最新，我們發現了一些Windows Vista中的用戶帳號控制(UAC)的缺陷所在。其中一個就是:UAC可以很輕易地完全關閉它!

在先前一篇文章中，David Flynn提到了一個叫做TweakVista的工具，并還提到了該工具的一個功能就是可以修改UAC的行為，并完全關閉它。

這些修改工具通常僅僅是動用了系統注冊表，動態修改字符串和DWORD。并且，這些工具中的大多數是在本地組和安全系統政策下工作的。所有換句話說，如果了解注冊表，那么你就可以修改任何你所希望修改的。

我們對TweakVista所擔心的是其中的完全關閉UAC功能。根據就沒有一個提示框去詢問操作者是否真的希望去這樣去--它僅僅是簡單的一帶而過。

所有我質問微軟的一個問題就是:如果UAC是用來幫助用戶免除惡意程序和他們自己的錯誤選擇帶來危險的話，那么如果一個善意應用程序，如TweakVista可以在這里可以徑直跳過它，并在Vista休眠狀態夏進行任何操作，那么這個功能又有什么作用?至少我們這些用戶不知道發生了什么事情。

到底什么來阻止一個惡意軟件--比如一個下載的“免費游戲”--在安裝過程中通過用戶的UAC的認證，并進入注冊表，禁用UAC呢?

這是來自微軟的回復:

“如果一個應用程序需要管理員特權，例如Tweak Vista，用戶訪問控制(UAC)將會產生一個提示。如果得到用戶的許可，UAC將提升應用程序到一個更好的完全(管理員級別)的層面，并將只允許應用程序的內部內容的訪問特權的出現。在應用程序被允許運行值錢，UAC提示需要用戶提供一個授權許可。UAC只是Vista深入安全特性的一個防御組件之一。這些是Vista 的所有安全特性--UAC，IE7.防火墻，Defender，MIC，SID和CI---這些將防止用戶在無意中許可了惡意程序的運行。微軟建議用戶以標準用戶的權限使用操作系統，那樣在以管理員權限運行應用程序的時候將會更加安全。”

這真的一點也不令人吃驚。它驗證了我們對UAC的質疑--這對于標準用戶來說非常有用，但總的來說對于最高級別用戶、管理員們一點也沒用。如果你不得不授予一個安裝程序管理員特權，那樣，該程序可以恣意妄為，UAC根本就無法保護你的系統了。

標準用戶處于不同的位置，當UAC提示他們進行操作確認的時候，他們不得輸入一個管理帳號和密碼。這樣(假想他們不知道密碼)，用戶才真正受到了保護。

唯一的缺陷就是獲得全部的管理權限(尤其在文件系統水平)，UAC不得不被禁用。這意味著標準用戶將得不到保護。對于家庭用戶這可能根本不是個事，但是對于每臺機器上都有管理員和普通用戶的商業用機器來說，這可能將意味著需要做更多的工作才能使一切正常。珍惜希望用戶們能使UAC物超所值。

---鴿子譯自APC Magazine