[设计艺术] 只以现在 Windows 设计理念来看，现在的 Windows 为什么还留着 UAC？

UAC（User Account Control）功能对应的是linux的sudo，是macOS的设置界面左下角那个小锁按钮
WD（Windows Defender）对应的是杀毒软件
如果非要比较他们两者的功能，我觉得 Vista 之后的 UAC 更像是 XP 时代的 360 安全卫士主动防御，针对程序的各种高危操作进行拦截（例如添加开机启动项，修改IE浏览器主页，安装未知软件等），然后让你选择是否允许执行。WD 则是 XP 时代的 360 杀毒，主要负责扫描已经存在在电脑硬盘中的文件是否有病毒。
额外聊聊交互设计问题。我个人认为 Windows 的 UAC 设计还是有问题的。如果用过 MIUI 等系统的同学就知道 MIUI 在启用开发者模式以及安装未知 APP 之后都会通过延时 enable 【确认】按钮，以留出时间强制让你阅读注意事项后再点击【确定】按钮，并且这个弹窗文案中对于点击确认后可能产生的后果会用红字加粗标注出来，相当于是严重警告了，这样很多用户就不会无脑点击确认。
而 Windows 7 时代很多 Ghost 镜像系统甚至默认就关闭了 UAC 功能，因为实在是太烦了，就算没有默认关闭，很多用户看到这种弹窗也是条件反射式的无脑点确定，根本不管发生了什么事情，所以导致 UAC 的安全防护成了摆设。
如果我是 Microsoft Windows 的产品经理，我会和 MIUI 一样设置详细的说明和演示确定按钮，确保用户了解自己到底在做什么，如果贸然点击确定可能会产生什么不可挽回的后果。

小白用户连运行缓慢、频繁弹窗、插入广告的某数字品牌安全软件都能容忍，亦或者在手机上可以容忍APP逐项权限弹窗申请，唯独不能容忍Windows系统的一次弹窗的UAC？
更新一下：
前些年我看到过知乎上另一个问题：
为什么 Microsoft 对用户把Windows 变成垃圾场无动于衷？498 赞同 · 86 评论回答
以我的经验，如果小白用户关闭UAC或者无脑使用Administrator账户，那么100%变垃圾场。而如果用户正确理解并使用UAC，那么变成垃圾场的概率是大幅降低的，甚至卸载第三方安全软件并关闭Windows Defender直接裸奔也是可以的。
奈何UAC做的不够完善：提权本是高危操作，微软设计的UAC在弹窗时却没有对这种行为做任何像样的警示。

当应用程序在Windows中启动时，会为其分配一个访问令牌。此令牌定义应用程序的权限和访问权限。Windows UAC 背后的原则是为本地管理员提供两个令牌，一个标准令牌和一个管理员令牌。最初，只发行标准令牌。但是，当应用程序专门请求管理员令牌时，会触发显示UAC提示。如果用户在UAC提示符上单击“是”以继续执行其请求，则会颁发管理员令牌。然后，管理员令牌使应用程序能够以高级别权限运行。管理员令牌类似于“访问所有区域”通行证，允许应用程序在系统上执行几乎任何操作。因此，当具有管理员令牌的应用程序遭到入侵时，攻击者可能会造成相当大的损害。
一个没有病毒的应用程序，并不代表没有漏洞，不会遭到入侵。CVE里Adobe Flash Player相关的漏洞有一千五百多个，微软Office的九百多个。即使是完全无漏洞的cmd.exe，以特定参数运行时也可能造成相当大的损害。微软的很多程序还支持内嵌脚本，打开一个来历不明的文档就可能中招[1]。另外，还有很多软件，是不走安装过程的，例如Internet Explorer，所以一个程序需要被管理的时间，不是只有安装。
启用UAC有助于最大程度地减少攻击者可以利用的使用管理员令牌运行的应用程序数。此外，即使是需要管理员令牌的程序，UAC也可以降低攻击者获取管理员令牌的可能性，因为管理员令牌需要向用户发送消息以供批准。以前很多程序都需要提权运行的，例如需要在安装目录下放存档的游戏。这就属于无必要的提升风险。现在这种程序不是就少多了？
UAC开了还是得要Windows Defender的，这个不是安全系统，只是个安全机制，需要各种安全软件来利用。 Windows Defender就有一些规则是用UAC的令牌机制实现的，例如给Office应用程序创建的子进程降权。
参考^参考win10总是无故弹出'你要允许此应用进行更改吗'怎么办? https://www.zhihu.com/question/315729914

