为什么你真的需要停止禁用UAC

Noah Heckman //

Windows Vista在Windows社区中并不太受欢迎（说得轻一点）。它引入了新的用户界面、文件结构，以及一大堆烦人的弹窗，询问你是否真的要执行你刚刚告诉它要执行的软件。

许多系统管理员觉得这很烦人，但更烦人的是所有最终用户打电话告诉他们这有多烦人。有一个简单的解决方案：直接禁用它。

随着时间的推移，一些人回去重新启用了它，而另一些人没有——反而让禁用UAC的组策略对象（GPO）至今仍留在他们的活动目录中。然而，对于那些重新启用它的人来说，他们再次被提醒它有多烦人以及它导致了多少问题。当然，这是一把双刃剑，因为UAC对我们的对手来说也很烦人。

那么UAC是做什么的呢？UAC在你登录后立即开始工作。它检查你的账户是否是系统上的管理员，如果是，那么UAC子程序有效地将账户分为高权限和低权限账户。它将管理操作锁定在管理员令牌后面，当你执行高权限进程时，它会提示你批准，如下所示。

这被称为管理员批准模式，不需要用户输入密码。在我看来，这个窗口应该显示“警告！此进程试图执行管理操作。你期望此应用程序这样做吗？”因为当它打断你重要的电子表格会话时，这就是它的意思。如果你正在执行一个只需要低权限活动的进程，而你看到这个提示，你应该立即停止！

关于管理员批准模式的一个常见问题是“这怎么安全？进程不能替用户点击‘是’并执行负载吗？”不完全是这样；普通的UAC和管理员批准的UAC提示都应该在Windows安全桌面环境中出现。当这种情况发生时，只有某些进程可以与之交互。具体来说，是登录用户的explorer.exe进程。所以，一般来说，恶意软件没有办法直接“点击是”。当然，有一系列UAC绕过攻击试图颠覆这些保护，所以它并非无懈可击，但与禁用它相比，它确实显著提高了系统的安全态势。

如果这还不足以让你确保启用它，那么宏呢？UAC保护计算机免受恶意宏的攻击比你想象的要多。当然，如果宏试图访问或修改敏感系统对象，它会如上所述触发，但许多人不知道的是，当你禁用UAC时，你也禁用了网络标记（MoTW）。MoTW用于标记从不受信任位置下载到计算机的文件，例如从互联网下载或作为电子邮件附件发送。Office应用程序和其他Windows进程会查找这个“标记”，并基于它限制某些操作，直到你批准为止。

这就是为什么当你在内部共享上打开带有宏的Excel文档时，它不会提示你“启用编辑”并退出Microsoft Office的受保护查看器。如果你的安全团队正在推出“阻止从互联网下载的文件中的宏”的GPO设置，这也依赖于MoTW。因此，如果UAC被禁用，文档将没有MoTW属性，有时会在没有提示的情况下运行宏，这使得网络钓鱼你的最终用户变得轻而易举。另一个与MoTW相关的显著功能是Windows SmartScreen，它用于防止执行不受信任的代码。SmartScreen基于许多上述相同原则操作，通过在安全桌面上提示用户，询问他们是否真的要执行不受信任的程序。同样，这有助于防止许多初始入侵攻击。

作为防御者，我们不仅需要确保这些保护措施是活跃的，而且还要利用它们来发挥我们的优势。阻止从互联网下载的文档中的宏是一个很好的开始。确保在系统上启用Windows SmartScreen。为了加分，考虑防止你的最终用户能够通过“仍然运行”按钮绕过它。这将强化你的系统，使攻击更难获得立足点。所有这些设置都可以通过GPO或Intune策略管理，并以最小的影响推送到环境中。安全计划的基础建立在良好的沟通上。所以，如果你收到IT员工、开发人员或最终用户的投诉，请花点时间解释底层过程。在他们眼中，UAC只不过是一种烦恼，而标准的“因为安全部门这么说”的回应不会说服他们。我们都很忙，但现在花时间教育我们的人员有助于防止未来出现像促使本文撰写的错误配置。