安全技巧升级
操作方法
- 01
微软将用户帐户界面(UAC)作为其中最显著的一个新增安全特性。而微软所采用的UAC则是已经在Linux以及基于Unix的MacOSX中使用了很久的安全模型,它要求用户操作一些例如安装软件时的任务需要具备管理员权限。 Windows Vista已经发布了几个月了,那么它所承诺增加安全性是否做到了呢? 微软将用户帐户界面(UAC)作为其中最显著的一个新增安全特性。而微软所采用的UAC则是已经在Linux以及基于Unix的MacOSX中使用了很久的安全模型,它要求用户操作一些例如安装软件时的任务需要具备管理员权限,而在其它的时候,也赋予用户较低的权限。 那么为什么要使用它呢?这都是为了让用户能够远离黑客的侵扰。如果一个攻击者利用未修复的bug对浏览器采取了攻击行为,他就会盗用到用户的权限。因为用户能够安装软件,因此黑客们也能够做到。那么结果会怎样呢?黑客们就会“拥有”你的计算机,并在其之上植入一些木马或是蠕虫,还有一些隐蔽的间谍软件。 许多Windows用户一直都是以管理员身份来运行Windows,因为微软过去从没有让管理员与非管理员之间有过多的区别。而实际上,如果你的权限较低,工作起来会更加困难。 雷德蒙的开发者Wash将Vista作为一个解决方案,以面对与日俱增而又诡秘多变的攻击。但为什么还要等待它呢?遵照我们所说的五种方法,你就可以让你的WindowsXP,设置是更早期版本的Windows,都能得到一个像UAC那样的保护。 一、使用权限受限的用户 一眼看这个方法也许你会觉得在Windows中设置一个非管理员权限的帐户简直容易得让人觉得可笑,而这时你可能会想知道,Vista和它的UAC究竟会出现什么大惊小怪的事情。 是的,你可以很容易地通过几次点击,在控制面板的用户帐户里设置一个低权限的帐户。在此,在你点击“创建一个新帐户”并赋予这个帐户一个名称时,请在创建之前将它设定为“受限”。 这样就完成了吗? 还没有。当这个操作完成后——就犹如在XP中的受限帐户工作时一样,当你在全新安装WindowsXP后或是使用一台新计算机时,如果你使用首先帐户的系统工作一段时间,你就会发现你之前的做法简直是一个梦魇的开端。 你将不能访问你之前存储在“我的文档”中的文档,因为这个文件夹现在已经被锁定在管理员帐户之下。一些你之前安装的程序也会神秘地消失。此时,整个操作系统就像是一个需要花费很长时间进行重新定制的版本。例如Firefox,它的插件将会消失,Word也会恢复到它的标准配置。你必须花费数个小时重新创建这些当你以管理员身份运行XP时的设置。 更别提还会有一些应用程序你将完全无法安装,除非你正处在管理员帐户下。或者说它们能够安装,但在没有管理员权限的情况下它将拒绝运行。你要避免出现这种情况只能够用右键单击这个安装文件,并选择以管理员身份运行,并输入密码,但这并不是一定有效的方式。 总结:没有办法做到,因为这个方法实在太麻烦。 二、使用“运行方式” WindowsXP中有一个名叫“运行方式”的命令,它能够让你暂时地借用其它的帐户来运行应用程序。通常它都被用在一个受限帐户要暂时使用管理员权限的时候,例如,在安装一个程序的时候。 你可以将这些东西都看作是Vista中的UAC所提供的保护功能。 它的理念是用在当你运行最容易受到攻击的应用程序上——浏览器以及电子邮件,你作为一个受限的用户时,即使有最坏的情况发生,恶意软件攻击了你的应用程序,它也不能够将它的恶行发挥到极致。 要让这个方法生效,你就可以在其它程序作为管理员身份运行时,将你的浏览器和电子邮件客户端以受限用户的身份运行。这样就能够减少很多在安装或打开程序时引发的问题,也能够让你保持当前对应用程序的设置,还有日期文件路径等等。 例如,右键点击桌面上的IE快捷方式,在WindowsExplorer或是快速启动栏的菜单中选择“Runas”。接着在下面的用户中输入或选择一个受限用户帐户,并输入密码后点击“确定”。 你可以将这个过程自动化,这样你就不需要每次都点击右键进行操作。右键点击快捷方式后选择“属性”,点击“快捷方式”选项卡,接着点击“高级”按钮。钩选中“以其他用户身份运行”并点击“确定”。从今以后,当你从这个快捷方式打开程序时,首先你会看到的就是一个帐户对话框,再次你可以选择以管理员身份运行或是其他帐户的身份运行,在此,我们所说的是需要选择受限帐户。 总结:不便使用,因为它需要一个受限帐户。 三、使用Process Explorer 尽管如今Sysinternals已经成为了微软的一分子,这个小工具仍然很著名,根据微软所发布的通告,它仍将保持免费。 尽管ProcessExplorer是被设计用于监视关于Windows当前正在运行的进程,但它也有一个特性能够让WindowsXP具有UAC一样的保护功能。选择在ProcessExplorer文件菜单下的“以受限用户身份运行”工具。 点击进入Process Explorer下载页面 就像Windows的“运行方式”功能一样,这能够让你运行像浏览器、电子邮件这些程序时丧失管理员的权限。但这又不同于你使用“运行方式”命令,它不要求你创建一个受限帐户,或是输入一个密码。不同于此的是,它使用了Windows的“CreateRestrictedToken()”API来创建一个安全的上下文关联,称之为一个令牌,它将管理员的权限除去。 你所需要做的就是选择“文件>以受限用户身份运行”,接着输入或通过浏览选择你想要运行的应用程序,例如“outlook.exe”,这样就能够以较低的权限来运行程序了。相比之下,这的确看起来要好很多。 windows7 32位纯净版下载 gzweida.cn/ 总结:流畅易用,但正如Russinovich所承认的那样,并不能保证不受一切安全相关的威胁。 四、DropMycenters 方法三的缺陷在于你需要求助于其它的应用程序——ProcessExplorer来以低权限运行一个程序。这样的方式还是不足以另人完全满意。 当然,Vista会将这一切帐户控制的功能都隐藏在程序的窗格之后,你所需要做的事只不过是点击一个图标。 要模仿这样的工作方式,自动地运行并选择第三方应用程序中关于低权限运行程序的设置,你可以下载DropMycenters,它是一个开发了两年的可执行程序,它能够让你对你的快捷键动动手脚,就能够让你在点击它的时候,应用程序就安全地运行。 它是由微软的一个安全开发人员MichaelHoward所创,DropMycenters所做的事就像它的名字那样:抛弃你程序的权限。要将你的浏览器或电子邮件客户端的快捷方式设置为以受限身份运行是很容易的,而Howard还将这些做成了截屏来详加说明操作步骤,使其更为一幕了然。我们仅有的一个建议是:让这个可执行程序“dropmycenters.exe”处在你的C:分区中的引导层,这样你就不需要对快捷键的目标输入一串较长的路径名。 Sysinternals也提供了一个类似的程序,名叫PsExec,你也很容易在网上下载到它。你可以将它看作是通过命令行来使用ProcessExplore.而使用PsExec的具体方法,在此就不做详解。