实验结论

　　1.UAC的实质

　　当管理员登录时，Explorer进程会获得一个“缩水”的访问令牌，也叫标准用户(Standard User)访问令牌。由于用户进程大多数都是由Explorer启动，所以这些进程会自动继承这份“缩水”的访问令牌(如本例的rundll32进程)。

　　凭借缩水的访问令牌，用户可以完成绝大多数工作，同时由于用户权限被大大缩小，这样用户进程就不会有意无意破坏系统的完整性，这样就可以大大减少受攻击面。

　　如果需要执行管理任务，系统会提醒用户进行确认，一旦认可，将会获得完全版本的管理员访问令牌(如本例的dllhost进程)。

　　用户帐户控制好比给Windows Vista穿上一件铁布衫，有了它的庇护，Windows系统不再奉行“不抵抗”政策，恶意网页胆敢再来“骚扰”，将被毫不犹豫地阻止。同时最终用户不再需要接受额外的培训，一切都由系统自动完成，只需要做出选择即可，您就没事偷着乐吧!

　　2.标签SID

　　至于前后两个进程的访问令牌中新出现的标签SID，其中一个是“Mandatory Label\Medium Mandatory Level”，另一个是“Mandatory Label\High Mandatory Level”。这两个帐户，既不能用来登录，似乎也不能用来设置安全权限，那么到底派什么用场呢?

　　原来这是用来标记访问令牌，这样系统看到访问令牌中包含“Mandatory Label\Medium Mandatory Level”的标签SID，马上就可以知道该令牌属于标准用户访问令牌;同样如果令牌中包含“Mandatory Label\High Mandatory Level”的标签SID，马上就知道其属于完全的管理员访问令牌。

　　那么，为什么不在访问令牌中新增一个标志位?例如等于0时就是标准用户令牌，等于1时就是完全权限令牌?这样的话，就不需要新增标签SID了。也许是为了兼容性，毕竟增加一个标志位，就等于要修改访问令牌的数据结构，这可不是一个好主意，而添加几个SID，则相对简单得多。

　　标签SID的作用很大，当进程需要管理员权限时，系统会根据其父进程的标签SID，来判定是否需要弹出“用户帐户控制”对话框。如果其父进程的标签SID是“Mandatory Label\Medium Mandatory Level”，系统就会弹出“用户帐户控制”对话框。如果父进程的标签SID是“Mandatory Label\High Mandatory Level”，就不会弹出“用户帐户控制”对话框，而是直接运行该目标进程。

　　由于绝大多数用户进程的父进程是Explorer，所以会弹出“用户帐户控制”对话框。

　　除此之外， Windows安全子系统还用标签SID来帮助判断一个进程是否可以访问特定的资源对象，是否可以访问某个特定的进程。