这问题问的就有问题。
UAC是提权体系，作用是在做出系统级的改动需要管理员的授权。XP以及以前的Windows系统对于管理员权限管理就是一团糟，远远落后于MacOS和Linux。用户空间和系统空间傻傻分不清楚，导致普通用户帐户的限制太多。也没有提权体系，做不到“只有需要的时候提权”。个人用户很多时候都受限，只能全时管理员。
还有好像是Win95的著名乌龙，利用Windows帮助可以以全管理员权限运行EXE。
Vista时期的UAC“烦人”，一方面是对于弹UAC的逻辑欠优化，尤其是没有系统管理员的个人用户。但另一方面是当时很多软件都没有严格遵守用户空间的边界。
我在自己的电脑用Win 10感觉UAC已经很少弹了，在企业环境里还有很多情况需要管理员授权。UAC的好处是，装软件的时候管理员远程输入一遍密码就可以了，而不用注销-管理员登录-装软件-注销-我登陆。
那么问题来了，UAC到底怎么题主了？

必须要说清楚，UAC和WD的侧重点完全就是两个方向。UAC的侧重点是权限管理，WD的侧重点是反病毒（虽然这货可以用特殊手段卸载）。
你有可能不知道，有些企业配置系统的时候，分配给下面员工的账户权限只有普通用户，管理员账户设置密码。如果普通用户需要安装软件，则需要管理员账户密码。

再强调一遍，UAC的管理重点是权限，也就是对任何程序对系统文件和设置的修改进行管理。这个机制并不能用来防病毒，完全是两回事。

format这种命令，已运行就可以销毁一个分区，破坏大不大？
WD怎么识别？禁止一切format？显然不现实吧。
询问一下你是不是真的想干这种可能造成破坏的操作？那不就是UAC干的么？

防用户误操作啊，在Windows Terminal的讨论里，都有人提议打开管理员权限的Terminal时，显示一个醒目的警告标志。

家庭用户可能感觉不到，但是企业用户里UAC还是非常有存在的必要的。
最简单的例子，公司给财务发一台电脑，上面已经预装了工作必要的软件，然后员工的账户不是管理员，需要UAC提权的时候要输入管理员密码。这样可以一定程度上避免员工瞎搞。

那些说UAC没卵用的，你们知不知道管理员权限是高危权限？为什么很多软件和操作系统在限制管理员权限的使用？
UAC功能的一个重要的分水岭就是XP和vista系统之间。在WinXP系统中，只要登录的是管理员用户，就毫无疑问地默认就是管理员权限，因此应用无需调用任何接口就可以使用管理员权限运行。但是，这也让某些应用钻管理员权限的空子，去做一些危险和流氓的事情，所以限制应用去执行管理员权限是很必要的。所以Vista加入了UAC机制，用于限制应用程序对管理员权限的请求。在引入了UAC机制之后，应用如需以管理员权限运行，必须调用UAC接口才能够请求管理员权限，这就导致所有xp时代直接请求管理员权限的应用都失效了，软件商需要在程序中加入请求UAC的接口程序才可调用管理员权限。
实际上UAC的作用不只是限制应用请求管理员权限那么简单。首先，UAC其实更相当于是一个登录弹窗。如果是以普通用户权限登录的话，在UAC窗口中输入管理员密码可提权为管理员权限运行，而不需要切换至管理员账户（当然，前提是UAC未设置为“从不通知”（见下图），且知道至少其中一个管理员账户的密码）；

