Microsoft Windows Vista安全改进白皮书

　　安全访问

　　用户帐户控制

　　采用以前的 Windows 版本，多数用户帐户被配置为本地管理员群组的一部分，并赋予用户安装和配置应用、运行某些后台系统任务和设备驱动程序、更改系统配置、以及执行众多基本维护任务所需的全部系统权限和能力。

　　尽管这种方法方便了用户，但却使得计算机和网络更容易受到恶意软件的攻击。恶意软件可能会滥用这些权限来损坏文件、更改配置（如禁用防火墙）、以及泄漏敏感数据。同时，由于用户进行未经批准或意外的变更可能中断网络和增加各机器的管理难度，因此还会导致公司台式机的维护成本增加。尽管可以在具有有限用户权限的向下锁定配置中部署 Windows 帐户，但是这会严重影响工作效率。许多基本任务，例如调整时钟、连接安全无线网络或安装打印机驱动程序等，仍需要管理员权限。

　　为解决这一问题，Windows Vista 采用了用户帐户控制（UAC）。这是一种新方法，将标准用户权限和活动与那些要求管理员权限的活动相分离，从而可减少对操作系统的攻击面，同时保证典型用户获得日常所需的大部分能力。

　　UAC 的优势主要体现在两个方面：第一，它重新定义了标准用户可以做什么，增加了许多不会造成安全风险而以前需要管理权限的基本功能。为了使用户在执行有限管理任务时不会受到中断影响，标准用户帐户提供了更多的能力来支持这些任务，例如更改时区或功率管理设置、安装新字体或添加打印机等。

　　当标准用户试图执行诸如安装新应用或更改特定系统设置等需要管理权限的任务时，系统会提示用户输入管理员密码。（IT 管理员还可以选择“向下锁定”公司台式机，配置政策设置来防止系统要求用户输入管理员密码，从而预防未授权的管理操作。）UAC 的这一功能有助于降低普通用户的风险。

　　第二，UAC 通过管理权限可加强用户帐户的安全性，缺省设置限制访问敏感系统资源和功能，并在执行需要较高权限的管理任务时提示用户通过批准。

　　如果管理员除了执行管理职责外，还要执行收发电子邮件或使用网络等日常任务，则需要增加额外的控制，以确保在真正必要时应用管理权限。缺省设置中管理员帐户将运行于管理员批准模式下，大多数程序的运行只需标准用户权限，当 用户需要执行要求管理权限的任务时，系统将提示用户事先获得许可。系统管理员还可以配置系统，请求执行此类需较高权限任务的管理员密码。

　　Windows Vista 用户界面具有诸多改进特性，使用户更易于辨别哪些活动要求管理员权限，包括描述所申请的操作和使用防护图标标记管理操作。

　　UAC 还可帮助有孩子的家庭保护电脑防御恶意软件攻击，这些恶意软件可能隐藏在吸引孩子的程序中。父母可以给每个孩子一个带有标准权限的帐户，并要求在孩子安装任何软件前必须由大人输入管理密码。这可以有效补充 Windows Vista 中其它限制孩子活动的父母监控特性，包括网站“黑名单”和“白名单”，以限制访问暴力游戏、留出每天执行游戏或其它活动的时间段。

　　UAC 致力于使现有应用无需更改即可运行，同时还提供了一款平台以使用户应用在一般使用情况下无需提供管理权限。由于许多以前编写的应用都假定用户拥有管理权限，因此微软允许这些应用在标准用户权限下运行于 Windows Vista 中。

　　例如，为了帮助早期应用正常工作，Windows Vista 具有文件系统和注册虚拟化，可将写入（和随后的读取）从受保护区域重新导向用户简档中的内部位置，从而使应用可以正常运行而不会影响其它用户的资源或整体系统。这样，应用不会访问需要管理权限的界面或资源，从而可降低安全风险。

　　同时，微软还提供了一系列工具、技术和资源，可帮助开发人员编写能在 UAC 环境下工作的新代码。例如，微软提供一种标准用户分析器工具，帮助确定具有标准权限的用户能否正常执行应用。

　　此外，微软还通过 MSDN® 提供资源，来帮助开发人员使软件适应这种新模式。

　　通过社区技术预览版（Community Technology Preview）程序，向 Windows Vista beta 用户提供 UAC 功能，微软收到了许多宝贵的反馈意见，并对 Windows Vista Beta 2 中的 UAC提供了进一步改进，其中包括：

