如何利用UAC来提高Windows 7的安全【图】(2)

　　三、关掉UAC控制

　　如果用户不喜欢这个先进的东西，而是喜欢Window的控制方案，这也是可以的。系统管理员只需要将这个级别调到第四个级别，即关掉UAC控制。此时，跟以前的操作系统版本一样，任何的改变不会告知系统管理员。如当用户以管理员的身份登陆到操作系统中，则应用程序对操作系统所作的任何更改都将不会提醒管理员，而是直接应用了相关的更改。

 

　　可见，此时如果是一些恶意的程序在进行更改，则会在神不知鬼不觉的情况下，更改了系统的某些设置，如网页、注册表等等。如果用户是以普通标准用户登录操作系统的，如果其所作的操作，包括安装或者升级应用程序、更改操作系统配置等等，只要其没有相关的权限，则操作系统就会直接拒绝掉。也就是，不会采用工作流的形式去通知管理员。如果用户确实有这个需要的话，只有口头去通知，并让系统管理员调整相关的权限。当系统管理员将这个UAC控制从高级别调到这第四个级别，必须重新启动后这个控制级别才会生效。

　　当系统管理员关闭这个UAC的话，就必须要小心各种应用程序可能对操作系统所造成的破坏，因为应用程序只要以管理员帐户运行，则其就可以访问或者修改那些受保护的区域、用户的私人数据等等。也就是说，其应用程序的权限就跟系统管理员的权限相同。另外一些恶意程序也可以在系统管理员不知情的情况下跟网络中的其他电脑、甚至互联网上的主机进行通信与数据传输，以达到破坏的作用。

　　其实这个UAC控制级别，在某方面看起来跟操作系统的个人防火墙比较类似。当任何应用程序有修改操作系统配置的行为(更改IE主页、修改注册表、把某个服务设置为自动启动)，都会向用户提示。当应用程序要向互联网发送信息时，也会告知用户。为此如果系统管理员用不惯这个功能，需要关闭它的话，最好能够采用其他的安全措施来替代。如可以利用这个个人防火墙来代替UAC控制级别。虽然其不能够实现UAC的所有功能，但是一些核心的保护功能个人防火墙已经可以胜任。确实，如果企业现在已经部署了个人防火墙，那么在推广Windows7操作系统的时候，如果再采用这个UAC控制的话，就重复了。反而可能会造成用户的反感。总之，系统管理员要根据自己与用户的操作系统，在这两个方案中选择一个即可。多了反而是累赘。

　　四、通过域安全策略来统一这个管理级别

　　企业中的客户端数量往往不在少数。一个系统管理员管理的客户端没有几百台的话，也有几十台。如果一一的去调整这个UAC的控制级别，显然是一项重复、无挑战性的工作。根据笔者的测试，其实这个UAC控制级别可以跟组策略或者域安全策略结合使用。即可以在域控制器级别上或者组级别上设置这个级别。然后当客户端加入到这个域或者这个组的话，就会继承这个管理级别。也就是说，不需要在各个客户端上再进行一一配置。说实话，微软在这方面一直都做的不错。虽然微软的域环境搭建与管理起来是复杂一点，但是其功能还是比较强大的。如果要让Windows操作系统的一些高级功能应用的更加顺手，则这个域环境往往是少不了的。至少这个域环境能够提供一个统一管理各个客户端的平台。