25、Windows 8 用户访问与安全管理指南

Windows 8 用户访问与安全管理指南

1. 理解 UAC 及其对用户账户的重新定义

在早期的 Windows 系统（如 Windows XP）中，恶意软件常常利用多数用户账户属于本地计算机管理员组这一情况。这不仅让恶意软件得以自行安装，还能借助管理员的高级权限对计算机造成严重破坏，因为管理员安装的程序可以写入注册表和文件系统中原本受保护的区域。

为应对恶意软件的威胁，组织采取了一系列措施，如锁定计算机、要求用户使用标准用户账户登录，以及让管理员使用“以管理员身份运行”命令执行管理任务。然而，这些改变可能会对生产力产生负面影响。例如，在 Windows XP 系统下以标准用户身份登录的用户无法执行一些基本任务，像更改系统时钟和日历、修改计算机时区或调整电源管理设置等。而且，许多为 Windows XP 设计的软件程序在没有本地管理员权限的情况下无法正常运行，并且系统不会提前告知用户某个任务是否需要管理员权限。

UAC（用户账户控制）旨在通过重新定义标准用户和管理员用户账户的使用方式，在提高安全性的同时提升可用性。它提供了一个框架，限制了管理员级别的访问权限范围，并要求所有应用程序在特定的用户模式下运行。这样一来，UAC 可以防止用户无意中更改系统设置，并锁定计算机以防止未经授权的应用程序安装或执行恶意操作。

1.1 Windows 8 的用户账户和应用程序模式

Windows 8 定义了两种级别的用户账户：标准用户账户和管理员用户账户，同时也为应用程序定义了两种运行模式：标准用户模式和管理员模式。

标准用户账户可以使用大多数软件，并能更改不影响其他用户或计算机安全的系统设置。而管理员用户账户则拥有对计算机的完全访