　　• 进一步减少需要管理员权限的控制面板程序的数量，包括鼠标和键盘、红外线和蓝牙。

　　• 消除任务管理器使用管理员权限才能运行的需要。

　　• 对数百种旧应用进行修改，使其无需输入管理员密码即可运行。

　　• 更改新硬件向导，使其不会在每次运行时自动提示输入管理员密码。

　　UAC 对话框还进行了重新设计，因此可以更明确地说明哪个程序需要管理权限，而且他们还使其更易于识别会对系统造成潜在风险的程序。在 Windows Vista 最终版及更高版推出前，微软将会根据客户提供的反馈意见，不断增强 UAC 体验并取消不必要的对话框。

　　根据客户的反馈意见，调整 Windows Vista post-Beta 2 版本（即 Release Candidate 1）中出现的提示数量。该版本有望比 Beta 2 进一步减少输入的权限密码提示。例如，微软期望在用户删除公共台式机上的图标时，取消要求用户获得许可的提示；而当用户要求 Windows Update 进行重要更新时则出现此提示。在整个测试循环的其余部分，需要提示的操作和应用数量将会进一步减少。（有关 UAC 的更多信息可在以下网站找到：https://www.microsoft.com/technet/windowsvista/security/uacppr.mspx。）

　　全新登录体系结构

　　许多机构和软件厂商都选择为密码或智能卡补充额外的身份验证要素，例如生物统计学或一次性密码令牌。在以前的 Windows 版本中，实施这些要素通常需要开发人员重新编写图形识别与验证（GINA）界面。对于使用这些方法的公司而言，有时极为困难和昂贵。此外，还不可能同时使用多种 GINA。

　　尽管仍然支持密码，但 Windows Vista 中强认证的主要核心是智能卡。也就是说，登录体系结构已被完全重写，以便扩展用于新证件类型。支持新证件类型要求创建新的证件提供商，Windows 登录用户界面可与多个证件提供商同时进行交互，以使用不同的身份验证方法，其中包括第三方证件提供商带来的生物统计法和令牌。通过选择可用身份验证方法的最佳组件，不仅可以增强客户的安全性，而且还有助于开发人员在现在体系结构中轻松实施未来的身份验证方法。

　　全新体系结构还支持证件提供商以事件为导向，并整合到整个用户体验中。例如，在 Windows 登录屏幕，用于实施指纹身份验证模式的同一代码可用于提示用户在访问特殊公司资源时输入指纹。使用新证件用户界面 API 的应用还可利用此同一提示。

　　除了上述安全优势外，新体系结构还可提高整体系统可靠性和稳定性，因为对于登录过程至关重要的几项功能已经移至 Windows Vista 系统中的不同程序中。

　　更简单的智能卡部署

　　许多机构都使用智能卡代替密码来作为其首选的双重验证方法，从而进一步增强安全性。自 Windows 2000 起，微软还为智能卡提供了本机操作系统支持。然而，以前的 Windows 版本要求 IT 管理员部署和维护额外的组件，以支持其智能卡基础设施，例如加密模块和卡读取器通信支持。

　　为了简化智能卡的部署和维护，Windows Vista 对智能卡基础设施进行了全新改进，以创造一种更简单、更安全、更少出错的模式。通用的加密服务提供商（CSP）可实施软硬件开发人员需要的所有标准后端加密功能。此外，集成的第三方卡模块还可以更轻松地快速部署智能卡解决方案，并支持 CSP 与智能卡基础设施其它组件之间的安全、可预测通信。

　　除了这些基础设施改变外，微软还与合作伙伴社区密切合作，确保多数主要智能卡厂商熟悉这一全新体系结构，并为 Windows Vista 开发卡模块。这项工作包括验证卡模块质量的过程，并且最终将通过 Windows Update 提供这些卡模块。该计划将为客户的智能卡部署提供更出色的质量和易用性。

　　这些增强特性可使 Windows Vista 中的智能卡基础设施获得进一步改进，包括改进 Kerberos 身份验证协议，减少智能卡用户在访问特定资源时有时需要重新输入密码的要求。

(责任编辑：韩建光)