高手保證Win7係統安全性的小技巧

　　Win7係統的安全性一直是我們係統用戶所追求的，其實在Windows7操作係統中，有一個新的計算機安全管理機製，即UAC(用戶帳戶控製)。或許很多人對這個功能有很多的不了解，用好這個功能有助於我們保障係統的安全性，現在我們就詳細為大家介紹這個新功能，一起來保證係統的安全吧。

　　UAC(用戶帳戶控製)的功能：

　　簡單的說，UAC(用戶帳戶控製)就是其他用戶對操作係統做了更改，而這些更改需要有管理員權限的，此時操作係統就會自動通知管理員，讓其判斷是否允許采用這個更改。雖然在以前的版本中，也有這方麵的限製。但是在Windows7中有了很大的改善。其不但對細分了控製的級別，而且還會自動通知管理員。像在以前的版本中，隻是提示用戶沒有這方麵的權限，讓他們通知管理員。所以，采用了最新的UAC功能後，操作係統管理就更加的人性化。

　　一、管理員根據需要可以選擇不同的控製級別

　　在Windows7中，將這個控製級別分為四個級別。最高的級別是“始終通知我”，即用戶安裝應用軟件或者對應用軟件進行升級、應用軟件在用戶知情或者不知情的情況下對操作係統進行更改、修改Windows設置等等，都會向係統管理員彙報。

　　第二個級別為“僅在應用程序試圖嚐試改變計算機時”通知係統管理員。這個級別是操作係統的默認控製級別。他與第一個級別的主要差異就在於改變Windows設置時不會通知係統管理員。在這個級別下，即使操作係統上有惡意程序在運行，也不會給操作係統造成多大的負麵影響。因為其惡意程序不能夠在係統管理員不知情的情況下修改係統的配置，如更改注冊表、更改IE瀏覽器的默認頁麵、更改服務啟動列表等等。為此對於大部分用戶來說，特別是企業用戶來說，這個安全級別已經夠用。級別太高的話，就太過於死板了。可能係統管理員要不斷的為此奔忙了。

　　第三個級別與第四個級別其安全性逐漸降低，最後到所有都不通知為止。其實這個控製級別跟原先IE瀏覽器的控製級別類似，都是微軟自定義的控製級別。作為係統管理員需要了解各個級別控製的具體內容，然後根據企業的實際情況，來設置安全級別。通常來說，安全級別越高，操作係統越安全。但是係統管理員可能需要抽出更多的時間來應對用戶的抱怨。因為可能用戶對操作係統任何的更改都需要告知係統管理員。魚與熊掌不可兼得，係統管理員需要在安全與便利性上取得一個均衡。

　　二、用戶權利不夠如何通知係統管理員

　　不知道各位讀者有沒有用過微軟或者其他公司的工作流產品?其實微軟在這個問題的處理上就是借鑒了工作流得處理方法。當用戶試圖更改某個設置或者安全某個應用程序，當其權限不夠時，係統就會向管理者發送一個請求。當係統管理員下次登陸係統時就會看到一個對話框。在對話框中顯示了用戶需要更改的設置或者要安裝的應用程序。係統管理員要仔細查看這些信息，以判斷是否會破壞係統的穩定性。然後可以通過這個對話框告訴操作係統，允許或者拒絕用戶的更改操作。最後，係統會把係統管理員的這個決定反饋給用戶。用戶就可以繼續後續的操作了。如果係統管理員同意的話，就可以安裝應用程序或者更改操走係統的配置。顯然，這個流程的話大家非常的熟悉。不錯，這就是一個工作流處理流程。在Windows7操作係統中，很多地方都可以看到這個工作流的身影。這也是Windows7操作係統人性化的體現。

　　三、關掉UAC控製

　　如果用戶不喜歡這個先進的東西，而是喜歡Window的控製方案，這也是可以的。係統管理員隻需要將這個級別調到第四個級別，即關掉UAC控製。此時，跟以前的操作係統版本一樣，任何的改變不會告知係統管理員。如當用戶以管理員的身份登陸到操作係統中，則應用程序對操作係統所作的任何更改都將不會提醒管理員，而是直接應用了相關的更改。可見，此時如果是一些惡意的程序在進行更改，則會在神不知鬼不覺的情況下，更改了係統的某些設置，如網頁、注冊表等等。如果用戶是以普通標準用戶登錄操作係統的，如果其所作的操作，包括安裝或者升級應用程序、更改操作係統配置等等，隻要其沒有相關的權限，則操作係統就會直接拒絕掉。也就是，不會采用工作流的形式去通知管理員。如果用戶確實有這個需要的話，隻有口頭去通知，並讓係統管理員調整相關的權限。當係統管理員將這個UAC控製從高級別調到這第四個級別，必須重新啟動後這個控製級別才會生效。

　　當係統管理員關閉這個UAC的話，就必須要小心各種應用程序可能對操作係統所造成的破壞，因為應用程序隻要以管理員帳戶運行，則其就可以訪問或者修改那些受保護的區域、用戶的私人數據等等。也就是說，其應用程序的權限就跟係統管理員的權限相同。另外一些惡意程序也可以在係統管理員不知情的情況下跟網絡中的其他電腦、甚至互聯網上的主機進行通信與數據傳輸，以達到破壞的作用。

　　其實這個UAC控製級別，在某方麵看起來跟操作係統的個人防火牆比較類似。當任何應用程序有修改操作係統配置的行為(更改IE主頁、修改注冊表、把某個服務設置為自動啟動)，都會向用戶提示。當應用程序要向互聯網發送信息時，也會告知用戶。為此如果係統管理員用不慣這個功能，需要關閉它的話，最好能夠采用其他的安全措施來替代。如可以利用這個個人防火牆來代替UAC控製級別。雖然其不能夠實現UAC的所有功能，但是一些核心的保護功能個人防火牆已經可以勝任。確實，如果企業現在已經部署了個人防火牆，那麼在推廣Windows7操作係統的時候，如果再采用這個UAC控製的話，就重複了。反而可能會造成用戶的反感。總之，係統管理員要根據自己與用戶的操作係統，在這兩個方案中選擇一個即可。多了反而是累贅。

　　四、通過域安全策略來統一這個管理級別

　　企業中的客戶端數量往往不在少數。一個係統管理員管理的客戶端沒有幾百台的話，也有幾十台。如果一一的去調整這個UAC的控製級別，顯然是一項重複、無挑戰性的工作。根據筆者的測試，其實這個UAC控製級別可以跟組策略或者域安全策略結合使用。即可以在域控製器級別上或者組級別上設置這個級別。然後當客戶端加入到這個域或者這個組的話，就會繼承這個管理級別。也就是說，不需要在各個客戶端上再進行一一配置。說實話，微軟在這方麵一直都做的不錯。雖然微軟的域環境搭建與管理起來是複雜一點，但是其功能還是比較強大的。如果要讓Windows操作係統的一些高級功能應用的更加順手，則這個域環境往往是少不了的。至少這個域環境能夠提供一個統一管理各個客戶端的平台。

　　以上便是UAC(用戶帳戶控製)功能詳細的介紹了，如果你想要保證你的Win7係統一直處於安全的環境，那就充分利用UAC的功能吧，希望對大家在幫助係統安全性方麵能有所幫助。