当前位置:文档之家 › WIN7操作系统用户帐户控制功能

WIN7操作系统用户帐户控制功能

  • 格式:doc
  • 大小:16.50 KB
  • 文档页数:7

下载文档原格式

  / 7

合集下载

Win7用户UAC控制策略调整

Win7用户UAC控制策略调整

Windows7终端用户UAC策略调整
因为win7的UAC权限控制功能,Windows7系统终端入网时,会出现卡巴斯基防病毒软件安装无反应、系统补丁安装不成功情况。

请windows7系统终端用户遇到无法安装的情况时关闭系统UAC控制功能。

操作过程
1、通过以下手段可以判断是否需要关闭UAC:
点击“开始”----输入“cmd”,回车显示下图所示,且登陆帐号非管理员帐号。

请继续第2点关闭系统UAC功能:
2、关闭系统UAC控制功能,流程如下
1)点击“开始”----“控制面板”
2)选择“用户账户”
3)对需要修改的帐号进行修改,选择“更改用户账户控制设置”
4)在用户账户控制设置页面中可以看到,下图为一般默认设置
5)请将此处修改为“从不通知”,下图所示,并按要求重启计算机
3、重启计算机后查看cmd窗口,即可
4、根据要求入网
用户可以点击“金航入网小助手”或以管理员身份运行浏览器,输入http://10.216.33.4,根据入网要求的步骤,进行防病毒软件、系统补丁进行安装。

附:补丁安装成功示例。

Windows 7用户帐户控制详解

Windows 7用户帐户控制详解

Windows 7用户帐户控制详解
用户帐户控制(UAC)——曾经在Vista中饱受批判的一个功能。

只要系统稍作改变,它就会频繁弹出对话框来寻求用户的许可,因此它成为了Vista中最受痛恨的一个功能。

另外使用UAC对一个程序进行判断有时候也很复杂。

而且微软在仅为UAC提供两个选项:开启UAC或者关闭UAC,许多用户常常因为忍受不了UA C的折磨而选择关闭。

那么UAC 在Windows 7里有了什么样的改变呢?
在Windows 7中,微软让用户可以选择UAC的通知等级,另外还改进了用户界面增加了相关的信息和提示。

Windows 7安装完成之后会创建一个受保护的管理员账户,但是带来的是与Vista不同的UAC设置:
默认的情况下,仅在程序作出改变时才会弹出UAC提示,用户改变系统设置时不会弹出提示。

新的UAC图标也有所改变,看起来比Vista里面的舒服些:
Windows 7下的UAC设置提供了一个滑块允许用户设置通知的等级,你可以选择以下4种选项:
以下是当你运行一个知名公司发布的程序时所弹出的UAC提示(蓝色):
以下是运行不知名公司发布的程序所弹出的UAC提示(黄色):
你可以看到用户可以直接对UAC进行设置,以减少那些自己不想看到的通知窗口出现的频率。

总体来说Windows 7下的UAC 体验与Vista下的相比有了重大改进,需要用户点击的次数(默认设置)明显减少。

UAC的终极目标就是让用户能够控制系统的改变,并且减少弹出通知的次数以免干扰用户的体验。

win7每次打开运行程序都会弹出一个用户账户控制询问窗口的解决办法

win7每次打开运行程序都会弹出一个用户账户控制询问窗口的解决办法

win7每次打开运行程序都会弹出一个用户账户控制询问窗口的解决办法
这是运行联通ipass都要确认的,我想设置成常用的程序不要管理员权限就可运行,该怎样设置?
微软从vista开始为了提升系统的安全性而加入了用户帐户控制(UAC),如果你觉得烦可以按以下方法关闭:开始-运行,输入msconfig,然后转到工具选项卡,打开UAC设置,选择从不通知就行了。

