微軟將使用者帳戶介面(UAC)作為其中最顯著的一個新增安全特性。而微軟所採用的UAC則是已經在Linux以及基於Unix的MacOSX中使用了很久的安全模型,它要求使用者操作一些例如安裝軟體時的任務需要具備管理員許可權。
Windows Vista已經發佈了幾個月了,那麼它所承諾增加安全性是否做到了呢?
微軟將使用者帳戶介面(UAC)作為其中最顯著的一個新增安全特性。而微軟所採用的UAC則是已經在Linux以及基於Unix的MacOSX中使用了很久的安全模型,它要求使用者操作一些例如安裝軟體時的任務需要具備管理員許可權,而在其它的時候,也賦予用戶較低的許可權。
那麼為什麼要使用它呢?這都是為了讓用戶能夠遠離駭客的侵擾。如果一個攻擊者利用未修復的bug對流覽器採取了攻擊行為,他就會盜用到用戶的許可權。因為使用者能夠安裝軟體,因此駭客們也能夠做到。那麼結果會怎樣呢?駭客們就會“擁有”你的電腦,並在其之上植入一些木馬或是蠕蟲,還有一些隱蔽的間諜軟體。
許多Windows用戶一直都是以管理員身份來運行Windows,因為微軟過去從沒有讓管理員與非管理員之間有過多的區別。而實際上,如果你的許可權較低,工作起來會更加困難。
雷德蒙的開發者Wash將Vista作為一個解決方案,以面對與日俱增而又詭秘多變的攻擊。但為什麼還要等待它呢?遵照我們所說的五種方法,你就可以讓你的WindowsXP,設置是更早期版本的Windows,都能得到一個像UAC那樣的保護。
一、使用權限受限的用戶
一眼看這個方法也許你會覺得在Windows中設置一個非管理員許可權的帳戶簡直容易得讓人覺得可笑,而這時你可能會想知道,Vista和它的UAC究竟會出現什麼大驚小怪的事情。
是的,你可以很容易地通過幾次點擊,在控制台的使用者帳戶裡設置一個低許可權的帳戶。在此,在你點擊“創建一個新帳戶”並賦予這個帳戶一個名稱時,請在創建之前將它設定為“受限”。
這樣就完成了嗎?
還沒有。當這個操作完成後——就猶如在XP中的受限帳戶工作時一樣,當你在全新安裝WindowsXP後或是使用一台新電腦時,如果你使用首先帳戶的系統工作一段時間,你就會發現你之前的做法簡直是一個夢魘的開端。
你將不能訪問你之前存儲在“我的檔”中的文檔,因為這個資料夾現在已經被鎖定在管理員帳戶之下。一些你之前安裝的程式也會神秘地消失。此時,整個作業系統就像是一個需要花費很長時間進行重新定制的版本。例如Firefox,它的外掛程式將會消失,Word也會恢復到它的標準配置。你必須花費數個小時重新創建這些當你以管理員身份運行XP時的設置。
更別提還會有一些應用程式你將完全無法安裝,除非你正處在管理員帳戶下。或者說它們能夠安裝,但在沒有管理員許可權的情況下它將拒絕運行。你要避免出現這種情況只能夠用按右鍵這個安裝檔,並選擇以管理員身份運行,並輸入密碼,但這並不是一定有效的方式。
總結:沒有辦法做到,因為這個方法實在太麻煩。
二、使用“運行方式”
WindowsXP中有一個名叫“運行方式”的命令,它能夠讓你暫時地借用其它的帳戶來運行應用程式。通常它都被用在一個受限帳戶要暫時使用管理員許可權的時候,例如,在安裝一個程式的時候。
你可以將這些東西都看作是Vista中的UAC所提供的保護功能。
它的理念是用在當你運行最容易受到攻擊的應用程式上——流覽器以及電子郵件,你作為一個受限的用戶時,即使有最壞的情況發生,惡意軟體攻擊了你的應用程式,它也不能夠將它的惡行發揮到極致。
