再過一段時(shí)間Windows Vista就要發(fā)布了,或許這段時(shí)間會(huì)更長。Vista承諾的安全性能也要過上一段時(shí)間才會(huì)與大家相見。
是它嗎?
微軟一直在鼓吹用戶帳戶管理功能(UAC)是Vista最重要的改進(jìn)之一。引入U(xiǎn)AC是微軟對(duì)一直被Linux(及基于Unix的MAC OS X操作系統(tǒng))使用的安全模式的回應(yīng)。這種安全模式要求用戶擁有管理員權(quán)限來實(shí)現(xiàn)某些任務(wù),比如安裝軟件,而在其余時(shí)候用戶的權(quán)限則要低一些。
為什么要這么做?這樣可以避免用戶被黑客騷擾。如果黑客使用一個(gè)尚未修補(bǔ)的漏洞劫持了用戶的瀏覽器,他同時(shí)也劫持了用戶的權(quán)限。因?yàn)槟莻€(gè)用戶可以安裝軟件,所以黑客也可以。結(jié)果會(huì)怎么樣?攻擊者掌控了那臺(tái)電腦,可以在里面放置木馬、蠕蟲病毒、惡意軟件和間諜程序。
數(shù)百萬的Windows用戶在操作系統(tǒng)上運(yùn)行著管理員帳戶,因?yàn)槲④洀膩頉]有讓改變能更簡單一些。事實(shí)上,你得花上一番功夫才能以更少權(quán)限運(yùn)行系統(tǒng)。
面對(duì)日益增長且越來越巧妙的攻擊,開發(fā)者把Vista作為一個(gè)解決方法推出。但為什么要等呢?照搬下面五個(gè)策略,你能讓你的Windows XP(甚至是更早的操作系統(tǒng))體驗(yàn)到Vista的UAC保護(hù)。
方案一:使用受限帳戶
乍一想在Windows里創(chuàng)建一個(gè)非管理員帳戶簡直就是非常容易的事情,你肯定會(huì)奇怪Vista與UAC功能到底能提供什么保護(hù)。
沒錯(cuò)。你能你可以很容易地創(chuàng)建一個(gè)受限帳戶,只需要點(diǎn)開始—設(shè)置—控制面板—用戶與帳戶。然后選擇“創(chuàng)建新用戶”,給用戶起個(gè)名字,在點(diǎn)“創(chuàng)建帳戶”之前選中“受限用戶”。然后設(shè)定一個(gè)密碼,你就大功告成了。
這么做正確嗎?
并非如此。一旦設(shè)置開始生效——比如使用XP的受限帳戶——當(dāng)你開始使用一臺(tái)新的電腦(或者至少重裝了Windows XP系統(tǒng)),如果你在一臺(tái)已經(jīng)使用了一段時(shí)間的系統(tǒng)上這么做,那么你的惡夢就要開始了。
你將沒法訪問你此前存在“我的文檔”里的文件,因?yàn)檫@個(gè)文件夾被鎖在管理員帳戶下。而之前安裝的一些程序也會(huì)消失不見。此外,即使程序仍然可用,你所有的自定義設(shè)置也將失效,程序?qū)⒒厮莸匠跏荚O(shè)置。以Firefox為例子,它的所有擴(kuò)展程序都會(huì)丟失,微軟的Word回溯到它的標(biāo)準(zhǔn)設(shè)置。使用XP時(shí)你得花上好些時(shí)間來重新設(shè)置它們。
更別提還有些程序你只能在管理員模式下才能安裝了。即使安裝好了,沒有管理員權(quán)限你也別想運(yùn)行它。(你可以暫時(shí)回避這個(gè)問題,鼠標(biāo)右標(biāo)點(diǎn)擊一個(gè)程序文件,并選擇“運(yùn)行方式”,然后選擇一個(gè)擁有管理員權(quán)限的帳戶,并鍵入密碼。不過這么做是沒有什么保證的。)
概述:這么做行不通,因?yàn)橛刑嗟膯栴}。
方案二:運(yùn)行方式