这叫UAC,名曰:用户账户控制,建议不要关闭,调至建议级别就可以了,windows 7之所以比xp安全,就是有这个uac机制,UAC可以防止某些恶意程序对您的计算机的更改,当他们更改计算机时会像你说的这样通知您,所以安全性很好。

UAC刚开始可能不习惯,但是用久了就会发现它真的很不错。

Windows7系统在安全方面的3个功能

Windows7系统在安全方面的3个功能

Windows7系统在安全方面的3个功能在网络购物盛行的今日,网上交易频繁,计算机网络安全显得越来越主要。

Windows7作为微软新一代操作系统,全新界面,更加人性化的功能让操作更基本,特别是在安全方面比以往系统更加稳定可靠。

一、Windows7系统中的“用户账户控制安全功能用户账户控制(UAC)最初是在Windows Vista 中引入的新安全功能,有助于预防有害程序对计算机实行修改,可用来防备黑客或恶意软件的攻击。

当程序欲对计算机执行主要修改时,UAC即会通知用户,并询问是否执行修改(如图1)。

图1现在,这项功能在Windows7中得到了进一步改良,更加灵活,特别是具有维护权限的账户能够调整配置来控制UAC 通知频率,以降低其产生的干扰次数,更加人性化。

二、Windows7系统中的防火墙自从Vista 开始,微软就针对Windows防火墙功能实行完备和改良,其功能不再像xp那样基本了。

Windows防火墙在Windows7中得到了进一步改良,已成为系统的一道安全保证,在默认情况下会启用,功能更灵活并更易于运用(如图2)。

图2Windows7中,用户可针对每个网络配置文件(家庭、办公室和公共场所)微调所需的保卫和通知功能,能够为不一样的网络环境提供量身定制的保卫。

并且无论为配置文件挑选何种级别的保卫,都能够在各配置文件之间实行轻轻松松的切换,方便许多(如图3)。

图3在Windows防火墙高级配置中,用户还能够准许准则实行细致定制,如端口、协议、安全连接及作用域等等增强网络安全的策略。

三、Windows7中的备份和还原功能备份和还原功能同样在Windows7中得到进一步改良,可为用户主要的私人文件建立安全副本,始终能够针对最坏情况做好准备(如图4)。

图4在Windows7系统中,用户能够挑选要备份的内容,如文件夹、库甚至驱动器,系统都可根据挑选的随意计划实行备份防患于未然。

若用的是Windows7专业版或旗舰版,用户还能够挑选将文件备份到网络上(如图5)。

win7怎么关掉用户账户控制弹窗

win7怎么关掉用户账户控制弹窗

win7怎么关掉用户账户控制弹窗
想必好多win7用户都会厌烦用户账户控制的弹窗,这里店铺就给大家分享一下关闭这个用户账户控制弹窗的方法,让你的win7体验更加清爽~
win7关掉用户账户控制弹窗的方法
第一步,点击开始,然后在右边一栏当中选择-控制面板,打开控制面板界面。

然后在控制面板界面中找到-用户账户和家庭安全-这个分类,点击进入用户设置界面。

如果你的控制面板查看方式是大图标或者小图标,就按照下图中找到-用户账户-一项,点击即可进入用户设置界面。

进入用户账户设置界面后,选择-更改用户账户控制设置,进入设置界面。

在用户账户控制设置窗口左边有一个选择柱,现在你只要将这个拖到最低,便完成设置了。

点确定后在右下角会弹出:必须重启计算机才能关闭用户账户控制的提示,重启一下电脑,大功告成~
END。

Windows7的用户账户控制(UAC)策略调整及设置方法

Windows7的用户账户控制(UAC)策略调整及设置方法

Windows7的用户账户控制(UAC)策略调整及设置方法Windows 7的用户账户控制(UAC)策略调整及设置方法Windows 7的用户账户控制(UAC)策略调整及设置方法大家在使用Vista的时候,很是厌烦VISTA每次弹出的UAC提示呢,那么在Windows 7上UAC功能又做了哪些调整呢,本文就跟大家一同了解Windows 7上UAC新策略及UAC的关闭及其他设置方法,详尽的WINDOWS 7中文版抓图会让你一目了然,如饮甘露。

