你為什麼不使用win7的UAC？

01-02

你為什麼不使用win7的UAC？
很多人宣揚著UAC的好處，使系統更安全，更健康，但是你為什麼還在搜索著如何關閉UAC？你為什麼在系統安裝完成之後就將UAC關掉，從不啟用？
目前還沒有發現在知乎上宣揚不使用UAC的人，所以無從邀請

1. 毫無保留的宣揚不用 UAC 的人不值得信賴；

2. 知乎上有 Windows 用戶嗎？Mac 和 Linux 用戶難道不是更喜歡輸密碼嗎？

使用uac，但一直很反感它的設計——沒有黑名單沒有白名單，導致增加了很多不必要的彈窗。我記得vista時代還有norton uac tool這個輔助工具的……

因為太丑。

嫌煩。我每次都關掉。因為覺得彈個框好煩。

同時我有能力在關掉UAC的情況下保持好電腦的穩定

下面的答案比較跑題，並不是本人為啥不用UAC，而是本人對UAC的看法……

個人感覺目前知乎用戶對UAC推崇備至，實在是矯枉過正。我也沒有有關專業的知識，只是隨自己的性子隨便說說，大神輕噴……

一句話：UAC不是Silver bullet，別以為開了UAC你就安全了。UAC不是沒用，它很重要，但它的作用是有限的。

1.對新手用戶不友好，用戶認知程度不高。

用戶:為啥我是管理員，還是被拒絕訪問呢？是系統防盜版機制嗎？還是說我用了假的管理員賬號？

[黑人問號.jpg]

不說新手，多少用了Windows很多年的老司機還記得(或者曾經花時間了解過)UAC到底是怎麼一回事？

微軟早就寫過UAC的科普，提到觸發UAC彈窗的細節、UAC虛擬化、UAC不是安全邊界(繞過管理員賬號的UAC彈窗不算安全漏洞，微軟不會出補丁修補)等等細節。

然而……大家都很忙啊！誰有這個閑工夫去研讀微軟的精妙設計是怎麼一回事呢。

答主自己就一度以為UAC是類似HIPS或主動防禦的功能，會通過掛鉤系統調用「主動攔截」危險行為(捂臉)。

實際上，UAC只要點一次「是」，程序就完全拿到了管理員許可權，而HIPS每次操作都可以攔截下來……從工作原理到使用體驗都相去甚遠。

2.功能定位模糊

UAC到底算不算安全功能？

其實微軟自己都承認UAC只是個forcing function，是用來促進開發者改進自己軟體的，好讓Windows下的軟體盡量擺脫對管理員許可權的依賴，還算不上安全功能。

那麼問題來了:用戶為啥要費心替微軟檢查程序的行為？

如果軟體開發商在FAQ里大膽地寫上一句「請關閉UAC」/「請右鍵以管理員身份運行」，有多少用戶能做到毫不猶豫地立刻拋棄這款軟體呢？

好的，假設用戶已經認真讀過微軟關於UAC的各種文檔，並假設用戶擯棄了UAC會導致麻煩的想法，要用到管理員特權時隨手WIN+X、A運行管理員許可權的命令提示符而不是徹底關掉UAC……我想說，UAC的很多缺點仍然不可忽視。從利弊權衡的角度考慮，下面這幾點也許可以說明UAC並沒有提供足夠的好處。

3.不能保護數據安全

舉個例子，竊取我的文檔、D盤E盤F盤的設計圖紙、畢業論文，或者對他們進行加密勒索，理論上都不需要獲取管理員特權，故不需要彈UAC。

(這一點應該分情況。管理員賬號可以控制本機的所有文件，影響範圍較大，受限的賬戶影響範圍就很有限了，別的用戶的文件不能動。只是一般個人用的電腦，常常是只開一個管理員賬號)

4.對惡意軟體/流氓軟體的防護效果太雞肋

即便沒拿到管理員特權，也足夠應用耍起流氓了。

修改用戶自己的開機自啟項不需要彈UAC，程序循環彈N個「雲端資訊」不需要彈UAC。在啟動某個軟體後，就算你點了X，軟體仍然可以在後台維持一個進程不退出——這更是和UAC的管轄範圍八竿子打不著了……

UAC管不了彈窗、自啟和後台。

而且，能舉的例子還有很多，比如改掉快捷方式來「劫持主頁」也不需要彈UAC……

實際上用戶也很難保證某款應用絕對拿不到管理員特權。

軟體安裝時彈個UAC得點「是」吧？

然後就可以安裝服務、計劃任務了，管理員許可權隨時到手，名正言順。

如果用戶不怕麻煩，倒是可以一一把這些東西幹掉。但是就算用戶各種嚴防死守，流氓應用還有最後一招啊：不給我管理員許可權，我就不給你用！

點名批評WPS，不知道啥時候會給你裝愛淘寶。

除非你完全不用某款軟體，否則UAC無法阻止全家桶的某一成員把一家子都搬進來。

(當然這點不絕對，沒管理員特權的流氓肯定比拿了管理員特權、加了驅動的流氓更容易趕走)

5.UAC不是安全邊界，被繞過微軟也不會修補

受限賬戶只能做受限的事情，越過了這個界限（比如從標準用戶非法提升到管理員）才是安全漏洞。

繞過管理員賬戶的UAC彈窗不是安全漏洞。

詳見：

為什麼有軟體可以繞過UAC？ - 知乎

「被繞過微軟也不會修補」這句話不是絕對的，升級系統（比如Win7升到Win8，Win10 10240升到14393）可以獲得一些修補，但打補丁是不涉及這方面的。
(flag……說不定繞過UAC的惡意軟體泛濫了，微軟就開始補了呢……)

那……為啥還要開著UAC？

很簡單……徹底關了UAC(修改註冊表EnableLUA值)，UWP應用就掛了……所以UAC不得不開╮(╯▽╰)╭

你說Win7么？那倒真是把控制面板里的控制條拉到底就徹底關了UAC，這樣對日常使用也沒太大影響，但是給攻擊者製造了便利，一旦系統被入侵，很容易造成更大的破壞，或者被安裝rootkit、後門等。

但Win8以上，UAC在控制面板中被拉到「從不通知」，也只是靜默提權，並沒有被關閉，桌面explorer.exe等東西仍然是不帶管理員特權的（所以不考慮UAC的惡意程序幹壞事會被拒絕訪問，但如果惡意程序調用了提權API就……）。

對於Chrome瀏覽器，即使是Win7下，也會使用低許可權進程幫助實現沙箱。這得益於新系統內核提供的安全特性，與開關UAC本身無關。

但是，IE11和Office等應用都會隨著UAC關閉而關閉保護模式沙箱，使用最高許可權運行。Win7下在控制面板把UAC拉到「從不通知「就完全關了UAC，所以受影響很大；但Win8以後控制面板不會再完全關閉UAC，所以應該就不受這個問題影響了。

最後……我自己是把UAC拉到頂的(沒錯我是叛徒→_→)出於習慣，還是沒切換到微軟推薦、也是一直在捍衛的——標準用戶。