UAP/LUA可以說(shuō)是Windows Vista愛(ài)好者常談的內(nèi)容了，陳宇講師先闡述了Windows前期版本的管理員與用戶(hù)中的權(quán)限區(qū)別，以其造成的不便，例如不安全的程序，誤操作和管理的問(wèn)題來(lái)對(duì)比Windows Vista中的UAP/LUA--新的身份權(quán)限控制管理。今天的講演通俗易懂，原本晦澀的權(quán)限概念被解釋得非常清楚。不過(guò)講師也承認(rèn)，Windows Vista在運(yùn)行現(xiàn)有，特別是9x平臺(tái)的程序?qū)](méi)有很理想的表現(xiàn)，因?yàn)樗鼘?duì)管理員權(quán)限實(shí)在是太依賴(lài)了，但是Vista的虛擬區(qū)域?qū)?huì)解決這個(gè)問(wèn)題，建議大家了解。

UAP/LUA中的用戶(hù)被定義為普通用戶(hù)和管理員用戶(hù)，在管理員用戶(hù)中，引入了一個(gè)'受保護(hù)的管理員用戶(hù)'概念，在這種模式下，正常運(yùn)行時(shí)和普通用戶(hù)并無(wú)區(qū)別，但在有需要時(shí)，可以升級(jí)到擁有足夠權(quán)限的用戶(hù)模式(例如安裝程序)，這一切都是用戶(hù)自行控制的，可自定義的。

在Windows Vista中，任何用戶(hù)登錄都將以最小權(quán)限進(jìn)行，LUA會(huì)根據(jù)最大權(quán)限來(lái)即時(shí)提升權(quán)限，當(dāng)兩個(gè)程序同時(shí)運(yùn)行于系統(tǒng)時(shí)，普通用戶(hù)的進(jìn)程列表中不包含管理員的進(jìn)程，這可以避免相互攻擊。

Windows Vista去除了大量無(wú)用的管理員權(quán)限檢查，讓大部分程序都可以以最小模式正常運(yùn)行。任何新建的帳號(hào)在沒(méi)有賦予權(quán)限之前，都是最小權(quán)限的缺省用戶(hù)類(lèi)型(包括管理員在登錄的時(shí)候都是這樣，這一切都是動(dòng)態(tài)的).這樣減少了其余軟件和程序的漏洞被人利用發(fā)起對(duì)系統(tǒng)破壞的可能。

在提升權(quán)限的時(shí)候，受保護(hù)管理員用戶(hù)將接到三種不同方式:對(duì)話(huà)框，密碼提示，安全組合鍵的升級(jí)方式獲得必要的權(quán)限。管理員也可以自定義程序是否需要提升管理員權(quán)限才可以運(yùn)行.但在通常情況下，Windows Vista已經(jīng)提供了相當(dāng)數(shù)量的規(guī)則。

Windows UI 設(shè)置這個(gè)角落也可以完美地被管理員加鎖，和前期的Windows不一樣，普通用戶(hù)對(duì)于系統(tǒng)工具是只讀的，除非升級(jí)到足夠權(quán)限，否則要對(duì)系統(tǒng)做操作就將非常困難(甚至連修改系統(tǒng)時(shí)間，沒(méi)有權(quán)限也是一件不可能的事情，系統(tǒng)時(shí)間對(duì)于整個(gè)系統(tǒng)服務(wù)特別是數(shù)據(jù)庫(kù)來(lái)說(shuō)，實(shí)在是太重要了)。前面提過(guò)，Windows Vista可能無(wú)法很好地兼容現(xiàn)有和早期軟件，但是Windows Vista會(huì)有一個(gè)虛擬化概念，將讀取的數(shù)據(jù)(僅僅是數(shù)據(jù)，對(duì)DLL和EXE)隔離到虛擬存儲(chǔ)區(qū)，程序的最大影響也僅限于LUA進(jìn)程，對(duì)擁有管理員權(quán)限的程序是不起作用的.這僅僅是一個(gè)過(guò)渡化方案，在下一個(gè)版本中將會(huì)Cut掉這個(gè)技術(shù).LUA最少權(quán)限用戶(hù)進(jìn)程和管理員進(jìn)程在同一個(gè)桌面運(yùn)行，有著相同的SID，這樣就可以相互讀取，調(diào)用同一個(gè)API，難以避免線(xiàn)程注入.這是非常危險(xiǎn)的，微軟給出的解決方案還是同一個(gè)概念:進(jìn)程分級(jí)別，從下往上，低級(jí)別無(wú)法讀取高級(jí)別.這樣，即時(shí)是惡意軟件也無(wú)法逃過(guò)進(jìn)程級(jí)別的驗(yàn)證，能進(jìn)入系統(tǒng)，卻無(wú)法造成破壞.