用户账户控制(UAC)是VISTA引入的系统保护举措,这一举措就如同牛皮癣一样骚扰着每个VISTA用户,看来是盖茨深深意识到UAC的设计太过草率,有把用户当小白鼠的嫌疑。

所以在WINDOWS 7上的UAC策略调整相当大。

当然也可以认为是UAC在VISTA已经测试成果。

一、WINDOWS 7上UAC策略调整概要在VISTA上,凡是涉及以下情况的,一律都会弹出UAC提示:1、管理员身份运行程序2、安装卸载任何程序,包括驱动程序及ACTIVEX控件3、改变WINDOWS防火墙、UAC设置4、配置WINDOWS更新、添加删除用户账户包括改变账户类型5、家长控制、计划任务、查看或修改其他账户的文件或文件夹6、磁盘碎片整理等等在VISTA上均会弹出UAC提示,够是烦人的,而且在VISTA只有关闭和开启UAC可选项。

到了WINDOWS 7,UAC策略做了大量调整,默认只对以管理员身份运行程序、安装程序、卸载程序(不全部)、驱动程序安装和卸载、ACTIVEX控件及UAC设置改变,才会弹出UAC提示。

并且支持UAC的分级控制调整。

Windows 7的UAC 功能已经变得更为人性化一点。

实际上及时WINDOWS 7不提示,对于杀毒软件来说,都应该提示这些改变的。

只是杀毒软件在右下角提示个小窗口,然后让用户选择操作,WINDOWS7直接全屏变灰,警示意味更为强烈一点而已。

二、WINDOWS 7 UAC控制图解及开启/关闭UAC方法WINDOWS 7 UAC控制位置:控制面板——用户账户,里选择更改用户账户设置,如下图。

Win7系统更改“用户账户控制设置”的技巧

用户账户控制是windows操作系统中的一种控制机制,它能够帮助我们阻止恶意程序损坏系统,同时还能够帮助组织部署更易于管理的平台,但是有很多win7系统用户反映说每次只要稍微对电脑有一点的更改,win7系统就会弹出用户账户控制的窗口,虽然这是win7系统的一项安全设置,但是有点烦人,那么要怎么更改“用户账户控制设置”,下面为大家带来具体的操作步骤吧。

推荐:win7系统下载/
1、首先点击win7系统的“开始菜单”,选择点击“控制面板”;
2、在弹出来的控制面板中依次点击“用户账户和家庭安全--用户账户”;
3、然后点击“更改用户账户控制设置”;
4、拖动滑动条更改用户账户控制设置,最后点击确定按钮即可。

用户账户控制级别的说明:
(1)始终通知:对每个系统变化进行通知。

这也就是Vista的模式,任何系统级别的变化(windows设置、软件安装等)都会出现UAC提示窗口。

(2)默认设置:仅当程序试图改变计算机时发出提示。

当用户更改windows设置(如控制面板和管理员任务时)将不会出现提示信息。

(3)不降低桌面亮度:仅当程序试图改变计算机时发出提示,不使用安全桌面(即降低桌面亮度),但是UAC提示窗口仅出现在一般桌面,而不会出现在
安全桌面。

这对于某些视频驱动程序是有用的,因为这些程序让桌面转换很慢,请注意安全桌面对于试图安装响应的软件而言是一种阻碍。

(4)从不通知:从不提示,这也等于完全关闭UAC功能。

上面就是关于Win7系统更改“用户账户控制设置”的技巧,有需要的朋友们可以根据上面的图文步骤进行操作设置,相信能够帮助到大家的,更多精彩
内容欢迎访问wi7之家。

Windows 7用户帐户控制((User Account Control)

