漂亮的Vista WMP11
你可能觉得,这是一套相当安全并且方便的机制,因为只要在登录系统的时候输入一次用户名和密码,就可以在整个登录过程中直接执行任何具有权限的操作。同时只要保护好SAM数据库,也就不用担心系统的安全问题。然而事实远非如此,这样的做法虽然方便,不过却相当不安全。
我们可以考虑这样的情况:使用管理员账户登录系统后,我们运行的任何程序自然也将具有管理员权限。如果我们不小心运行了网上下载的含有恶意程序的文件会怎样?恶意程序在运行的时候会使用当前用户的访问凭据,也就是说程序的进程也具有了管理员权限,进而该进程可以对系统进行任何操作。意识到其中包含的风险了吧。
所以很多介绍系统安全的文章都会建议,平时使用计算机的时候最好不要用管理员账户登录,而是用权限小一些的账户,只有在偶尔需要进行维护或者其他必要操作的时候才使用管理员账户,或者直接使用Runas命令。这样才能保证系统安全。
进程显示
启用该功能之后,Vista实际上自动运行在一个被减少了很多特权的安全级别上。如果因为某些操作,系统需要更高的权限,就会显示一个对话框,并要你输入密码。这个密码只能用于发起这次请求的操作,随后你进行的其他操作,哪怕是由此前的操作导致的额外操作,全部都是以最低的权限运行的。
默认情况下UAP是被禁用的,要启用该功能,在开始菜单中点击“All Programs(所有程序)”,然后点击“Turn UAP settings On or Off(打开或关闭UAP)”,你将能看到图2所示界面,点击Yes按钮即可打开UAP,随后我们需要注销并重新登录。
试试看更改一下系统设置吧,例如随便打开控制面板中任何一个控制程序,你都将会看到图3所示的对话框,要求你输入管理员用户的密码。
弹出警告框
需要输入管理员密码
有人担心这个功能在启用后会不会造成使用上的不便,其实担心是没必要的,UAP只是一种保护,而不是单纯的限制。假设我们已经启用了UAP功能,并要执行某个需要一定特权才能执行的操作,例如修改注册表,那么可能有两种情况:如果当前登录的账户已经有了修改注册表的权限,那么Vista会弹出一个对话框,询问用户是否继续该操作,用户可以作出选择;如果当前登录的用户没有修改注册表的权限,Vista会弹出一个对话框,告知用户这一情况,并允许用户输入一个具有相应权限的账户的用户名和密码,验证成功后一样可以进行操作。
选择项
UAP是个相当好的改进,在保持了易用性的同时又增强了安全性,建议每个用户都使用。然而该功能最大的一个不足就是和现有程序的兼容问题,因为UAP是Vista中一个新增的功能,因此有些老程序(尤其是工作在系统底层的程序,例如老版本的杀毒软件、防火墙、备份软件等)在启用UAP后可能无法正常工作,或者存在问题。
例如我们安装的McAfee VirusScan Enterprise 8,虽然并没有针对Vista进行优化,不过在默认设置下完全可以在Vista中安装和使用。但是启用UAP之后却有个小问题,不管用什么账户登录系统(包括管理员和来宾),当McAfee杀毒软件启动的时候都需要用户输入具有管理员权限的用户密码。
其实仔细想想,这也是不可避免的,毕竟Vista太新了,大部分程序在设计的时候并没有考虑过这些新特性。不过这个问题并不严重,毕竟以微软在个人电脑操作系统领域的绝对统治地位来说,软件开发商如果不能及时发布适应新版操作系统的应用程序,那必定会被用户所抛弃;相反,如果能紧跟微软脚步,在第一时间推出能够用在微软最新操作系统上的应用程序,那则会大获成功。
因此可以肯定,当Vista正式发布之后,相应的应用程序都会在第一时间里发布针对Vista设计的新版本,或者为老版本提供补丁程序。
编后:Vista中新增的或者改进的安全功能当然不止如此,其他诸如验证方式、防恶意软件、网络访问保护、防火墙、Windows服务加固、增强的IE,以及数据保护等功能无不令Vista更加安全。虽然这些功能目前可能还不够完善,甚至有些还处于开发阶段,本报会在以后的文章中向大家详细介绍这些内容。