有不少朋友对Windows Vista的UAC功能不满意，所以特将以前给《程序员》杂志写过的一篇文章贴到这里，意图介绍一下Windows Vista这个安全功能的底层原理，也希望读者朋友能够理解Windows安全设计人员的苦心。

　　如果看过Mark Russinovich的博客，那么就会明白，UAC的主旨并不是要替代杀毒软件等工具，并不是为了消除病毒、木马等恶意软件，UAC是安全纵深防御体系中的一环，其主要设计目的是尽可能让应用程序运行在标准用户权限下，以减少所有应用程序(不管是合法软件，还是恶意软件)有意或者无意，对系统造成的危害。

　　盆盆评注 笔者在探索和学习Windows Vista安全理论的过程，深受《Windows Internals》一书的启发。该书由Mark Russinovich和David Solomon所著，堪称IT Pro和Dev的圣经。

　　参考

　　用户帐户控制(UAC)，是Windows Vista新引入的安全机制。管理员登录Windows时，系统会同时创建两个访问令牌，其中一个是完全的管理员访问令牌(Full Token)，另一个是经过“过滤”的访问令牌，叫做标准用户访问令牌，如附图所示。当Windows系统启动Shell进程(Explorer.exe)时，LSA会把标准用户访问令牌连接到Shell进程，所以Windows Vista启动的用户进程，默认都只具有标准用户权限。如果某个进程需要管理员权限，则系统会提示权限提升，得到用户亲自确认后，系统会把完全的管理员访问令牌连接到该进程上。

　　准备知识

　　在《Windows Internals》的第八章“安全”部分，介绍了一个实例：当我们在Windows XP里启动“日期和时间”控制面板组件时，实际上启动的是“rundll32”进程，由该进程加载“Timedate.cpl”控制面板组件。用Process Explorer检查该“rundll32”进程的访问令牌，可以发现“SeSystemTimePrivilege”特权处于启用状态，如附图所示。

　　“SeSystemTimePrivilege”是“更改系统时间”特权的内部名称，所有特权都保存在LSA的策略数据库中，该数据库会加载到HKLM\SECURITY注册表分支，用户登录系统时，LSA会读取这些特权值。