用户帐户控制((User Account Control)
UAC(User Account Control,用户帐户控制)是微软为提高系统安全而在Windows Vista 中引入的新技术,它要求用户在执行可能会影响计算机运行的操作或执行更改影响其他用户的设置的操作之前,提供权限或管理员密码。

通过在这些操作启动前对其进行验证,UAC 可以帮助防止恶意软件和间谍软件在未经许可的情况下在计算机上进行安装或对计算机进行更改。

当需要权限或密码才能完成任务时,UAC 会用下列消息之一警告用户(以下图例均没有启动安全桌面):windows需要您的许可才能继续:可能会影响本计算机其他用户的Windows 功能或程序需要您的许可才能启动。

请检查操作的名称以确保它正是您要运行的功能或程序。

程序需要您的许可才能继续:不属于Windows 的一部分的程序需要您的许可才能启动。

它具有指明其名称和发行者的有效的数字签名,该数字签名可以帮助确保该程序正是其所声明的程序。

确保该程序正是您要运行的程序。

未能识别的程序是指没有其发行者所提供用于确保该程序正是其所声明程序的有效数字签名的程序。

这不一定表明
有危险,因为许多旧的合法程序缺少签名。

但是,应该特别注意并且仅当其获取自可信任的来源(例如原装CD 或发行者网站)时允许此程序运行。

怎么关闭Win7系统UAC用户账户控制

怎么关闭Win7系统UAC用户账户控制
用户帐户控制(UAC,User Account Control)是微软为提高系统安全而在Windows Vista中引入一组新的基础结构技术。

一直开启UAC 的话,我们在Win7系统中某些操作是无法执行的。

接下来就给大家分享一下如何关闭Win7系统UAC用户账户控制。

关闭Win7系统UAC用户账户控制方法:
使用组合键win+r,打开运行输入gpedit.msc。

在"本地组策略编辑器'-选择"计算机配置Windows 设置安全设置本地策略安全选项'双击打开。

双击打开之后,定位到"用户帐户控制:管理员批准模式中管理员的提升权限提示的行为'。

打开之后,在"本地安全设置'中的下拉框选择"不提示,直接提升',然后点击"确定'既可。

以上就是关于关闭Win7系统UAC用户账户控制方法的全部介绍了,系统之家还有更多关于Win7系统的介绍噢~。

Windows 7下User Account Control

Windows 7下User Account ControlStephen:长期使用Windows 7的用户肯定是不会不知道UAC这个玩意的,那么这个UAC的执行文件是什么,原理又是什么呢?这些问题困扰我了一段时间,UAC这个功能可以说是vista后Windows家族client操作系统和server操作系统的特性功能,以下是自己研究的成果。

1.安全桌面当我们在普通用户模式下,运行非系统信任软件的时候,就会弹出UAC提示,这和我们所用的安全软件的主动防御提示是相仿的。

当UAC弹出时就会出现所谓的安全桌面,这个安全桌面又是什么东西呢?安全桌面(Secure Desktop)就是Winlogon desktop,当Winlogon desktop处于激活状态的时候,任何其它进程都不能访问与桌面相关联的代码或者数据,这样就有效的保护了用户的使用安全。

为了便于了解,可以做个试验。

试验:在我们关闭安全桌面之前,如果弹出了安全桌面,那么我们是无法对桌面文件进行操作的。

而我们通过组策略的本地安全策略的安全策略关闭安全桌面,那么我们再次通过普通用户运行类似regedit这样的自带程序时,UAC同样会弹出提示,但是安全桌面就消失了。

