我知道c:\Program Files 受UAC 保护,如果我允许用户安装到d:\Program Files,则默认情况下不受UAC 保护。除了目录安全设置之外,是什么让c:\Program Files UAC 受到保护?是简单的目录安全,还是 Windows 做的其他事情让它变得特别?
如果有可能使d:\Program Files 与c:\Program Files 一样安全,我想建议某人。如果我要创建与c:\Program Files 具有相同目录安全性的d:\Program Files,这些文件夹是否相同?
【问题讨论】:
标签: windows security uac program-files
仅目录安全性就决定了用户在添加、删除或更改该文件夹中的文件时可以做什么或不可以做什么。 UAC 仅在 Windows 中管理员组中的用户发挥作用,您现在(默认情况下)没有将管理员令牌附加到您的登录会话。当您尝试执行特权操作时,Windows 不允许您并开始尝试获取具有管理员访问权限的用户的过程。由于您的帐户是管理员的成员,UAC 将显示允许/拒绝对话框,并且仅用于该操作,管理员令牌将附加到您的登录会话。由于您是管理员的成员,您可以单击确定或取消。如果不是,系统会提示您输入具有管理员权限的帐户的登录凭据。
您可以在此处阅读有关 UAC 以及幕后发生的事情的更多信息:http://technet.microsoft.com/en-us/library/dd835561(v=ws.10).aspx
【讨论】:
没有。
UAC(大部分)不是魔法。
Windows 或 Program Files 之类的文件夹仅具有 ACL,它们不会向没有管理权限的用户授予写访问权限。
【讨论】:
受保护文件夹的一个重要方面是分配给它们的强制性标签,它决定了这些位置的完整性级别(关键性)。 如果您在任何 post vista windows 版本的“D:\Program Files”中安装,则会发生以下情况 1 - 系统将通过 UAC 提示征求您的同意。 2 - Windows 会将“受信任的安装程序”标签分配给 D:\Program Files 文件夹,使其具有非常高的完整性。 仅“受信任的安装程序”完整性级别就足以使您的文件夹受到保护,任何低于受信任的安装程序完整性级别的进程(实际上是所有进程)都必须先回答 UAC(同意或凭据)提示,然后才能继续。
有关 Windows 完整性机制、UAC 提示和 Windows 安全内部机制的更多信息,请访问http://securityinternals.blogspot.com
【讨论】: