1. 首頁 > 云知道 > >

圖 微軟Vista操作系統賬戶保護機制初探( 二 )

云知道



雖然我們可以在平時使用權限低的用戶名登錄,但在需要執行特定操作的時候使用runas命令,不過這還是有些麻煩,同時需要進行的額外操作也太多 。為了解決這一問題,Vista中提供了UAP功能 。

在介紹這個功能之前,我們先了解一下Windows中的各種權限是如何控制的 。這部分主要以單機或工作組環境下的Windows XP Professional為例,同時也適用于Windows 2000/2003,不適用于Windows 98 。
系統安裝好后,所有用戶的憑據信息(也就是用戶名和密碼)都被保存在本地SAM(Security Accounts Manager,安全賬戶管理器)數據庫中 。當用戶登錄系統時,首先要輸入用戶名和密碼,這些信息由winlogon進程獲取,并由LSA(Local Security Authority,本地安全驗證)子系統提交到SAM數據庫中驗證 。

如果SAM數據庫中有符合條件的記錄,那么LSA子系統就會生成一個訪問令牌(Access Token),并傳遞給用戶 。當該用戶需要運行程序或訪問資源的時候,系統首先會在用戶持有的訪問令牌中查找相應的權限信息,然后和想要進行的操作所需要具有的權限進行比較,如果權限足夠,那么就可以進行操作;反之操作則會被禁止 。

以運行程序為例,當我們試圖啟動一個程序的時候,系統會使用我們的訪問令牌來啟動程序,這樣被啟動的程序就擁有了和令牌所有者一樣的權限 。為了證實這一點,我們可以打開Windows任務管理器的進程選項卡 。該選項卡下列出了當前系統中的所有進程,每個進程在“用戶名”一欄就顯示了該進程的“身份” 。

以圖1中的幾個進程為例,csrss.exe是系統進程,因此用戶名一欄顯示的是“SYSTEM”;emeditor.exe是當前登錄用戶啟動的程序,因此用戶名一欄顯示的是當前用戶的用戶名;emule.exe雖然也是當前用戶啟動的,不過在啟動的時候使用了Runas命令,因此看起來該程序就好像其他用戶啟動的 。當然,因為這三個進程使用了不同的訪問令牌(也就是用戶身份),那么這三個程序的權限也就會有所不同 。


啟用該功能之后,Vista實際上自動運行在一個被減少了很多特權的安全級別上 。如果因為某些操作,系統需要更高的權限,就會顯示一個對話框,并要你輸入密碼 。這個密碼只能用于發起這次請求的操作,隨后你進行的其他操作,哪怕是由此前的操作導致的額外操作,全部都是以最低的權限運行的 。

默認情況下UAP是被禁用的,要啟用該功能,在開始菜單中點擊“All Programs(所有程序)”,然后點擊“Turn UAP settings On or Off(打開或關閉UAP)”,你將能看到圖2所示界面,點擊Yes按鈕即可打開UAP,隨后我們需要注銷并重新登錄 。

試試看更改一下系統設置吧,例如隨便打開控制面板中任何一個控制程序,你都將會看到圖3所示的對話框,要求你輸入管理員用戶的密碼 。

彈出警告框

需要輸入管理員密碼
有人擔心這個功能在啟用后會不會造成使用上的不便,其實擔心是沒必要的,UAP只是一種保護,而不是單純的限制 。假設我們已經啟用了UAP功能,并要執行某個需要一定特權才能執行的操作,例如修改注冊表,那么可能有兩種情況:如果當前登錄的賬戶已經有了修改注冊表的權限,那么Vista會彈出一個對話框,詢問用戶是否繼續該操作,用戶可以作出選擇;如果當前登錄的用戶沒有修改注冊表的權限,Vista會彈出一個對話框,告知用戶這一情況,并允許用戶輸入一個具有相應權限的賬戶的用戶名和密碼,驗證成功后一樣可以進行操作 。
如果你覺得這樣還不夠直觀,也可以通過編輯注冊表打開UAP的另一個界面 。在注冊表編輯器中定位到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurre

推薦閱讀