共用方式為

使用者帳戶控制運作方式

用戶帳戶控制 (UAC) 是 Windows 安全性的重要部分。 UAC 藉由限制惡意代碼以系統管理員許可權執行的能力,來降低惡意代碼的風險。 本文說明UAC的運作方式,以及它如何與用戶互動。

UAC 程式和互動

使用UAC時,需要 系統管理員存取令牌 的每個應用程式都必須提示使用者同意。 唯一的例外是父進程和子進程之間存在關聯性。 子進程會從父進程繼承使用者的存取令牌。 不過,父進程和子進程必須具有相同的 完整性層級

Windows 會藉由標示其完整性層級來保護進程。 完整性層級是信任的度量:

  • 高完整性應用程式是執行修改系統數據之工作的應用程式,例如磁碟分區應用程式
  • 低完整性應用程式是執行可能危害作系統之工作的應用程式,例如網頁瀏覽器

完整性層級較低的應用程式無法修改具有較高完整性層級之應用程式中的數據。 當標準使用者嘗試執行需要系統管理員存取令牌的應用程式時,UAC 會要求使用者提供有效的系統管理員認證。

為了進一步瞭解此程序的運作方式,讓我們進一步瞭解 Windows 登入程式。

登入程式

下圖顯示系統管理員的登入程式與標準使用者的登入程式有何不同。

描述UAC Windows 登入程式的圖表。

根據預設,標準和系統管理員用戶都會存取資源,並在標準使用者的安全性內容中執行應用程式。
當使用者登入時,系統會為該使用者建立存取令牌。 存取令牌包含授與使用者存取層級的相關信息,包括 (SID) 和 Windows 許可權的特定安全識別碼。

當系統管理員登入時,系統會為使用者建立兩個不同的存取令牌: 標準使用者存取令牌系統管理員存取令牌。 標準使用者存取權杖:

  • 包含與系統管理員存取令牌相同的使用者特定資訊,但系統管理 Windows 許可權和 SID 會移除
  • 用來啟動不會在標準使用者應用程式 (執行系統管理工作的應用程式)
  • 藉由執行 explorer.exe進程來 顯示桌面。 Explorer.exe 是所有其他使用者起始進程繼承其存取令牌的父進程。 因此,除非使用者同意或認證來核准應用程式以使用完整的系統管理存取令牌,否則所有應用程式都會以標準使用者身分執行

身為 Administrators 群組成員的使用者,可以在使用標準使用者存取令牌時登入、流覽 Web 及讀取電子郵件。 當系統管理員需要執行需要系統管理員存取令牌的工作時,Windows 會自動提示使用者核准。 此提示稱為 提高許可權提示,其行為可透過原則或登錄來設定。

UAC 用戶體驗

啟用UAC時,標準使用者的用戶體驗與系統管理員使用者不同。 執行 Windows 的建議且更安全的方法是確保您的主要使用者帳戶是標準使用者。 以標準使用者身分執行有助於將受控環境的安全性最大化。 使用內建的 UAC 提高許可權元件,標準使用者可以輸入本機系統管理員帳戶的有效認證,輕鬆地執行系統管理工作。

標準用戶的預設內建 UAC 提高許可權元件是 認證提示

以標準使用者身分執行的替代方式是在核准模式 管理員 以系統管理員身分執行。 使用內建的 UAC 提高許可權元件,本機 Administrators 群組的成員可以藉由提供核准,輕鬆地執行系統管理工作。

管理員 核准模式中系統管理員帳戶的預設內建 UAC 提高許可權元件稱為同意提示

認證提示

當標準使用者嘗試執行需要用戶系統管理存取令牌的工作時,就會顯示認證提示。 系統管理員也可以藉由將 [用戶帳戶控制:系統管理員 管理員 在核准模式原則中提高許可權提示的行為] 設定值設定為 [提示輸入認證] 來提供其認證。

顯示UAC認證提示的螢幕快照。

當使用者嘗試執行需要用戶系統管理存取令牌的工作時,會顯示同意提示。

顯示 UAC 同意提示的螢幕擷取畫面。

UAC 提高許可權提示

UAC 提高許可權提示會以色彩編碼為應用程式特定,可讓您更輕鬆地識別應用程式的潛在安全性風險。 當應用程式嘗試以系統管理員的完整存取令牌執行時,Windows 會先分析可執行檔以判斷其發行者。 應用程式會先根據檔案的發行者分成三個類別:

  • Windows
  • 發行者已驗證 (簽署)
  • 未簽署 (發行者未驗證)

提高權限提示色彩編碼如下:

  • 灰色背景:應用程式是 Windows 系統管理應用程式,例如 控制台 專案,或由已驗證的發行者簽署的應用程式螢幕快照,其中顯示具有已簽署可執行檔的 UAC 認證提示。
  • 黃色背景:應用程式未簽署或已簽署,但不受信任 的螢幕快照,其中顯示具有未簽署可執行檔的 UAC 同意提示。

保護盾圖示

某些 控制台 專案,例如日期和時間,包含系統管理員和標準使用者作業的組合。 Standard 使用者可以檢視時鐘並變更時區,但需要完整的系統管理員存取令牌才能變更本機系統時間。 以下是日期和時間 控制台 項目的螢幕快照。

顯示日期和時間屬性中 UAC Shield 圖示的螢幕快照。

[ 變更日期和時間... ] 按鈕上的防護圖示表示程式需要完整的系統管理員存取令牌。

保護提高許可權提示

藉由將提示導向 至安全桌面,進一步保護提高許可權程式。 預設會在安全桌面上顯示同意和認證提示。 只有 Windows 進程可以存取安全的桌面。 為了提高安全性層級,建議您在提示提高許可權原則設定時,保持 用戶帳戶控制:切換至安全桌面

當可執行檔要求提高許可權時,交 互式桌面也稱為 使用者桌面,會切換至安全桌面。 安全桌面會使用戶桌面變暗,並顯示必須先回應才能繼續的提高許可權提示。 當用戶選取 [ ] 或 [ ] 時,桌面會切換回使用者桌面。

注意

2019 Windows Server 開始,無法將剪貼簿的內容貼到安全桌面上。 此行為與目前支援的 Windows 用戶端 OS 版本相同。

惡意代碼可能會顯示安全桌面的附件,但當 [用戶帳戶控制:管理員 核准模式原則設定中系統管理員提高許可權提示的行為] 設定為 [提示同意] 時,如果使用者選取 [],惡意代碼就不會提高許可權。 如果原則設定設 為 [提示輸入認證],則發出認證提示的惡意代碼可能會收集用戶的認證。 不過,惡意代碼不會獲得更高的許可權,而且系統具有其他保護,可減輕惡意代碼,即使使用已收集的密碼也無法控制使用者介面。

雖然惡意代碼可能會呈現安全桌面的叢集,但除非使用者先前已在計算機上安裝惡意代碼,否則無法發生此問題。 由於需要系統管理員存取令牌的程式在啟用 UAC 時無法以無訊息方式安裝,因此使用者必須選取 [ ] 或提供系統管理員認證,以明確地提供同意。 UAC 提高許可權提示的特定行為取決於安全策略。