当安全桌面消失后,这里有两种情况,第一种就是是不可以在桌面下进行操作但是任务栏的窗口还是可以的,这种情况是我们通过右键的以管理员身份运行程序时出现的。

而另一种情况则是我们通过运行功能执行程序时出现,这样的情况下,桌面是可以进行操作的。

组策略关闭安全桌面:关闭安全桌面后的UAC提示:官方的详细介绍:The security on the Winlogon desktop is created so that only Winlogon can access that desktop. The other desktop allows both Winlogon and users to access it. This arrangement means that any time the Winlogon desktop is active, no other process has access to any active code or data associated with the desktop. Windows uses this feature to protect the secure operations that involve passwords and locking and unlocking the desktop.2.UAC是何文件实现的?UAC这个功能的核心文件是什么呢?我们通过Process Explorer来观察下,当我们运行regedit程序的时候,系统进程明显多了个consent进程,这个进程到底是什么呢,来一看究竟。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

在家庭和公司环境中,使用标准用户帐户可以提高安全性并降低总体拥有成本。

当用户使用标准用户权限(而不是管理权限)运行时,系统的安全配置(包括防病毒和防火墙配置)将得到保护。

这样,用户将能拥有一个安全的区域,可以保护他们的帐户及系统的其余部分。

对于企业部署,桌面 IT 经理设置的策略将无法被覆盖,而在共享家庭计算机上,不同的用户帐户将受到保护,避免其他帐户对其进行更改。

但是,很久以来,Windows 的用户一直都在使用管理权限运行。

因此,软件通常都开发为使用管理帐户运行,并且(通常无意间)依赖于管理权限。

为了让更多软件能够使用标准用户权限运行,并且帮助开发人员编写能够使用标准用户权限正常运行的应用程序,Windows Vista 引入了用户帐户控制 (UAC)。

UAC 集成了一系列技术,其中包括文件系统和注册表虚拟化、受保护的系统管理员 (PA) 帐户、UAC 提升权限提示,以及支持这些目标的 Windows 完整性级别。

我在我的会议演示文稿和 TechNet 杂志UAC 内部信息一文中详细讨论了这些内容。

Windows 7 沿用了 UAC 的目标,基础技术相对未做改变。

但是,它引入了 UAC 的 PA 帐户可以运行的两种新模式,以及某些内置 Windows 组件的自动提升机制。

在此文章中,我将论述推动 UAC 技术发展的因素、重新探讨 UAC 和安全性之间的关系、描述这两种新模式,并介绍自动提升的具体工作方式。

请注意,此文章中的信息反映了Windows 7 预发布版本的行为,该行为在许多方面与 beta 版有所不同。

UAC 技术UAC 技术的最基本元素和直接效益在于它能使标准用户更方便地使用 Windows。

演示示例展示了 Windows XP 和 Windows Vista 上有关设置时区的权限要求的不同之处。

在Windows XP 上,更改时区需要管理权限,实际上,即使是使用时间/日期控制面板小程序查看时区也需要管理权限。

这是因为 Windows XP 未将更改时间(安全敏感的系统操作)与更改时区(只是影响时间的显示方式)区分开来。

在 Windows Vista(和 Windows 7)中,更改时区不是一项管理操作,并且时间/日期控制面板小程序也将管理操作与标准用户操作进行了分隔。

仅仅这一项更改就让许多企业能够为出差的用户配置标准用户帐户,因为用户将能够调整时区来反映他们的当前位置。

Windows 7 进一步做出了改进,比如刷新系统的 IP 地址、使用 Windows Update 来安装可选的更新和驱动程序、更改显示 DPI,以及查看标准用户可访问的当前防火墙设置。

文件系统和注册表虚拟化在后台工作,可以帮助许多无意间使用管理权限的应用程序在没有管理权限的情况下也能正常运行。

对于不必要地使用管理权限而言,最常见的情况是将应用程序设置或用户数据存储在注册表或文件系统中系统所使用的区域内。

举例来说,某些旧版应用程序将其设置存储在注册表的系统范围部分(HKEY_LOCAL_MACHINE/Software),而不是每用户部分 (HKEY_CURRENT_USER/Software),而注册表虚拟化会将尝试写入系统位置的操作转到 HKEY_CURRENT_USER (HKCU) 中的位置,同时保持应用程序兼容性。

