装程序的托管环境下,如果用户看到“用户帐户控制”消息,该功能可以创建要求支持的不需要请求。因此,管理员可以使用以下步骤禁用 UAC 自动检测安装程序的功能。
要点
因为安装程序使用标准用户令牌运行,所以任何本应该使用完全管理员访问令牌才能执行的功能将会无法使用。
若要执行以下步骤,必须使用本地Administrators 组的成员身份登录,或者提供该组成员的凭据。
在 UAC 中启用或禁用应用程序安装检测的步骤
依次单击“开始”、“所有程序”、“附件”、“运行”,在“打开”框中键入 secpol.msc,然后单击“确定”。
从“本地安全策略”树,单击“本地策略”,然后双击“安全选项”。
向下滚动到“用户帐户控制: 检测应用程序安装并提示提升”,然后双击该项目。
选择相应的设置:
若要启用应用程序安装检测,单击“启用”。
若要禁用应用程序安装检测,单击“禁用”。
单击“确定”。
关闭“本地安全策略”窗口。
其他资源
Windows Vista 用户帐户控制循序渐进指南(
http://go.microsoft.com/fwlink/?linkid=53781)(英文)
如何更改“用户帐户控制”消息的行为?
管理员可以为标准用户或管理审批模式下的本地管理员更改“用户帐户控制”消息的行为。
在以下情况可能要执行此操作,例如:
所有应用程序都必须集中进行预批准和安装的环境。
必须遵守一般准则标准或遵守要求所有管理员任务使用凭据的企业策略的组织。
为管理审批模式下的管理员更改“用户帐户控制”消息的行为
使用以下步骤为管理员更改“用户帐户控制”消息的行为。
若要执行以下步骤,必须以本地“Administrators”组的成员身份登录,或者提供该组成员的凭据。
为管理审批模式下的管理员更改“用户帐户控制”消息的行为的步骤
依次单击“开始”、“所有程序”、“附件”、“运行”,在“打开”框中键入 secpol.msc,然后单击“确定”。
如果当前是在管理审批模式下配置 UAC,则显示“用户帐户控制”消息。单击“继续”。
从本地安全策略树,单击“本地策略”,再双击“安全选项”。
向下滚动到“用户帐户控制: 管理审批模式下,管理员的提升提示行为”。
从下拉菜单中选择以下设置之一:
提升,不提示
在这种情况下,已标记为管理员应用程序的应用程序以及被检测出是安装应用程序的应用程序,都将使用完全管理员访问令牌自动运行。所有其他应用程序都将使用标准用户令牌自动运行。
提示凭据
在这种情况下,为了获取应用程序可以使用完全管理员访问令牌运行的许可,用户必须输入管理员凭据。该设置符合一般准则或企业策略。
提示许可
这是默认设置。
单击“应用”。
为标准用户更改“用户帐户控制”消息的行为
使用以下步骤为标准用户更改“用户帐户控制”消息的行为。
若要执行以下步骤,必须以本地“Administrators”组的成员身份登录,或者提供该组成员的凭据。
为标准用户更改“用户帐户控制”消息的行为的步骤
依次单击“开始”、“所有程序”、“附件”、“运行”,在“打开”文本框中键入 secpol.msc,然后单击“确定”。
如果 UAC 当前配置为提示管理员凭据,则显示“用户帐户控制”消息。单击“继续”。
从本地安全策略树,单击“本地策略”,再双击“安全选项”。
向下滚动到“用户帐户控制: 标准用户的提升提示行为”,并双击该项目。
从下拉菜单中选择以下设置之一:
自动阻止提升请求
在这种情况下,管理员应用程序将无法运行。用户会看到来自该应用程序的错误消息,提示某个策略已经阻止运行该应用程序。
提示凭据
这是默认设置。在这种情况下,若要使应用程序能够使用完全管理员访问令牌运行,用户必须输入管理员凭据。
单击“应用”。
其他资源
Windows Vista 用户帐户控制循序渐进指南(
http://go.microsoft.com/fwlink/?linkid=53781)(英文)
如何在用户帐户控制中启用和禁用应用程序安装检测?默认情况下,用户帐户控制 (UAC) 可以自动检测大部分安装应用程序,并将它们视为需要用户安全上下文提升的应用程序,即使它们没有明确标明也是如此。
在不希望用户运行安装程序的托管环境下,如果用户看到“用户帐户控制”消息,该功能可以创建要求支持的不需要请求。因此,管理员可以使用以下步骤禁用 UAC 自动检测安装程序的功能。
要点
因为安装程序使用标准用户令牌运行,所以任何本应该使用完全管理员访问令牌才能执行的功能将会无法使用。
若要执行以下步骤,必须使用本地Administrators 组的成员身份登录,或者提供该组成员的凭据。
在 UAC 中启用或禁用应用程序安装检测的步骤
依次单击“开始”、“所有程序”、“附件”、“运行”,在“打开”框中键入 secpol.msc,然后单击“确定”。
从“本地安全策略”树,单击“本地策略”,然后双击“安全选项”。
向下滚动到“用户帐户控制: 检测应用程序安装并提示提升”,然后双击该项目。
选择相应的设置:
若要启用应用程序安装检测,单击“启用”。
若要禁用应用程序安装检测,单击“禁用”。
单击“确定”。
关闭“本地安全策略”窗口。
其他资源
Windows Vista 用户帐户控制循序渐进指南(
http://go.microsoft.com/fwlink/?linkid=53781)(英文)
分享到:
相关推荐
该压缩包文件“UAC_1.0版本规范.7z”包含了官方的UAC 1.0规范文档,可能是PDF格式的“audio10.pdf”,这是一份详尽的技术参考,涵盖了UAC的核心概念、协议以及实现细节。这份文档对于理解USB音频设备的工作原理,...
