用户账户控制(UAC)
用户账户控制(UAC) 是什么?
用户账户控制(UAC)Windows Vista 引入的安全特性,以受限令牌运行交互会话,并在执行管理员操作进行提权时弹窗要求确认或输入凭据。
用户账户控制(UAC)是 Microsoft 在 Windows Vista 中引入并在后续版本中完善的访问控制特性。当管理员登录时,Windows 会生成两个令牌:用于日常活动的过滤标准令牌,以及完整的管理员令牌。任何需要提权的操作都会触发同意界面(安全桌面弹窗),只有在批准后完整令牌才会生效。UAC 通过强制对安装驱动、修改 HKLM 等操作进行显式确认,削弱以普通用户运行的恶意软件的影响。微软明确指出 UAC 本身不是安全边界:标准桌面下的提示可被信任的自动提权进程绕过,这也是攻击者追逐 UAC bypass 技术(fodhelper、computerdefaults、ICMLuaUtil)的原因。防御方通常将 UAC 设为 Always Notify,并结合 LAPS、AppLocker 与 EDR。
● 示例
- 01
标准用户对 regedit 点击 "以管理员身份运行",触发安全桌面下的 UAC 弹窗要求凭据。
- 02
攻击者利用 fodhelper.exe 滥用 Windows shell 注册表实现自动提权,绕过 UAC。
● 常见问题
用户账户控制(UAC) 是什么?
Windows Vista 引入的安全特性,以受限令牌运行交互会话,并在执行管理员操作进行提权时弹窗要求确认或输入凭据。 它属于网络安全的 身份与访问 分类。
用户账户控制(UAC) 是什么意思?
Windows Vista 引入的安全特性,以受限令牌运行交互会话,并在执行管理员操作进行提权时弹窗要求确认或输入凭据。
用户账户控制(UAC) 是如何工作的?
用户账户控制(UAC)是 Microsoft 在 Windows Vista 中引入并在后续版本中完善的访问控制特性。当管理员登录时,Windows 会生成两个令牌:用于日常活动的过滤标准令牌,以及完整的管理员令牌。任何需要提权的操作都会触发同意界面(安全桌面弹窗),只有在批准后完整令牌才会生效。UAC 通过强制对安装驱动、修改 HKLM 等操作进行显式确认,削弱以普通用户运行的恶意软件的影响。微软明确指出 UAC 本身不是安全边界:标准桌面下的提示可被信任的自动提权进程绕过,这也是攻击者追逐 UAC bypass 技术(fodhelper、computerdefaults、ICMLuaUtil)的原因。防御方通常将 UAC 设为 Always Notify,并结合 LAPS、AppLocker 与 EDR。
如何防御 用户账户控制(UAC)?
针对 用户账户控制(UAC) 的防御通常结合技术控制与运营实践,详见上方完整定义。
用户账户控制(UAC) 还有哪些其他名称?
常见的别称包括: UAC, UAC 弹窗。
● 相关术语
● 参见
- № 585内核态与用户态