设计 PA 帐户的目的是为了鼓励开发人员将应用程序编写为只需要标准用户权限,同时使尽可能多的在管理组件和标准用户组件之间共享状态的应用程序能够继续工作。

默认情况下,Windows Vista 或 Windows 7 系统上的第一个帐户(在 Windows 的早期版本上为完全权限管理员帐户)是 PA 帐户。

PA 用户执行的任何程序都使用标准用户权限运行,除非用户明确提升了应用程序,即授予应用程序管理权限。

诸如安装应用程序和更改系统设置等用户活动会触发提升权限提示。

这些提升权限提示是最显著的 UAC 技术,表现形式为切换到一个包含允许/取消对话框的屏幕,背景为灰色的桌面快照。

在安装之后创建的帐户是标准用户帐户,默认情况下,这些帐户通过一个即时权限提升提示提供提升功能,该提示要求提供将用于授予管理权限的管理帐户的凭据。

利用这一便捷功能,只要共享家庭计算机的家庭成员或更注重安全的使用标准用户帐户的用户知道管理帐户的密码,他们就能够用管理权限来运行应用程序,而不必手动切换到其他用户登录会话。

此类应用程序的常见示例包括安装程序以及家长控制配置。

在启用了 UAC 后,所有用户帐户(包括管理帐户)都将使用标准用户权限运行。

这意味着,应用程序开发人员必须考虑他们的软件默认情况下将没有管理权限这一事实。

这应会提醒他们将其应用程序设计为使用标准用户权限工作。

如果应用程序或其功能的某些部分需要管理权限,它可以利用提升机制来允许用户解锁该功能。

通常,应用程序开发人员只需进行少许更改就可让其应用程序使用标准用户权限正常工作。

如有关 UAC 的 E7 博客文章所述,UAC 成功地改变了开发人员编写软件的方式。

提升权限提示的另一个优点是:它们能够在软件想要对系统进行更改时通知用户,并使用户有机会来阻止这种情况。

例如,如果用户不信任或不想允许修改系统的软件包要求管理权限,则它们可以拒绝提示。

提升和恶意软件安全性UAC 的主要目标是让更多用户能够使用标准用户权限运行。

但是,其中一项 UAC 技术看起来像是安全功能:许可提示。

许多人认为,因为软件必须要求用户授予其管理权限,因此他们能够防止恶意软件获得管理权限。

提示是一种视觉暗示,它仅为其所述操作获取管理权限,除此之外,用户还可以切换到不同桌面来显示提升对话框,以及使用 Windows 完整性机制,包括用户界面特权隔离 (UIPI),这些都使人们更加坚信这一理念。

正如在 Windows Vista 推出之前我们所谈到的,提升的主要目的不是安全性,而是其方便性:如果用户必须通过登录到管理帐户或通过快速用户切换切换到管理帐户,从而切换帐户以执行管理操作,则大多数用户都只会切换一次,而不会切换回来。

更改应用程序开发人员进行设计所针对的环境将不会有进展。

那么,安全桌面和 Windows 完整性机制的目的是什么?为提示切换到不同桌面的主要原因是:标准用户软件无法欺骗提升权限提示,例如,它们无法通过在对话框上的发布者名称上绘图来欺骗用户,让用户认为是 Microsoft 或另一个软件供应商(而不是这些软件)生成了提示,从而欺骗提升权限提示。

这种替代桌面称为安全桌面,因为它是系统(而不是用户)所拥有的,就像系统显示 Windows 登录对话框的桌面一样。

使用其他桌面还有一个重要目的,就是为了实现应用程序兼容性:在正在运行其他用户拥有的应用程序的桌面上,如果内置辅助功能软件(比如屏幕键盘)能够正常工作,那么此时就有一个第三方软件不能正常工作。