其次，下面有其他回答中的评论也提到了，UAC可以方便用户审查应用程序包含的数字签名，用户应当确认是有效的数字签名之后才可以允许应用运行；
最后，UAC可以防止误操作。例如cmd，某些需要管理员权限操作的命令必须提权到管理员权限才能继续运行，此时需要右键单击“命令提示符”，选择“以管理员身份运行”才可以。当然，运行这种命令之前你得考虑会带来什么样的后果，否则请不要鲁莽操作，例如del /f /s /q C:\ ∗.∗" role="presentation">?.?*.* 这样的。
再来说说Windows Defender。正如题主所说，Windows Defender在Win10/Win11中杀毒能力确实提升不少。然而再怎么说，Windows Defender和UAC完全就不是一个东西。Windows Defender是一款杀毒软件，是通过深入到应用内部直接检测是否有流氓和恶意行为，检测到流氓行为再进行删除。但是这并不影响到应用软件的管理员权限提权，你查杀慢一秒，可能应用就开始执行流氓行为了。何况对于命令行中手动执行的命令，例如上面提到的del /f /s /q C:\ ∗.∗" role="presentation">?.?*.* ,Windows Defender根本就不会查杀的，因为del是系统自带的命令，本来就不会报毒，然而执行后你的C盘数据可能就彻底没了，而且下一次你的电脑就肯定无法开机了。当然，很多人还是了解这种命令的危害性的，然而如果是一个完全不懂电脑的小白的话，你去开玩笑地让他执行上述命令，小白信以为真真的执行的话，后果不堪设想。所以说为什么Windows Defender并不能取代UAC，因为只靠杀毒引擎查杀的话能治标不一定治本，而限制应用的权限才是治本的方法。
当然，有些人说UAC几乎没什么卵用，这我也能理解，因为现在的应用程序启动即请求管理员权限的不少，也很少有人审查UAC的提示，直接允许，或者干脆将UAC设置为“从不通知”一劳永逸，亦或是启用默认被禁用的Administrator用户（这里要补充一下，Administrator内置管理员账户是无视UAC的，以Administrator账户运行的应用程序可直接请求管理员权限，和xp时代一样），毕竟每次打开应用都会弹出UAC弹窗谁都很烦。但不管怎么说，UAC机制有总比没有强，至少比完全放开权限要好多了。实际上限制用户使用管理员权限已经成为现代操作系统的一大趋势，例如Linux macOS等（类）Unix系统在终端下执行需要提权的命令就需要借助sudo或polkit组件，并且每次执行都要输入密码（不过sudo有5分钟缓冲期，第一次执行命令需要输入密码，此后5分钟内再执行其他命令就不需要再输入密码），而且很多应用程序（例如影音类，文档类，生活类等应用）并不需要管理员权限就能运行，有些应用程序以管理员权限运行会发出警告甚至拒绝运行，如果请求管理员权限的话那就属于过度索权，本来就不应该允许，所以保留UAC是非常必要的。就好比你手机上也是，现在手机系统都是支持应用权限管理的，很多人基本上见权限就给，不给的话应用不让运行，然而有些权限应用根本不需要，如果应用再去请求那个权限的话那就是过度索取权限，因为你不知道应用用那个权限去干什么流氓事情。

