none
刚升级到win7,对用户权限的疑问 RRS feed

  • 问题

  • 最近刚刚升级到win7,对uac的设置稍微研究了一下,不过由于本人一直使用comodo防火墙,而且在之前使用xp的时候也是使用受限帐户进行日常应用,需要的时候临时提高权限到管理员,以此来避免很多程序对注册表和系统文件的修改。(比如很多下载软件经常要改变某些文件类型的打开方式,如果使用受限帐户打开程序,同时辅以comodo对注册表键值修改的拦截来阻止就可有效避免注册表被修改;就算临时提升到管理员权限运行,也有comodo来进行注册表和系统文件修改的限制)

    后来看了一些win7的uac介绍,发现其原理基本上和xp下建立一个受限帐户的原理类似。

    那么如果我现在在win7下关闭uac的前提下,建立一个标准帐户进行日常应用,只在需要的时候提升权限到管理员权限,同时辅以comodo对系统的细节控制,是不是不错的选择呢?

    或者说,排除comodo的因素,我的意思是其实在关闭uac的基础上只在标准帐户下进行操作,需要的时候以管理员帐户运行程序是不是就可以代替单独管理员帐户使用下本来频繁弹出的uac提示并达到同样的安全效果呢?

    2011年10月29日 2:37

答案

  • 不過, 如果臨時需要在標準用戶下運行管理員權限的程序. 那麼通過 UAC 提權要較 runas 等方式更安全, 因為 UAC 默認設置下存在安全桌面功能使得惡意程序難以截獲管理員密碼, 再加上其默認的外觀設置也對提高安全有所裨益, 而 runas 則沒有這方面保護措施, 再加上在通過 runas 輸入密碼時, 可能存在其他程序突然彈出情況的發生, 從而導致 runas 進程被中斷, 進而使得輸入密碼直接作為命令顯示在命令行, 如果密碼較為簡單或比較有規律, 那麼在公共場合中遇到這種情況, 可能導致密碼洩露. 

    最重要的一點是, 在 Windows Vista/7 的標準用戶下,  即便 UAC 提醒等級為最高, 只要你沒有涉及到調整系統關鍵設置, 安裝軟件, 不運行某些實時監控軟件, 那麼在一天之中 UAC 的提醒次數趨近於零.

    簡而言之,  就是 UAC 提醒次數根本不頻繁! 那些說 UAC 擾人的, 要不他們用的受限管理員賬戶, 要不就是人云亦云, 信口開河!

    對於這點你可以親自試試.

    所以我個人建議還是建議開啟 UAC 為宜.


    Folding@Home
    2011年10月29日 8:25

全部回复

  • 可以的,UAC 设计的主要初衷就是 Windows XP 及以前,大多数人都使用管理员帐户,因此 UAC 主要针对 Windows 7/Vista 的自建管理员帐户进行权限限制,而受限帐户本身存在的限制也没有放宽。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "mmmshin"
     
    最近刚刚升级到win7,对uac的设置稍微研究了一下,不过由于本人一直使用comodo防火墙,而且在之前使用xp的时候也是使用受限帐户进行日常应用,需要的时候临时提高权限到管理员,
     
     
    2011年10月29日 3:36
  • 谢谢,现在也正在尝试用这样的方法替代uac机制,或者说延续以前的做法。

    之前旁顾周围很多装上xp的人都用administrator登录的情况,总觉得自己还用个受限账户比较另类。

    不过在使用过程中确实遇到了比如tx相关软件由于用了统一的某些加密程序导致多用户登录不便的情况,如果windows系统能便捷的实现虚拟系统的方式就很容易解决了。

    2011年10月29日 8:00
  • 不過, 如果臨時需要在標準用戶下運行管理員權限的程序. 那麼通過 UAC 提權要較 runas 等方式更安全, 因為 UAC 默認設置下存在安全桌面功能使得惡意程序難以截獲管理員密碼, 再加上其默認的外觀設置也對提高安全有所裨益, 而 runas 則沒有這方面保護措施, 再加上在通過 runas 輸入密碼時, 可能存在其他程序突然彈出情況的發生, 從而導致 runas 進程被中斷, 進而使得輸入密碼直接作為命令顯示在命令行, 如果密碼較為簡單或比較有規律, 那麼在公共場合中遇到這種情況, 可能導致密碼洩露. 

    最重要的一點是, 在 Windows Vista/7 的標準用戶下,  即便 UAC 提醒等級為最高, 只要你沒有涉及到調整系統關鍵設置, 安裝軟件, 不運行某些實時監控軟件, 那麼在一天之中 UAC 的提醒次數趨近於零.

    簡而言之,  就是 UAC 提醒次數根本不頻繁! 那些說 UAC 擾人的, 要不他們用的受限管理員賬戶, 要不就是人云亦云, 信口開河!

    對於這點你可以親自試試.

    所以我個人建議還是建議開啟 UAC 為宜.


    Folding@Home
    2011年10月29日 8:25
  • “比如tx相关软件由于用了统一的某些加密程序导致多用户登录不便的情况”
     
    没太看明白,这与权限有何关系?
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "mmmshin"
     
    谢谢,现在也正在尝试用这样的方法替代uac机制,或者说延续以前的做法。不过在使用过程中确实遇到了比如tx相关软件由于用了统一的某些加密程序导?露嘤没У锹疾槐愕那榭觯?
     
     
    2011年10月30日 2:15