原理介绍

机能原则

UAC

当需要权限或密码才能完成任务时，UAC 会用下列消息之一警告用户（以下图例均没有启动安全桌面）：

windows需要您的许可才能继续：可能会影响本计算机其他用户的 Windows 功能或程序需要您的许可才能启动。请检查操作的名称以确保它正是您要运行的功能或程序。

程序需要您的许可才能继续：不属于Windows的一部分的程序需要您的许可才能启动。它具有指明其名称和发行者的有效的数字签名，该数字签名可以帮助确保该程序正是其所声明的程序。确保该程序正是您要运行的程序。

未能识别的程序是指没有其发行者所提供用于确保该程序正是其所声明程序的有效数字签名的程序。这不一定表明有危险，因为许多旧的合法程序缺少签名。但是，应该特别注意并且仅当其获取自可信任的来源（例如原装 CD 或发行者网站）时允许此程序运行。

程序阻止

这是管理员专门阻止在您的计算机上运行的程序。若要运行此程序，必须与管理员联系并且要求解除阻止此程序。

建议您大多数情况下使用标准用户帐户登录计算机。可以浏览Internet，发送电子邮件，使用字处理器，所有这些都不需要管理员帐户。当您要执行管理任务（如安装新程序或更改会影响其他用户的设置）时，不必切换到管理员帐户。在执行该任务之前，Windows会提示您进行许可或提供管理员密码。

为了帮助保护计算机，可以为共享该计算机的所有用户创建标准用户帐户。当拥有标准帐户的人试图安装软件时，Windows 会要求输入管理员帐户的密码，以便在您不知情和未经您许可的情况下无法安装软件。

UAC(User Agent Client) 用户代理客户端

UAC(USB Audio Class)USB音频类，是USB众多设备类中的一种。

重要意义

当UAC横空出世后，pc中几乎所有的进程与运行的 程序都可以被拦截，尤其对那些试图使用 管理员权限自动安装或自动运行的程序有显着的效果。

Windows Vista还带来了很多其它的安全特性。Windows 防火墙的升级版可以对出站和入站连接进行管理。而以往版本的Windows 防火墙只能对入站连接进行管理，这意味着有可能在用户毫不知情的情况下成为攻击其它计算机的DDoS攻击者中的一员。另外，Windows Defender可以免费提供对常见 恶意软件的防护。

同时自动更新也应当被包含在安全组合中，虽然它不象前面提到的那些安全 程序，但对于系统安全而言仍是必不可少的组成部分。 微软每个月都会通过Windows Update对自己或其它研究机构发现的 漏洞进行定期修补。

想在一台没有安装防病毒软件的机器上和病毒交锋，那么几乎所有的重担都将落在UAC的头上。既没有防病毒软件也没有UAC的机器可以被病毒无声无息的轻易攻破。

病毒可以通过 电子邮件（如果用户运行包含病毒的附件）或其它 程序感染电脑。一个非常有效的途径就是不法分子将商业软件破解(如“warez”)后植入病毒，然后通过网站、FTP、BT网络、 即时通讯软件，甚至IRC进行大范围的传播。如果不安装防病毒软件对此类来源的软件进行扫描，那么就算被感染了用户也发现不了。

更糟糕的是，病毒通常都会极快的产生各种类型的“变种”，大多数的防病毒软件是通过特征码的形式进行病毒识别的，因此如果病毒变种后的代码与防病毒软件的定义不符，那么它同样可以感染“受保护”的电脑。

具体操作

如何微调

如何微调Vista“用户帐户控制”功能以更适合实际操作：

“用户帐户控制”(User Account Control)是Vista系统新增的重要安全功能，从Beta版本至今经过了不断的改进，已经把以往不时弹出的警告窗口大大减少。但是对于资深的电脑用户而言，这些弹出的警告仍然有碍电脑操作，所以有些人想把此功能关闭。其实，完全关闭“用户帐户控制”功能也不是好办法，大家不妨考虑将它稍作调整来配合自己，同时也能够保留它的保护作用。

1.关闭UAC功能的方法是，在“控制面板”→“用户帐户”中，点击“打开或关闭用户帐户控制”一项进行设置。而如果想微调UAC功能，则可按选键盘上Windows键+R键，调出“运行”对话框，然后键入“secpol.msc”，打开“本地安全策略”设置窗口。

2.在“本地安全设置”窗口中，在窗口左边依次点击“本地策略” →“安全选项”，窗口右边会对应显示出多个“用户帐户控制”功能的具体设置项目。有经验的电脑用户可以根据自己的喜好，对其中的项目作出修改，以符合自己使用电脑的习惯。

3.例如，有些人会将“管理员批准模式中系统管理员的提升行为”由“同意提示”改为“不提示直接提升”;同时将“只提升签名并验证的可执行文件”一项由“已禁用”改为“已启用”。虽然修改设置会削弱UAC本身的效力，但用户在进行管理操作时却能减少警告窗口弹出的次数。

4.使用Norton UAC Tool。它可以把UAC设置为始终允许某一程序。安装后UAC的提示窗口会有一个复选框“始终允许该程序”，这样可以把杀毒软件的升级程序等设为始终放行，方便操作。

5.暂时关闭UAC。先打开任务管理器，结束explorer.exe，桌面就没了，然后按下“显示所有用户的进程”，会出来一个UAC窗口，放行。然后打开“文件->新任务”，会看到“将以管理员身份运行此程序”，输入explorer.exe回车，重开桌面，就暂时禁止了UAC。原理：按下“显示所有用户的进程”并放行后，任务管理器被提升权限，在UAC中权限可以继承，开启explorer.exe后，桌面继承权限，在桌面上运行的程序也自然继承了权限。要开启UAC，结束explorer.exe再重开，就恢复了。

6.利用微软工具Microsoft Application Compatibility Toolkit（ACT）将程序轻松加入到UAC白名单中。

①安装工具后，单击“开始→Microsoft Application Compatibility Toolkit→Compatibility Administrator”打开该工具。单击工具栏上的“New”按钮，然后右击“Custom Databases”下的“New Database(1)”出现菜单，选择“Create New”下的“Application Fix…”出现对话框，在“Name of the programto be fixed”和“Name of the vendor for this program”中输入要加入白名单的软件名称，可任意输入；单击“Browse…”按钮选择程序的执行文件。

②单击“下一步”切换窗口，可以为该软件选择适合的系统运行环境，在“Additional compatibility modes”选择“RunAsAdmin”和“RunAslnvoker”两个选项，连续单击两次“下一步”，最后单击“完成”按钮返回主界面。

③单击工具栏上的“Save”按钮，在“Datebase Name”中任意输入一个文件名，单击OK后再次输入任何文件名保存创建的白名单，最后选择菜单“File”下的“Install”将白名单添加到Windows 7的UAC中，此时会出现对话框提示安装成功。

授权动作

UAC需要授权的动作包括：

* 配置Windows Update

* 增加或删除 用户帐户

* 改变用户的帐户类型

* 改变UAC 设置

* 安装ActiveX

* 安装或 卸载程序

* 安装 设备驱动程序

* 设置 家长控制

* 将文件移动或复制到Program Files或Windows目录

* 查看其他用户文件夹

基本上，只要有涉及到访问系统磁盘的根目录 (例如 C:)，访问 Windows 目录，Windows 系统目录，Program Files 目录，访问 Windows 安全信息以及读写系统登录数据库 (Registry) 的 程序访问动作，都会需要通过 UAC 的认证。