UAC是什么？

UAC的全稱(chēng)是User Account Control（用戶(hù)賬戶(hù)控制），它是Windows Vista提供的一個(gè)安全特性。它會(huì)在用戶(hù)使用計(jì)算機(jī)進(jìn)行更改系統(tǒng)設(shè)置或者安裝軟件等會(huì)影響到系統(tǒng)安全性、穩(wěn)定性的操作時(shí)彈出一個(gè)對(duì)話框，友善的提示用戶(hù)他們要進(jìn)行的操作。

當(dāng)用戶(hù)使用Windows Vista時(shí)，默認(rèn)是啟用UAC的。無(wú)論用戶(hù)以什么身份登錄Windows Vista計(jì)算機(jī)，即使他以管理員的身份登錄計(jì)算機(jī)，都只具有普通用戶(hù)的權(quán)限。當(dāng)用戶(hù)執(zhí)行一些安裝操作或者設(shè)置操作時(shí)，Vista系統(tǒng)會(huì)彈出一個(gè)對(duì)話框，提示用戶(hù)他們要進(jìn)行的操作。在這個(gè)過(guò)程中，如果您使用的是管理員的賬號(hào)登錄Windows Vista，那么只需要點(diǎn)擊“Continue”或者“Allow”就可以繼續(xù)進(jìn)行操作了。點(diǎn)擊的時(shí)候，UAC進(jìn)行了一次權(quán)限的提升，這時(shí)管理員才是真正具有了管理員的權(quán)限。如果是以普通用戶(hù)登錄計(jì)算機(jī)，當(dāng)他們執(zhí)行這樣的操作時(shí)，Windows Vista會(huì)彈出一個(gè)對(duì)話框，讓這個(gè)普通用戶(hù)輸入一個(gè)管理員的賬號(hào)和密碼。而在以前的Xp系統(tǒng)中，如果我們是普通用戶(hù)，我們就不可能進(jìn)行這樣的操作，但是在Vista中它也提供了這樣的操作，只是你必須知道管理員的賬號(hào)和密碼。

這個(gè)功能可以人為的禁用和開(kāi)啟嗎？

是可以的，Windows Vista是提供了相關(guān)的工具的。

方法一：msconfig.exe 工具

在開(kāi)始菜單->運(yùn)行->輸入"msconfig" 回車(chē)。就會(huì)啟動(dòng)msconfig。點(diǎn)擊Tools 標(biāo)簽，如圖：

msconfig提供了啟用、禁用UAC功能的兩個(gè)選項(xiàng)，選中，然后點(diǎn)擊Launch按鈕，就設(shè)定成功了。啟用新的設(shè)置需要重新啟動(dòng)計(jì)算機(jī)。

其實(shí)我們可以從該工具執(zhí)行的命令中，可以看出是通過(guò)設(shè)定注冊(cè)表來(lái)實(shí)現(xiàn)UAC功能的啟用和禁用的。

C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f

在注冊(cè)表的HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 下EnableLUA  鍵是用來(lái)控制UAC功能的啟用和暫停，1代表啟用UAC功能；0代表禁用UAC功能。這也就不難解釋為什么修改UAC設(shè)定后，需要重新啟動(dòng)計(jì)算機(jī)了。

本地安全策略的相關(guān)設(shè)定：

在開(kāi)始菜單->運(yùn)行->輸入"secpol.msc" 啟動(dòng)本地安全策略控制臺(tái)。在"本地安全策略"(Local Policies)節(jié)點(diǎn)下"安全選項(xiàng)"(Security Option)子節(jié)點(diǎn)中有9個(gè)UAC相關(guān)的策略。

編程相關(guān)

如果您編寫(xiě)的程序需要較高的權(quán)限運(yùn)行，可以為您程序創(chuàng)建一個(gè)manifest文件。在manifest文件中加入需要提升權(quán)限的描述：

<xml version="1.0" encoding="utf-8">
 <asmv1:assembly manifestVersion="1.0" xmlns="urn:schemas-microsoft-com:asm.v1" xmlns:asmv1="urn:schemas-microsoft-com:asm.v1" xmlns:asmv2="urn:schemas-microsoft-com:asm.v2" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
   <assemblyIdentity version="1.0.0.0" name="DemoUACApp.app"/>
   <trustInfo xmlns="urn:schemas-microsoft-com:asm.v2">
     <security>
       <requestedPrivileges xmlns="urn:schemas-microsoft-com:asm.v3">
         <requestedExecutionLevel  level="requireAdministrator"/>
       </requestedPrivileges>
     </security>
  </trustInfo>
</asmv1:assembly>

