Vista的UAC对话框真在会话0吗
原文摘自ITECN博客,作者:盆盆< Microsoft MVP ITECN博客站长>
ITECN博客,是由盆盆等MVP组织发起的、旨在研究和推广微软IT Pro技术的网站,由多位Microsoft MVP和资深微软认证讲师组成。ITECN博客的网址是http://blogs.itecn.net
本文由“ITECN”版权所有,仅授权PChome电脑之家发表,任何媒体没有“ITECN”同意不得擅自转载,转载必追究,后果自负。
小青蛙s老大新发表的雄文,可以帮助读者朋友深入理解UAC安全桌面的切换机理。例如读者朋友们可以知道,为了防止用户进程干扰UAC的对话框,可以让它运行在安全桌面上。而大家知道,安全桌面(Winlogon桌面)默认是蓝绿色背景的,为了改善用户体验,微软特地对当前用户桌面截图,并以截图作为安全桌面的背景,这样看上去稍微舒服一些。这个原理,在盆盆的拙作《Windows Vista安全原理深入探索》一文里也有一些粗浅的介绍。
如果要让UAC对话框运行在用户桌面,而不是安全桌面,除了用小青蛙s介绍的方法,还可以修改本地安全策略、安全选项下的“用户帐户控制:提示提升时切换到安全桌面”,这样也可以达到目的。
不过这里并不是要讨论安全桌面问题,而是要探讨一下,这个UAC对话框(consent.exe)到底运行在哪个会话(session)。
何谓会话?
会话实际上是终端服务里的概念,在Windows Server 2000/2003下,如果用户在控制台,也就是鼠标、键盘登录,则会占据会话0;后续用终端服务登录的话,就陆续占据会话1、会话2...
对于桌面OS,例如Windows XP,其中的快速用户切换(FUS)、远程桌面功能,实际上就是缩小版的终端服务,类似于服务器版Windows的情况。
而在Windows Vista下,会话0不再由控制台登录的用户占据,而是专门划给服务和某些系统进程使用;控制台登录的用户占据的是会话1。这个特性叫做服务的会话0隔离,可以增加安全性。
要了解更多的会话0隔离的概念,可以参考小青蛙s的《Windows Vista 下Session 0 隔离的故事》,和盆盆的《Windows Vista服务隔离深度剖析》。
网友评论