1. **理解UAC机制**:首先,开发者需要理解UAC的基本原理,包括权限等级、UAC提示、虚拟化等概念。在易语言中,我们通常需要创建具有管理员权限的进程,以便在需要时能够正确响应UAC请求。 2. **资源编辑**:在...
- **分割令牌**:为了支持用户账户控制,Windows引入了分割令牌的概念,即将用户的令牌分为两部分:一个包含最小权限集,另一个包含完整权限。这样,大多数时间用户将以最低权限运行,而在需要时可以通过UAC提示进行...
**POC(Proof of Concept)**,概念验证,是一种简单的代码或程序,用于证明某个特定的概念、理论或漏洞是可行的。在网络安全领域,POC通常被用来展示一个漏洞的存在,它不一定是完全成熟的攻击工具,但足以证明问题...
#### UAC机制的核心概念 - **用户账户类型**:在Windows 7中,默认存在两种类型的用户账户:标准用户和管理员。标准用户拥有有限的操作权限,而管理员则具有更广泛的权限来管理计算机。 - **访问令牌(Token)**:...
标题中的"VB-UAC-BYPASS.rar"是一个与VB(Visual Basic)编程语言相关的压缩文件,专门用于绕过Windows操作系统的用户账户控制(User Account Control, 简称UAC)。UAC是Windows的一项安全特性,旨在防止未经授权的...
标签“UAC添加器.rar”再次强调了这是一个与UAC相关的工具或资源的压缩文件。 压缩包内的“易语言UAC添加器源码”表明这个文件包含了使用易语言编写的UAC添加器的源代码。易语言是一种中文编程语言,旨在降低编程的...
标题“vb6-Theme+UAC”涉及到两个关键概念:VB6(Visual Basic 6)和UAC(User Account Control)。这两个元素都是Windows操作系统中的重要组成部分,尤其在开发Windows应用程序时,理解它们对于编程至关重要。 VB6...
标题中的“byeintegrity-uac-master_exp_UAC_advanced_vc++_win7/win8_”似乎是一个项目或软件的名称,暗示我们正在处理一个与Windows操作系统用户账户控制(User Account Control, UAC)相关的高级安全研究或者开发...
在SIP系统中,UAC(User Agent Client)和UAS(User Agent Server)是两个关键概念。 **UAC(用户代理客户端)** 是SIP协议中的发起方,它负责发起呼叫或会话请求。UAC通常是指我们使用的软电话、智能手机上的VoIP...
在这个场景中,"UAC" 和 "UAS" 是SIP中的两个关键概念。 UAC(User Agent Client)是SIP协议中的客户端角色,它发起SIP请求,例如呼叫、挂断或邀请其他用户加入会话。UAC发送请求到网络中的服务器,这些请求可能...
首先,我们来理解易语言的基本概念。易语言的核心理念是“易”,即简单、直观。它采用“词语编程”的思想,用日常生活中的词汇作为编程关键字,使得程序代码更易于理解和记忆。例如,"创建窗口"、"接收键盘输入"等都...
在这个标准中,UAC(User Agent Client)和UAS(User Agent Server)是两个关键概念,它们是SIP(Session Initiation Protocol)通信中的基本组件。 SIP是一种应用层控制协议,用于创建、修改和终止多媒体会话,如...
在探讨“Win8系统开启UAC情况下不提示授权操作设置步骤”这一主题时,我们首先需要理解UAC(用户账户控制)的基本概念及其在Windows 8操作系统中的作用。UAC是微软自Windows Vista以来引入的一项安全特性,旨在限制...
**构建软件数字安全带系列课程(11):Windows Vista中用户帐户控制(UAC)最佳实践** ...提供的资源如PPT、视频和文档将进一步帮助深入理解和应用这些概念,确保在Windows Vista及其后续系统上实现最佳的数字安全实践。
在"uac-acesso-web-master"这个项目中,我们可以预期找到与这些概念相关的代码和配置,包括用户模型、中间件、路由定义以及可能的角色和权限管理。通过深入研究这个项目,你可以进一步理解如何在实践中应用这些概念...
在Exosip2中,你可以通过调用相关的API来创建UAC和UAS的应用程序。 UAC的DEMO程序通常包括以下功能: - 注册到SIP服务器。 - 发起呼叫请求。 - 处理接听和挂断。 - 接收并播放音频/视频流。 UAS的DEMO程序则需要...
在深入技术细节之前,我们需要掌握一些基础概念和工具,例如Windbg调试技巧,以及如何查看OS的白名单和受信目录列表。此外,理解程序的Manifest文件(用于指定应用程序的UI级别和权限需求)和服务程序的调试也是必要...
二是表示此问题与系统底层或核心组件有关,因为C语言常用于编写操作系统级别的代码。 【详细知识点】 1. **用户账户控制(UAC)**:UAC是Windows操作系统中的一个重要安全特性,旨在防止未经授权的更改影响系统的...
概念证明 为什么会这样? ComputerDefaults.exe是Windows 10 Microsoft数字签名的本机可执行文件,其清单上的“ autoElevate”属性设置为true,并且与Windows注册表进行交互。 因此,通过这种类型的交互来发现此类...