這樣，編譯后的程序圖標(biāo)上就會(huì)出現(xiàn)那個(gè)小盾牌了。我做了一個(gè)實(shí)驗(yàn)，嘗試用程序在系統(tǒng)盤(pán)的Program Files文件夾下創(chuàng)建一個(gè)子文件夾，并在該文件夾中創(chuàng)建一個(gè)普通的文本文件。

實(shí)驗(yàn)結(jié)果如下：

1) 在app.manifest文件中配置了提升權(quán)限的選項(xiàng)。以普通賬戶(hù)運(yùn)行程序，出現(xiàn)安全提示詢(xún)問(wèn)是否運(yùn)行。點(diǎn)擊"允許"后，程序能夠正常運(yùn)行。通過(guò)資源瀏覽器發(fā)現(xiàn)Program Files文件夾下新創(chuàng)建的文件夾和文件都存在。符合預(yù)期。

2) 刪除app.manifest文件，重新編譯程序。以普通賬戶(hù)運(yùn)行程序，未見(jiàn)安全提示。發(fā)現(xiàn)程序仍然能夠正常運(yùn)行。但程序新創(chuàng)建的文件夾和文件在資源瀏覽器中不可見(jiàn)，通過(guò)代碼仍然能夠正常讀取新建的文件夾和文件。有點(diǎn)兒出乎意外的說(shuō)。

既然通過(guò)代碼能夠正常讀取，說(shuō)明文件確實(shí)在硬盤(pán)上存在。使用Administrator賬戶(hù)登錄，發(fā)現(xiàn)以Administrator身份瀏覽文件夾時(shí)新創(chuàng)建的文件和文件夾可見(jiàn)。這就有點(diǎn)兒怪了，呵呵。Debug了一下代碼，暫未發(fā)現(xiàn)在哪部分代碼中進(jìn)行了提權(quán)操作。但是，這提示我們?nèi)绻诰幊虝r(shí)不注意UAC問(wèn)題，有可能會(huì)造成未知結(jié)果。

小貼士

其實(shí)，對(duì)于開(kāi)發(fā)人員來(lái)說(shuō)，在Vista下UAC造成的最多的"小麻煩"就是使用Visual Studio 創(chuàng)建Web應(yīng)用(包括WebApp和WebService)時(shí)一定要記得"Run as Administrator"，否則會(huì)因?yàn)闄?quán)限不夠而創(chuàng)建工程失敗。或是使用Sql Management Studio Express時(shí)因忘了"Run as Administrator"而連不上SQL Server的服務(wù)。

您可以打開(kāi)程序快捷方式的屬性對(duì)話框，在"快捷方式"標(biāo)簽下有一個(gè)"高級(jí)按鈕"，打開(kāi)后，勾選"Run as Administrator"選項(xiàng)，保存。這樣您就可以每次使用鼠標(biāo)左鍵單擊打開(kāi)您的Visual Studio創(chuàng)建您的Web應(yīng)用了。只是每次的"允許"動(dòng)作依然要有。如圖：

感受

UAC總的來(lái)說(shuō)，想法不錯(cuò)。但是，這是建立在用戶(hù)的"火眼金睛"的基礎(chǔ)上的。MS不能要求所有的用戶(hù)都是程序員、ITPro的水平吧？對(duì)于程序員、ITPro來(lái)說(shuō)，Run as Administrator也許是一個(gè)警告，但又有幾個(gè)普通用戶(hù)看得懂呢？我個(gè)人感覺(jué)，這個(gè)UAC對(duì)前幾年那種冒用MS名義發(fā)出的打Hotfix的欺騙郵件形式的入侵，還是一點(diǎn)兒作用不起。打Hotfix，就要?jiǎng)酉到y(tǒng)文件，需要Administrator權(quán)限也理所應(yīng)當(dāng)。可一旦給了安裝程序管理員權(quán)限，機(jī)器照樣還是后門(mén)大開(kāi)……

最新評(píng)論