每天他能为我拦截一些国产流氓软件的恶心行为

Linux上面，UAC的对应体是sudo。
UAC的问题，就是它太温柔了。
打个比方的话，程序就好像你请来帮你家装修、修理管道、安装灯泡的陌生人；UAC弹出来，意思就是：
——这人想翻你钱箱，你让不让翻？
——这人想看你日记，你让不让看？
——这人拿你的手机扫自己的支付宝，你让不让扫？
——这人拉你女儿进房间，让不让进？
你该回答什么？
所以，Linux下，如果你没有sudo权限，却执行了一个需要特权的程序；那么它绝对不会惯着。而是直接当一榔头就把这个程序锤翻了：“这人触犯了权限规则，我把他杀了。”
你这时候可以检查一下，看看是“杀的好”呢，还是“你误会了……算了，我给他sudo权限，重新再来一遍”。
长此以往，你怎能不对那些请求高权限的程序提高警惕？
这一榔头砸的越干脆，用户以及软件开发者就越是习惯“最小权限原则”，就越是不会招惹榔头；相对应的，只要是被榔头砸的，那几乎100%有问题！
我自己都自觉不用特权用户；你谁呀？跑我家里想干嘛就干嘛？杀的好杀的好！
但Windows做不到这个。
因为它先天不足，前身是单用户的DOS；其后的Windows 3.x、Windows 95/97/98/me也压根没在乎过权限——亦因此，任何病毒都能在它里面肆虐。
到了Windows xp，微软一看不行了，病毒完全拦不住……不行得来点真格了……
于是他就……
就……
……就允许你选择更安全的ntfs文件系统。
如果你不选择，那一切照旧。
这也是xp上面病毒泛滥的根本原因。
等到了vista，再不来真格的真不行了……微软就断然……
断然不了。
因为它fat32+ntfs混用的xp时代养成了一个用户习惯，就是一切操作都要管理员权限。[1]
这是因为，fat32文件系统压根不存在文件权限一说，所以你想干什么都行；很多人——尤其是程序猿——习惯了这样的程序运行方式……
而ntfs呢，它有文件权限；结果就是“（fat32上面）明明能正常运行的，到你这里怎么就不行了？”
然后，程序猿一个比一个懒蛋。他们干脆就要求所有用户都用管理员！
不然？程序不能运行就怪你！明明别人那里都好好的！！！
——所有师傅本来就应该随便翻你家保险柜，你拦着是你的不对！
——所有工人本来就应该随便刷你的支付宝，你不给刷后果自负！
——所有修理工在任何时候都可以拉你女儿单独到她闺房谈心，谈多久都行，你敢干涉就死给你看！
你看这像话吗？啊？
你说这样的后果是什么。
但没办法。这种惯性已经形成，微软也拦不住。
不然？
xp上面明明好好的，一升级什么vista、Windows 7就不能运行了——这是微软的bug！！！
就特么这么傻叉。
没办法，微软只好做了个极尽温柔的sudo，叫做UAC：
——这位师傅随便翻你家保险柜，我不管，你最好同意他。
——这位工人随便刷你的支付宝，我不管，你最好同意他。
——这位修理工半夜11点拉你女儿单独到她闺房谈心，打算谈个通宵，我不管，你最好同意他。
你看，傻X的要命；但终究是个提醒——您请来这位客人，办的事似乎不太地道。我提示了，你看着办。
这个提醒……怎么说呢，看客人要不要脸。
有的客人要脸：哎呀以后严禁做这种事！谁触发UAC我开除谁！败坏公司形象！
有的客人不要脸：哎呀你还不相信我了？没事没事UAC瞎叫唤——你看你女儿都同意了！
然后呢，也看主人在不在乎。
有的主人很在乎：你是个播放器，你凭什么找我要系统权限？你见过哪个播放器还需要系统权限的？滚滚滚，我就不信不用你就找不到别的了！
有的主人不在乎：哎呀你们随便……老婆也可以你们别争了……不行我自己女装！
你看，习惯的力量是强大的。
被流氓软件屮久了，你就不知道自己有权拒绝了。
你不光不知道UAC为什么提醒你，反而觉得它的提醒烦人。
参考^Linux下兵就是兵匪就是匪；所以稍微熟悉Linux的用户，尤其命令行用户，在敲一个命令前就有预期，就知道某个命令会不会要root权限——不加sudo是因为它的权限隔离做的太好了，以至于很多“感觉”应该要root的操作都可以在普通账户权限下执行（比如它默认修改你自己的环境，影响不到别人；或者某个操作的后台实现的确很敏感，但被它隔离出来的、提供给用户的服务却是安全的，无需特权，等等）。而Windows下乱糟糟一片；更那啥的就是xp时代，硬生生逼用户/开发者养成了默认使用系统/管理员权限的坏习惯。于是所有软件都一股子匪气，不成体统。等它不得不收束权限时，已经无法断然把“触犯UAC的软件”归类为流氓/有害了。不然它的所有开发商全都是流氓——这就是我开头第一句就说“UAC最大的缺点是太温柔”的原因。总之，当UAC出现后，业界头部的正规厂商，尤其习惯了高安全环境的开发者团队，他们或者早就避免使用administrator权限，或者马上彻查、禁止触发UAC的功能上线（我之前的团队就有专门的审查，不能过UAC的代码禁止提交上线，除非有合理理由）。但与之同时，从流氓软件中获利的厂商会继续滥用权限；甚至故意让所有软件——无论需不需要——都去触发UAC，从而给用户一种“UAC是一种只会报假警的垃圾功能”的错觉。事实上，经过多年的磨合，UAC已经完全可以考虑使用更严厉的措辞了。至今仍然屡教不改、滥用UAC的，要么是流氓公司、流氓软件，要么是技术水平极差、极不负责的垃圾公司。它完全可以学Android，直接提示 xx程序申请xx权限，这个权限允许它干什么、有什么风险，然后让用户选择是否授权、是每次都选择授权还是永久授权，等等。你不主动推动平台规范化，它就永远只能一团乱。