Windows XP有一項(xiàng)功能叫做“運(yùn)行方式”,能讓你臨時(shí)地使用另外一個(gè)用戶帳戶。通常被用來讓權(quán)限較低的用戶暫時(shí)擁有管理員權(quán)限,以便安裝某個(gè)程序。
但你也可以用它來模擬Vista UAC提供的某些保護(hù)。
方法是這樣的,運(yùn)行最易受到攻擊的程序時(shí)——你的瀏覽器和郵件收發(fā)程序是其中兩個(gè)——使用低權(quán)限用戶。這樣即使惡意軟件劫持了這些程序,情況也不至于壞到哪里去。
讓這種方法行之有效,以低權(quán)限用戶運(yùn)行你的瀏覽器——比如IE或者Firefox——和郵件程序,而在其它操作時(shí)則使用管理員帳戶。這樣就避免了使用受限用戶時(shí)碰到程序安裝/啟動(dòng)時(shí)出現(xiàn)問題的可能。同時(shí)你可以保留當(dāng)前程序的自定義設(shè)置,數(shù)據(jù)文件的位置等等。
舉例來說,右鍵單擊桌面上IE的快鍵方式,在Windows 資源管理器里或者快速啟動(dòng)欄里的。從菜單中選擇“運(yùn)行方式”。選擇“下列用戶”。然后或者輸入或者選一個(gè)受限用戶帳號(hào),輸入密碼并點(diǎn)“確定”。
你可以讓這個(gè)過程自動(dòng)運(yùn)行而無需右擊程序圖標(biāo)。右擊快捷方式,選擇“屬性”,單擊“快捷方式”標(biāo)簽,然后是“高級(jí)”按鈕。選中“以其它用戶身份運(yùn)行”然后點(diǎn)“確定”。以后你再從這個(gè)快捷方式啟動(dòng)程序,你馬上就能看到一個(gè)對(duì)話框讓你選擇是以管理員身份還是其它身份運(yùn)行這個(gè)程序——在這里,是使用受限用戶帳戶。
概述:這種方案不太靈活因?yàn)樾枰粋€(gè)受限的用戶帳戶。
方案三:使用進(jìn)程管理器
盡管Sysinternals現(xiàn)在已是微軟的一小部分,但它的這款著名的免費(fèi)工具——根據(jù)微軟外部的聲明——仍將是免費(fèi)的。
從Sysinternals的網(wǎng)站上下載進(jìn)程管理器,這個(gè)網(wǎng)站由Wintemals托管,Wintemals由兩人共同成立,其中之一是因發(fā)現(xiàn)了Sony音樂CD里的木馬程序而享有盛名的Mark Russinovich。
盡管進(jìn)程管理器是用來顯示W(wǎng)indows當(dāng)前運(yùn)行著的進(jìn)程的信息的——把它看成是一個(gè)誤碼率為¼的任務(wù)管理器——它有助于在Windows XP里成倍提高一些UAC功能下的安全保護(hù)。“以受限用戶運(yùn)行”的功能就包括在進(jìn)程管理器的文件菜單里。
就像Windows擁有“運(yùn)行方式”命令一樣,在非管理員權(quán)限下運(yùn)行某個(gè)程序——瀏覽器,或者郵件程序。不像使用“運(yùn)行方式”時(shí)那樣要求你輸入一個(gè)受限帳戶或者密碼。相反,它使用的Windows的CreatedRestrictedToken API應(yīng)用程序接口,來創(chuàng)建被叫做token的安全環(huán)境,把管理員權(quán)限給去掉了。
你所需要做的就是選擇文件—運(yùn)行,然后以受限用戶運(yùn)行。然后輸入或者選擇想要運(yùn)行的程序,比如“Outlook.exe”,以更少的權(quán)限運(yùn)行它。這非常的不錯(cuò)。
概述:這樣做非常靈活。不過就像Russinovich承認(rèn)的那樣,這并無法保證能對(duì)付所有的可能安全威脅。
方案二:運(yùn)行方式