要讓這個方法生效,你就可以在其它程式作為管理員身份運行時,將你的流覽器和電子郵件用戶端以受限用戶的身份運行。這樣就能夠減少很多在安裝或打開程式時引發的問題,也能夠讓你保持當前對應用程式的設置,還有日期檔路徑等等。
例如,右鍵點擊桌面上的IE快捷方式,在WindowsExplorer或是快速啟動欄的功能表中選擇“Runas”。接著在下麵的用戶中輸入或選擇一個受限使用者帳戶,並輸入密碼後點擊“確定”。
你可以將這個過程自動化,這樣你就不需要每次都點擊右鍵進行操作。右鍵點擊快捷方式後選擇“屬性”,點擊“快捷方式”選項卡,接著點擊“高級” 按鈕。鉤選中“以其他用戶身份運行”並點擊“確定”。從今以後,當你從這個快捷方式打開程式時,首先你會看到的就是一個帳戶對話方塊,再次你可以選擇以管理員身份運行或是其他帳戶的身份運行,在此,我們所說的是需要選擇受限帳戶。
總結:不便使用,因為它需要一個受限帳戶。
三、使用Process Explorer
儘管如今Sysinternals已經成為了微軟的一分子,這個小工具仍然很著名,根據微軟所發佈的通告,它仍將保持免費。
儘管ProcessExplorer是被設計用於監視關於Windows當前正在運行的進程,但它也有一個特性能夠讓WindowsXP具有UAC一樣的保護功能。選擇在ProcessExplorer檔功能表下的“以受限用戶身份運行”工具。
點擊進入Process Explorer下載頁面
就像Windows的“運行方式”功能一樣,這能夠讓你運行像流覽器、電子郵件這些程式時喪失管理員的許可權。但這又不同於你使用“運行方式”命令,它不要求你創建一個受限帳戶,或是輸入一個密碼。不同於此的是,它使用了Windows的“CreateRestrictedToken()”API 來創建一個安全的上下文關聯,稱之為一個權杖,它將管理員的許可權除去。
你所需要做的就是選擇“檔>以受限用戶身份運行”,接著輸入或通過流覽選擇你想要運行的應用程式,例如“outlook.exe”,這樣就能夠以較低的許可權來運行程式了。相比之下,這的確看起來要好很多。
總結:流暢易用,但正如Russinovich所承認的那樣,並不能保證不受一切安全相關的威脅。
四、DropMycenters
方法三的缺陷在於你需要求助於其它的應用程式——ProcessExplorer來以低許可權運行一個程式。這樣的方式還是不足以另人完全滿意。
當然,Vista會將這一切帳戶控制的功能都隱藏在程式的窗格之後,你所需要做的事只不過是點擊一個圖示。
要模仿這樣的工作方式,自動地運行並選擇協力廠商應用程式中關於低許可權運行程式的設置,你可以下載DropMycenters,它是一個開發了兩年的可執行程式,它能夠讓你對你的快速鍵動動手腳,就能夠讓你在點擊它的時候,應用程式就安全地運行。
它是由微軟的一個安全開發人員MichaelHoward所創,DropMycenters所做的事就像它的名字那樣:拋棄你程式的許可權。要將你的流覽器或電子郵件用戶端的快捷方式設置為以受限身份運行是很容易的,而Howard還將這些做成了截屏來詳加說明操作步驟,使其更為一幕了然。我們僅有的一個建議是:讓這個可執行程式“dropmycenters.exe”處在你的C:分區中的引導層,這樣你就不需要對快速鍵的目標輸入一串較長的路徑名。
Sysinternals也提供了一個類似的程式,名叫PsExec,你也很容易在網上下載到它。你可以將它看作是通過命令列來使用ProcessExplore.而使用PsExec的具體方法,在此就不做詳解。
總結:設置程式以受限許可權運行的工作量還是值得花費的。 |