在10/11的时代有特殊的意义，防止你破坏或破解Windows UWP，Xbox Live游戏，商店机制及Xbox XVD磁盘镜像。
你有没有注意UWP的文件权限连管理员都不能动。组策略把管理员审批模式关了就是那个“彻底没有UAC”的模式，然后所有UWP都不能启动了。

这个功能就好比手机上的权限控制。
就像你随便打开一个app，问你要蓝牙摄像头麦克风手机储存，通讯录通话等等各种权限一样。
UAC也是为了让你知道有些应用在要着它不该要的权限，你得多留个心眼。

我觉得这很好，对用户分层，有强制力对小白用户防呆又防傻，等用户自己知道组策略关掉了，一般也进化出更多的使用技巧了，也就不太需要防了。

2023.12.6原答
不要把UAC只看做那个弹窗，UAC是一套成熟的app权限管理体系。
哪怕你设置为从不提醒，UAC仍然在发挥作用。
这个作用就如它所说，无法越级访问自己不该访问的内容，没有使用提权模式运行的应用无法访问提权模式应用的上下文（例如获取其窗口，截取其窗口图片等）
打个比方，我使用普通权限启用某个app，那么这个app除非显式的申请UAC令牌授权并且另起一个进程，否则它运行的整个生命周期都不能尝试往Program Files里面写东西。至于这个显示申请UAC授权是否弹窗，你自己可以设置。如果你选择不弹窗，则如果你登录了管理员账户，那么申请管理员身份的请求会直接被通过。如果你登陆的是个普通用户，这个请求仍然会被禁止从而阻止app对你的电脑进行更改。
而禁用UAC意味着所有app全都以提权模式运行，也就是说，我哪怕app里面没有尝试申请过管理员权限，我也可以往Program Files写东西或者做一些很敏感的事情。这种行为其实是非常危险的。
WD算是最后一道防线。因为一个app的特定行为算不算病毒行为其实是很难界定的。打个比方，你发现篡改其他app内存里面的内容，这种事情怎么看怎么像是病毒行为，但是如果你玩个游戏开了个修改器呢？没必要吧？再打个比方，你使用某个外部软件批量扫描和修改了文件的一些东西，例如一批文本文档，把换行从lf改成crlf，这个行为很正常吧，但如果我一不小心改成加密文档并开始勒索你，很好发现和预防么？如果WD无脑把这些行为都算病毒，那这个误报率居高不下，如果不把他们算作病毒，那么有朝一日真的有病毒尝试注入和篡改你的网银，或者有病毒把你的文件都加了密开始勒索又怎么办？
不要把WD，或者现在的新命名，Microsoft Defender（MD）与Windows其他安全防线割裂开来看。你应该把它看作整个Windows安全系统的一个重要组件，是Windows安全系统的一部分，而这个安全系统的全部，是依赖形如：
基础防线：Windows更新、安全启动、软件和驱动签名校验、处理器恶意代码执行防护
第一道防线：高度复杂的账户和密码、Windows Hello、安全处理器（TPM）、文件加密
第二道防线：SmartScreen、Smart App Control、防火墙
第三道防线：漏洞挖掘防御、网络流量审查和防御、内核隔离
第四道防线：组策略、UAC、账户权限控制、文件和注册表权限控制，文件（夹）防勒索保护
第五道防线：Microsoft Defender
挽救措施：安全模式、系统还原、系统修复
微软其实在Windows里面设置了一套非常复杂，行之有效的方法来尝试防御各种病毒和恶意软件去攻破Windows，只是平日它们的存在感太低让你难以察觉而已。如果遇到一个不知道的app，各种同意，授权，允许，从而让它大摇大摆越过这么多防线去为非作歹，那也只能说明自己太蠢，而不是Windows做的不好。当然，以上东西如果稍微善加利用，也可以把自己系统里面的软件和程序给治理的服服帖帖。毕竟你自己才是管理员，它们都是外来者。
退一万步讲
Windows的UAC，比mac动不动就要找你要管理员密码，已经方便了不知道多少倍。
2023.12.26补充：
今天新鲜出炉的病毒。有个人电脑中毒，使用微信发了一个压缩包，里面包括这个文件，下意识以为是doc文档，双击打开，然后，？？？？