Windows XP有一項(xiàng)功能叫做“運(yùn)行方式”,能讓你臨時(shí)地使用另外一個(gè)用戶帳戶。通常被用來讓權(quán)限較低的用戶暫時(shí)擁有管理員權(quán)限,以便安裝某個(gè)程序。
但你也可以用它來模擬Vista UAC提供的某些保護(hù)。
方法是這樣的,運(yùn)行最易受到攻擊的程序時(shí)——你的瀏覽器和郵件收發(fā)程序是其中兩個(gè)——使用低權(quán)限用戶。這樣即使惡意軟件劫持了這些程序,情況也不至于壞到哪里去。
讓這種方法行之有效,以低權(quán)限用戶運(yùn)行你的瀏覽器——比如IE或者Firefox——和郵件程序,而在其它操作時(shí)則使用管理員帳戶。這樣就避免了使用受限用戶時(shí)碰到程序安裝/啟動(dòng)時(shí)出現(xiàn)問題的可能。同時(shí)你可以保留當(dāng)前程序的自定義設(shè)置,數(shù)據(jù)文件的位置等等。
舉例來說,右鍵單擊桌面上IE的快鍵方式,在Windows 資源管理器里或者快速啟動(dòng)欄里的。從菜單中選擇“運(yùn)行方式”。選擇“下列用戶”。然后或者輸入或者選一個(gè)受限用戶帳號(hào),輸入密碼并點(diǎn)“確定”。
你可以讓這個(gè)過程自動(dòng)運(yùn)行而無需右擊程序圖標(biāo)。右擊快捷方式,選擇“屬性”,單擊“快捷方式”標(biāo)簽,然后是“高級(jí)”按鈕。選中“以其它用戶身份運(yùn)行”然后點(diǎn)“確定”。以后你再從這個(gè)快捷方式啟動(dòng)程序,你馬上就能看到一個(gè)對(duì)話框讓你選擇是以管理員身份還是其它身份運(yùn)行這個(gè)程序——在這里,是使用受限用戶帳戶。
概述:這種方案不太靈活因?yàn)樾枰粋€(gè)受限的用戶帳戶。
方案三:使用進(jìn)程管理器
盡管Sysinternals現(xiàn)在已是微軟的一小部分,但它的這款著名的免費(fèi)工具——根據(jù)微軟外部的聲明——仍將是免費(fèi)的。
從Sysinternals的網(wǎng)站上下載進(jìn)程管理器,這個(gè)網(wǎng)站由Wintemals托管,Wintemals由兩人共同成立,其中之一是因發(fā)現(xiàn)了Sony音樂CD里的木馬程序而享有盛名的Mark Russinovich。
盡管進(jìn)程管理器是用來顯示W(wǎng)indows當(dāng)前運(yùn)行著的進(jìn)程的信息的——把它看成是一個(gè)誤碼率為¼的任務(wù)管理器——它有助于在Windows XP里成倍提高一些UAC功能下的安全保護(hù)。“以受限用戶運(yùn)行”的功能就包括在進(jìn)程管理器的文件菜單里。
就像Windows擁有“運(yùn)行方式”命令一樣,在非管理員權(quán)限下運(yùn)行某個(gè)程序——瀏覽器,或者郵件程序。不像使用“運(yùn)行方式”時(shí)那樣要求你輸入一個(gè)受限帳戶或者密碼。相反,它使用的Windows的CreatedRestrictedToken API應(yīng)用程序接口,來創(chuàng)建被叫做token的安全環(huán)境,把管理員權(quán)限給去掉了。
你所需要做的就是選擇文件—運(yùn)行,然后以受限用戶運(yùn)行。然后輸入或者選擇想要運(yùn)行的程序,比如“Outlook.exe”,以更少的權(quán)限運(yùn)行它。這非常的不錯(cuò)。
概述:這樣做非常靈活。不過就像Russinovich承認(rèn)的那樣,這并無法保證能對(duì)付所有的可能安全威脅。