当本地系统帐户拥有的提升对话框显示在用户拥有的桌面上时,该软件将无法正常工作。

Windows 完整性机制和 UIPI 的设计目的是在提升的应用程序周围建立一道保护性屏障。

它最初的目标其中之一是防止软件开发人员投机取巧,利用已经提升的应用程序来完成管理任务。

使用标准用户权限运行的应用程序无法将合成鼠标或键盘输入发送到提升的应用程序中,以使应用程序执行其指令,也无法将代码注入提升的应用程序以执行管理操作。

Windows 完整性机制和 UIPI 在 Windows Vista 中用于保护模式 Internet Explorer,使得感染 IE 的运行实例的恶意软件更难于修改用户帐户设置,例如,将本身配置为在每次用户登录时启动。

尽管 Windows Vista 的一个早期设计目标是使用带有安全桌面的提升、Windows 完整性机制和 UIPI,在使用标准用户权限和管理权限运行的软件之间建立一个坚不可摧的屏障(称为安全边界),但由于以下两个原因,而导致该目标未能实现,并随之被放弃:可用性和应用程序兼容性。

首先,考虑提升对话框本身。

它显示将被授予管理权限的主要可执行文件的名称和发布者。

遗憾的是,尽管越来越多的软件发布者为其代码添加了数字签名,但仍然有一些软件发布者没有这样做,并且还有许多未添加签名的旧版应用程序。

对于未签名的软件而言,提升对话框只会显示可执行文件的文件名,因此,对于某些恶意软件(例如,已采用用户帐户运行并且正在监视未签名 Setup.exe 应用程序安装程序的提升)而言,将能够将可执行文件替换为恶意的 Setup.exe,而用户却一无所知(请参阅图 1)。

其次,该对话框不会告知用户可执行文件在启动时将会加载哪些 DLL。

如果可执行文件位于用户可以控制的目录中,则使用用户标准权限运行的恶意软件将能够替换该位置中软件将使用的任何关联 DLL。

此外,恶意软件可以使用并行功能,使可执行文件加载应用程序或系统 DLL 的恶意版本。

并且,除非用户警惕地单击详细信息按钮,并仔细查看为提升可执行文件列出的文件路径,否则恶意软件可以将可执行文件复制到名称类似的位置,例如,/ProgramFiles/Vendor/Application.exe(注意应为Program Files的内容中缺少的空格),在该位置中,恶意软件将可控制应用程序加载哪些 DLL。

在图 2 中,我已将 Microsoft 网络监视器的一个组件复制到用户创建的 C:/ProgramFiles 目录(用户可控制该目录),并启动了该组件。

最后,为了实现应用程序兼容性,提升的应用程序与标准用户环境共享实质性状态,恶意应用程序可以使用该状态来影响提升的应用程序的行为。

就这一点而言,最直观的示例就是用户的注册表配置文件 HKEY_CURRENT_USER (HKCU)。

该配置文件是共享的,因为用户希望他们作为标准用户注册的设置和扩展能够在提升的应用程序中工作。

恶意软件可以使用HKCU 中注册的外壳扩展来加载到使用任何外壳浏览对话框(比如打开文件和保存文件)的已提升应用程序中。

其他各种状态也是共享的,特别是基本命名对象命名空间,应用程序将在其中创建同步和共享内存对象。

举例来说,恶意软件可以利用该共享来劫持提升的应用程序使用的共享内存对象,从而对应用程序和系统造成危害。

至于 Windows 完整性机制,由于我前面提到的提升问题,因此它作为屏障的有效性是有限的,而它还存在由于应用程序兼容性而导致的限制。

举例来说,UIPI 不会阻止标准用户应用程序在桌面上绘图,这一点可能会被用来欺骗用户,采用为恶意软件授予管理权限的方式来与提升的应用程序交互。

同时,Windows 完整性机制也不能跨网络应用。

采用 PA 帐户运行的标准用户应用程序将能访问 PA 帐户具有管理权限的远程系统上的系统资源。