当然点否了。后来打算把这个疑似病毒的拖出来分析一下，看看是啥，拖出来结果

考虑到MD并非所有人都使用，你说UAC有没有用。

举个例子：所有航班的乘客和行李都经过严格的安检才能上飞机，但是仍然不能允许乘客进入驾驶舱。
1.安全并不是只有一种防护方式就足够了，一定要多重手段并用才有足够的效果
2.例如修改注册表不能算是病毒，因此 Defender 等杀毒软件是不会将修改注册表的程序当作危险来杀灭的，但是你仍然不能允许这样的程序能随意修改注册表。
3.Linux、macOS 等系统全都有类似的设计，所以真没必要揪着 Windows 的 UAC 说它没必要存在：

我寻思Windows UAC不就是对应Linux的sudo么？怎么题主不问问Linux怎么还要sudo啊？
而且谁规定老物件就要去掉的？题主你按下Win+R 输入CMD 输入dir回车，这个命令在微软这儿有45年历史了。“我的电脑”资源管理器都出来28年了，dir 也没去掉啊。

Win11虽然微软官方明面上强制要TPM2.0、8代以后酷睿CPU才能安装，
但实际上绕过的方法及其简单，注册表里添加两行参数后连单核奔腾都能完美安装Win11。
还有像Win11需要微软账户登录的，也是可以绕过。
至于说为什么......微软的历史包袱屎山代码大沉重了，直到今天依然能找到很多win9x的痕迹。UAC...算了，它还不是特别老

大多数安全问题可以抽象为访问控制的问题
解决访问控制最基本的思路就是对主体(访问者)，客体(资源)划分不同的权限
即低权的主体无法访问高权的客体
你作为计算机的管理员，要有能力知道并决策所有低权主体对高权客体的访问
uac 便将这样一种机制暴露给你，当某主体(可能是木马)访问客体(可能是存放浏览器密码的文件)，会弹出对话框通知你，你可以决定是否授予该主体对客体的访问权限
简单地说，在你清楚主体具体在做什么的情况下，你可以完全阻止主体对客体(敏感资源)的恶意访问
当然作为个人用户，在日常使用中完全清楚每个程序做什么是不可能的，所以一些情况用户可能会直接授权(点"是")，让主体继续执行(显然是不安全的)
defender相当于是一个比大多数普通用户更清楚大多数软件做了什么的角色，可以帮你阻止一部分恶意软件
但是defender不是全知的，有的恶意行为或恶意软件它也无法识别
显然他们不是可以互相替代，而是互补的关系(

其实大部人运行脱裤子.exe 时并不需要确认，反正在家里脱就脱了。
但windows并不只是只为这些人设计的。
所以他有义务防止另一部分在大街上走路的人误触脱裤子.exe

你以为UAC之后病毒变少了，是因为黑客都从良了？

UAC让我知道这个程序很危险
所有弹UAC的我都用沙盘运行
如果沙盘不行,就虚拟机
比如QQ 微信我是装在一个虚拟机里面的不过现在也很少用电脑登录了
比如网盘我装在另外一个虚拟机里面,用的时候再开也很少用

确实不应该留着，就应该在运行之前直接干死，这样用户只会奇怪自己下载的程序到哪去了，是不是压缩包有问题，不会觉得是系统垃圾（

那让linux取消sudo？

因为这是两码事

你有牛逼的杀毒软件、牛逼的防火墙，于是你就最高权限玩耍了
不知道你注意过没有，有的软件弹出这个窗口，即使你选择否，程序还是运行了。也就是说，软件需要你给于的权限，是要做一些你不知道的事情。