UAP/LUA可以說是Windows Vista愛好者常談的內(nèi)容了，陳宇講師先闡述了Windows前期版本的管理員與用戶中的權(quán)限區(qū)別，以其造成的不便，例如不安全的程序，誤操作和管理的問題來對比Windows Vista中的UAP/LUA--新的身份權(quán)限控制管理。今天的講演通俗易懂，原本晦澀的權(quán)限概念被解釋得非常清楚。不過講師也承認(rèn)，Windows Vista在運(yùn)行現(xiàn)有，特別是9x平臺的程序?qū)]有很理想的表現(xiàn)，因?yàn)樗鼘芾韱T權(quán)限實(shí)在是太依賴了，但是Vista的虛擬區(qū)域?qū)鉀Q這個(gè)問題，建議大家了解。

UAP/LUA中的用戶被定義為普通用戶和管理員用戶，在管理員用戶中，引入了一個(gè)'受保護(hù)的管理員用戶'概念，在這種模式下，正常運(yùn)行時(shí)和普通用戶并無區(qū)別，但在有需要時(shí)，可以升級到擁有足夠權(quán)限的用戶模式(例如安裝程序)，這一切都是用戶自行控制的，可自定義的。

在Windows Vista中，任何用戶登錄都將以最小權(quán)限進(jìn)行，LUA會根據(jù)最大權(quán)限來即時(shí)提升權(quán)限，當(dāng)兩個(gè)程序同時(shí)運(yùn)行于系統(tǒng)時(shí)，普通用戶的進(jìn)程列表中不包含管理員的進(jìn)程，這可以避免相互攻擊。

Windows Vista去除了大量無用的管理員權(quán)限檢查，讓大部分程序都可以以最小模式正常運(yùn)行。任何新建的帳號在沒有賦予權(quán)限之前，都是最小權(quán)限的缺省用戶類型(包括管理員在登錄的時(shí)候都是這樣，這一切都是動態(tài)的).這樣減少了其余軟件和程序的漏洞被人利用發(fā)起對系統(tǒng)破壞的可能。

在提升權(quán)限的時(shí)候，受保護(hù)管理員用戶將接到三種不同方式:對話框，密碼提示，安全組合鍵的升級方式獲得必要的權(quán)限。管理員也可以自定義程序是否需要提升管理員權(quán)限才可以運(yùn)行.但在通常情況下，Windows Vista已經(jīng)提供了相當(dāng)數(shù)量的規(guī)則。

Windows UI 設(shè)置這個(gè)角落也可以完美地被管理員加鎖，和前期的Windows不一樣，普通用戶對于系統(tǒng)工具是只讀的，除非升級到足夠權(quán)限，否則要對系統(tǒng)做操作就將非常困難(甚至連修改系統(tǒng)時(shí)間，沒有權(quán)限也是一件不可能的事情，系統(tǒng)時(shí)間對于整個(gè)系統(tǒng)服務(wù)特別是數(shù)據(jù)庫來說，實(shí)在是太重要了)。前面提過，Windows Vista可能無法很好地兼容現(xiàn)有和早期軟件，但是Windows Vista會有一個(gè)虛擬化概念，將讀取的數(shù)據(jù)(僅僅是數(shù)據(jù)，對DLL和EXE)隔離到虛擬存儲區(qū)，程序的最大影響也僅限于LUA進(jìn)程，對擁有管理員權(quán)限的程序是不起作用的.這僅僅是一個(gè)過渡化方案，在下一個(gè)版本中將會Cut掉這個(gè)技術(shù).LUA最少權(quán)限用戶進(jìn)程和管理員進(jìn)程在同一個(gè)桌面運(yùn)行，有著相同的SID，這樣就可以相互讀取，調(diào)用同一個(gè)API，難以避免線程注入.這是非常危險(xiǎn)的，微軟給出的解決方案還是同一個(gè)概念:進(jìn)程分級別，從下往上，低級別無法讀取高級別.這樣，即時(shí)是惡意軟件也無法逃過進(jìn)程級別的驗(yàn)證，能進(jìn)入系統(tǒng)，卻無法造成破壞.