Windows Vista系统账户保护机制初探

核心提示： 以图1中的几个进程为例，csrss.exe是系统进程，Windows Vista系统账户保护机制初探(4)，因此用户名一栏显示的是“SYSTEM”；emeditor.exe是当前登录用户启动的程序，因此用户名一栏显示的是当前用户的用户名；emule.exe虽然也是当

以图1中的几个进程为例，csrss.exe是系统进程，因此用户名一栏显示的是“SYSTEM”；emeditor.exe是当前登录用户启动的程序，因此用户名一栏显示的是当前用户的用户名；emule.exe虽然也是当前用户启动的，不过在启动的时候使用了Runas命令，因此看起来该程序就好像其他用户启动的。当然，因为这三个进程使用了不同的访问令牌（也就是用户身份），那么这三个程序的权限也就会有所不同。

进程显示

启用该功能之后，Vista实际上自动运行在一个被减少了很多特权的安全级别上。如果因为某些操作，系统需要更高的权限，就会显示一个对话框，并要你输入密码。这个密码只能用于发起这次请求的操作，随后你进行的其他操作，哪怕是由此前的操作导致的额外操作，全部都是以最低的权限运行的。

默认情况下UAP是被禁用的，要启用该功能，在开始菜单中点击“All Programs（所有程序）”，然后点击“Turn UAP settings On or Off（打开或关闭UAP）”，你将能看到图2所示界面，点击Yes按钮即可打开UAP，随后我们需要注销并重新登录。

试试看更改一下系统设置吧，例如随便打开控制面板中任何一个控制程序，你都将会看到图3所示的对话框，要求你输入管理员用户的密码。

弹出警告框

需要输入管理员密码

有人担心这个功能在启用后会不会造成使用上的不便，其实担心是没必要的，UAP只是一种保护，而不是单纯的限制。假设我们已经启用了UAP功能，并要执行某个需要一定特权才能执行的操作，例如修改注册表，那么可能有两种情况：如果当前登录的账户已经有了修改注册表的权限，那么Vista会弹出一个对话框，询问用户是否继续该操作，用户可以作出选择；如果当前登录的用户没有修改注册表的权限，Vista会弹出一个对话框，告知用户这一情况，并允许用户输入一个具有相应权限的账户的用户名和密码，验证成功后一样可以进行操作。