提要
众多周知,Windows 的账户系统比较复杂(本地账户,管理员账户等,以及各种SYSTEM,TrustedInstaller),并且早年XP时代,许多学习版系统都默认使用Administrator作为日用账户,实际上默认允许了许多程序以管理员方式访问系统文件执行操作,造成安全隐患。
所以微软在Windows Vista及更高版本操作系统中引入的一种控制机制。其作用在于通知用户是否对应用程序和任务授权使用硬盘驱动器和系统文件,以达到帮助阻止恶意程序对计算机进行更改的目的。
但是,UAC默认的强提醒机制明显对于普通用户会造成过多界面干扰(降低屏幕亮度,并且进入安全桌面),而且,默认只点击就可提升的方法相较于Linux并不「安全」。所以大家都会更改UAC选项来定制提示时机。
简单修改
普通的关闭或者调整UAC的方法很简单:打开开始菜单搜索「用户账户控制」,就可以到下图页面:
对于一般用户,推荐修改到如图所示的第二级,也就是「仅当应用尝试更改计算机时通知我(不降低桌面亮度)」,这样出现UAC提示时,不会在安全桌面中弹出窗口,减少干扰。
(!) 不建议完全关掉UAC,否则如果后台有程序在获取管理员,或者一不小心下到某些垃圾软件的时候就搞了
不过,UAC还有许多选项可以定制使用(?)接下来我就介绍组策略中关于用户账户控制弹窗的几种高级选项,包括启用生物识别提示和对所有程序进行提示。
隐藏选项
高级选项无法通过用户账户控制设置窗口直接修改,需要进入组策略。打开组策略的教程不再赘述,网上非常多。
Win+R,输入gpedit.msc进入组策略,依次找到「计算机配置」-「Windows设置」-「安全设置」-「本地策略」-「安全选项」-「用户账户控制:管理员批准模式中管理员的提升权限提示的行为」,双击打开编辑。
上图中可以发现有六种不同的提示模式。详细对比如下:
| 选项 | 解释 | 备注 |
|---|---|---|
| 不提示,直接提升 | 所有程序请求管理员时,不提示用户,直接提升 | 等同于四档设置中的「从不通知」,不推荐开启 |
| 在安全桌面上提示凭据 | 所有程序请求管理员时,进入安全桌面提示用户,并且要求进行生物识别或者输入密码进行允许 | 安全桌面比较烦 |
| 在安全桌面上同意提示 | 所有程序请求管理员时,进入安全桌面提示用户选择是否提权 | 等于四档设置中的第三级,安全桌面比较烦 |
| 提示凭据 | 所有程序请求管理员时,并且要求进行生物识别或者输入密码进行允许 | 较为推荐,允许使用人脸识别或者指纹进行解锁 |
| 同意提示 | 所有程序请求管理员时,提示用户选择是否提权 | 较为推荐,允许使用人脸识别或者指纹进行解锁 |
| 非Windows二进制文件的同意提示 | 非Windows组件请求管理员时,提示用户选择是否提权 | 推荐修改,虽然号称是默认设置,但是和四档设置中的第三档的区别是不需要进入安全桌面了 |
下面附带一张设置为「提示凭据」的截图,可以看到变得高大上了:),虽然每次都要人脸通过后点击同意就是了。
参考文献
[1] [win-linux化] 如何设置当Windows需要管理员权限时, 在UAC界面强制要求生物识别或输入密码确认提权