提升和恶意软件安全性

　　UAC 的主要目标是让更多用户能够使用标准用户权限运行。但是，其中一项 UAC 技术看起来像是安全功能：许可提示。许多人认为，因为软件必须要求用户授予其管理权限，因此他们能够防止恶意软件获得管理权限。提示是一种视觉暗示，它仅为其所述操作获取管理权限，除此之外，用户还可以切换到不同桌面来显示提升对话框，以及使用 Windows 完整性机制，包括用户界面特权隔离 (UIPI)，这些都使人们更加坚信这一理念。

　　正如在 Windows Vista 推出之前我们所谈到的，提升的主要目的不是安全性，而是其方便性：如果用户必须通过登录到管理帐户或通过“快速用户切换”切换到管理帐户，从而切换帐户以执行管理操作，则大多数用户都只会切换一次，而不会切换回来。更改应用程序开发人员进行设计所针对的环境将不会有进展。那么，安全桌面和 Windows 完整性机制的目的是什么?

　　为提示切换到不同桌面的主要原因是：标准用户软件无法“欺骗”提升权限提示，例如，它们无法通过在对话框上的发布者名称上绘图来欺骗用户，让用户认为是 Microsoft 或另一个软件供应商(而不是这些软件)生成了提示，从而欺骗提升权限提示。这种替代桌面称为“安全桌面”，因为它是系统(而不是用户)所拥有的，就像系统显示 Windows 登录对话框的桌面一样。

　　使用其他桌面还有一个重要目的，就是为了实现应用程序兼容性：在正在运行其他用户拥有的应用程序的桌面上，如果内置辅助功能软件(比如屏幕键盘)能够正常工作，那么此时就有一个第三方软件不能正常工作。当本地系统帐户拥有的提升对话框显示在用户拥有的桌面上时，该软件将无法正常工作。

　　Windows 完整性机制和 UIPI 的设计目的是在提升的应用程序周围建立一道保护性屏障。它最初的目标其中之一是防止软件开发人员投机取巧，利用已经提升的应用程序来完成管理任务。使用标准用户权限运行的应用程序无法将合成鼠标或键盘输入发送到提升的应用程序中，以使应用程序执行其指令，也无法将代码注入提升的应用程序以执行管理操作。

　　Windows 完整性机制和 UIPI 在 Windows Vista 中用于保护模式 Internet Explorer，使得感染 IE 的运行实例的恶意软件更难于修改用户帐户设置，例如，将本身配置为在每次用户登录时启动。尽管 Windows Vista 的一个早期设计目标是使用带有安全桌面的提升、Windows 完整性机制和 UIPI，在使用标准用户权限和管理权限运行的软件之间建立一个坚不可摧的屏障(称为安全边界)，但由于以下两个原因，而导致该目标未能实现，并随之被放弃：可用性和应用程序兼容性。

　　首先，考虑提升对话框本身。它显示将被授予管理权限的主要可执行文件的名称和发布者。遗憾的是，尽管越来越多的软件发布者为其代码添加了数字签名，但仍然有一些软件发布者没有这样做，并且还有许多未添加签名的旧版应用程序。对于未签名的软件而言，提升对话框只会显示可执行文件的文件名，因此，对于某些恶意软件(例如，已采用用户帐户运行并且正在监视未签名 Setup.exe 应用程序安装程序的提升)而言，将能够将可执行文件替换为恶意的 Setup.exe，而用户却一无所知。

　　其次，该对话框不会告知用户可执行文件在启动时将会加载哪些 DLL。如果可执行文件位于用户可以控制的目录中，则使用用户标准权限运行的恶意软件将能够替换该位置中软件将使用的任何关联 DLL。此外，恶意软件可以使用并行功能，使可执行文件加载应用程序或系统 DLL 的恶意版本。并且，除非用户警惕地单击详细信息按钮，并仔细查看为提升可执行文件列出的文件路径，否则恶意软件可以将可执行文件复制到名称类似的位置，例如，\ProgramFiles\Vendor\Application.exe(注意应为“Program Files”的内容中缺少的空格)，在该位置中，恶意软件将可控制应用程序加载哪些 DLL。我已将 Microsoft 网络监视器的一个组件复制到用户创建的 C:\ProgramFiles 目录(用户可控制该目录)，并启动了该组件。