{Windows Vista}全习惯与UAC 也谈Vista系统的裸奔

让我们回到2006年11月,那时Windows Vista刚刚完成Beta测试并发布了针对企业及OEM厂商的RTM版.微软的Jim Allchin 建议用户可以不必安装防病毒软件,因为其对新系统中内建的安装机制非常有信心.但在之后的澄清发表之前,这个问题演变成:Vista是否需要后台运行的防病毒软件?

而当时的人们却非常讨厌UAC,这与微软的初衷背道而驰,原本它是一件防护恶意软件、病毒、木马、蠕虫及间谍软件的神兵利器,可以帮助人们象安全专家一样避免执行不明来源的邮件附件.减少用户每天对于安全问题的困扰.

当打开UAC时,它会弹出一个总在最前端的窗口询问是否真的想安装或运行你不了解的程序,这对防止计算机收到感染真的有用吗?在回答这个问题之前,让我们首先来看一下在卸载你的防病毒软件如AVG或Avast之前,我们会面对何种危险?

UAC的重要意义

当UAC横空出世后,pc中几乎所有的进程与运行的程序都可以被拦截,尤其对那些试图使用管理员权限自动安装或自动运行的程序有显著的效果.

Windows Vista还带来了很多其它的安全特性.Windows防火墙的升级版可以对出站和入站连接进行管理.而以往版本的Windows防火墙只能对入站连接进行管理,这意味着有可能在用户毫不知情的情况下成为攻击其它计算机的DDoS攻击的的其中一员.另外,Windows Defender可以免费提供对常见恶意软件的防护.

同时自动更新也应当被包含在安全组合中,虽然它不象前面提到的那些安全程序,但对于系统安全而言仍是必不可少的组成部分.微软每个月都会通过Windows Update对自己或其它研究机构发现的漏洞进行定期修补.

想在一台没有安装防病毒软件的机器上和病毒交锋,那么几乎所有的重担都将落在UAC的头上.既没有防病毒软件也没有UAC的机器可以被病毒无声无息的轻易攻破.

病毒可以通过电子邮件(如果用户运行包含病毒的附件)或其它程序感染电脑.一个非常有效的途径就是不法分子将商业软件破解(如“warez”)后植入病毒,然后通过网站、FTP、BT网络、即时通讯软件,甚至IRC进行大范围的传播.如果不安装防病毒软件对此类来源的软件进行扫描,那么就算被感染了用户也发现不了.

更糟糕的是,病毒通常都会极快的产生各种类型的“变种”,大多数的防病毒软件是通过特征码的形式进行病毒识别的,因此如果病毒变种后的代码与防病毒软件的定义不符,那么它同样可以感染“受保护”的电脑.

关于UAC的小测试

为了测试在没有防病毒软件的环境下UAC机制对电脑的保护能力,我们在一台装有Windows Vista的机器中拷入了一份包含病毒的邮件,然后拔掉此台电脑的网线将其完全与本地网络物理隔离.

然后在此台机器上打开这份受感染的邮件,其中包含2个可疑的附件,我们将这2个附件保存到目录中然后执行它们.

不管运行哪个附件,UAC都马上跳出来报警,报告这种正常情况下看不到任何提示的自动安装.其中一个程序的名称为“???????????????????.EXE”,UAC会用红色标志对其标记,这说明此程序是非常可疑的.

而如果有这样一种恶意软件,其名称为“BANK.EXE”,当UAC对其进行阻止时,另一个值得考虑的问题就会浮出水面.

对于Vista用户来说,UAC是无处不在的.一般在安装游戏、升级驱动的时候出现,很多人在UAC对话框弹出后甚至连看都不看一眼就允许程序运行了.很多毫无经验的用户在看到“BANK.EXE”,出于习惯,或者只是因为他们不知道还能做什么,那干嘛不让它运行呢?

说到这里,大家应该意识到防病毒软件只是安全防护的一部分,另一个非常重要的方面就是培养用户的使用习惯及安全意识.如果你经常泡论坛的话,可能会遇到这样的超级玩家,其Windows XP系统4年来没有安装任何防病毒软件竟然仍然安然无恙,为什么?其实很简单,那就是避免使用破解软件及运行可疑的Email附件.

我们是否真的可以裸奔?

那么缺少安全知识的用户怎么办呢?他们是否可以在不安装防病毒软件的情况下仅仅依靠UAC呢?我们需要强调的是,UAC机制只是阻止程序在没有管理员权限许可的情况下非法安装或运行,对于需要自我保护,远离病毒的用户,当UAC对话框每次出现时认真阅读其中的信息则是阻止感染的有效途径.

底线

有了UAC的Windows Vista能够很好的防护恶意软件的侵害.而对于那些并未使用反病毒软件并且从未感染过病毒的Windows用户来说,他们良好的安全习惯并不需要UAC来辅助其保护自己计算机的安全.

但这并不意味着不需要防病毒软件,在用户掌握足够多的安全知识,使其了解在打开附件或其它容易遭受病毒攻击的可能途径时应该做什么,不做什么之前,后台全天候运行的实时监控功能可以帮助其阻止已知的危害.而当用户养成了良好的安全习惯后,即使没有防病毒软件也可以轻松避免感染,此时UAC反而显得多余.

说到这里,大家应该明白了,防护病毒的最好方法并不是UAC机制或防病毒软件,而是培养良好的安全习惯及掌握足够的安全常识.

编者补充

这篇文章对于目前的国内市场而言,具有一定的指导意义,当杀毒软件厂商还在炫耀自己能查杀多少多少种病毒时,殊不知现在的安全环境早已与前几年大相径庭,恶意软件、盗号木马以及可定制的病毒正日益成为计算机用户最大的威胁,这也是目前以360安全卫士为代表的恶意软件防护软件流行的原因.

但所有以上的防护软件都有一个致命的缺点,他们都是以特征码的形式来查杀病毒的,这就意味着只有在获得病毒样本并分析后才能对其进行查杀.而且这是对大范围传播并引起厂商检测网络注意后的病毒而言,那么对于那些定制型的病毒木马来说,绕过杀毒软件感染系统也不是难事,厂商对此也根本没有办法.说白了,杀毒软件只是被动的防御,并不能100%的保证用户计算机的安全.而安全问题则是一个非常典型的木桶案例,你的系统的安全性好坏并不取决于最长的那块木板,而是取决于最短的那块.

因此从05年开始,市面上开始出现了一些主动防御类的安全软件,简称HIPS,他们并不是杀毒软件,而是类似于“应用软件防火墙”的角色,可以对本机运行的所有软件及安装进行监控,在得到用户允许后才能继续执行,由于其对用户的安全知识要求较高,因此了解的人并不多.

而Windows Vista中引入的UAC机制可以看作是简单的HIPS应用,因为它只对需要管理员权限操作的程序有效,而且并没有文件完整性检查等特性,只是机械的在每次需要出现的情况下出现.难道微软没有能力将其做得更好吗?我看未必,广泛的适用性及操作习惯的延续性是微软考虑的问题,如果系统风格与目前的 Widnows系统完全不一样,那么在用户体验方面,将受到更多人的抨击.因此微软选择了一个折中的方案,一步步的加强系统安全性.

现在网络中到处都充斥着所谓如何关闭UAC功能的技巧,而很多用户在并不了解事实的情况下,盲目跟从.正如本篇作者所讲的那样,在没有掌握足够的安全常识与养成良好的安全习惯之前,请不要关闭UAC!