再過一段時間Windows Vista就要發布了,或許這段時間會更長。Vista承諾的安全性能也要過上一段時間才會與大家相見。
是它嗎?
微軟一直在鼓吹用戶帳戶管理功能(UAC)是Vista最重要的改進之一。引入UAC是微軟對一直被Linux(及基于Unix的MAC OS X操作系統)使用的安全模式的回應。這種安全模式要求用戶擁有管理員權限來實現某些任務,比如安裝軟件,而在其余時候用戶的權限則要低一些。
為什么要這么做?這樣可以避免用戶被黑客騷擾。如果黑客使用一個尚未修補的漏洞劫持了用戶的瀏覽器,他同時也劫持了用戶的權限。因為那個用戶可以安裝軟件,所以黑客也可以。結果會怎么樣?攻擊者掌控了那臺電腦,可以在里面放置木馬、蠕蟲病毒、惡意軟件和間諜程序。
數百萬的Windows用戶在操作系統上運行著管理員帳戶,因為微軟從來沒有讓改變能更簡單一些。事實上,你得花上一番功夫才能以更少權限運行系統。
面對日益增長且越來越巧妙的攻擊,開發者把Vista作為一個解決方法推出。但為什么要等呢?照搬下面五個策略,你能讓你的Windows XP(甚至是更早的操作系統)體驗到Vista的UAC保護。
方案一:使用受限帳戶
乍一想在Windows里創建一個非管理員帳戶簡直就是非常容易的事情,你肯定會奇怪Vista與UAC功能到底能提供什么保護。
沒錯。你能你可以很容易地創建一個受限帳戶,只需要點開始—設置—控制面板—用戶與帳戶。然后選擇“創建新用戶”,給用戶起個名字,在點“創建帳戶”之前選中“受限用戶”。然后設定一個密碼,你就大功告成了。
這么做正確嗎?
并非如此。一旦設置開始生效——比如使用XP的受限帳戶——當你開始使用一臺新的電腦(或者至少重裝了Windows XP系統),如果你在一臺已經使用了一段時間的系統上這么做,那么你的惡夢就要開始了。
你將沒法訪問你此前存在“我的文檔”里的文件,因為這個文件夾被鎖在管理員帳戶下。而之前安裝的一些程序也會消失不見。此外,即使程序仍然可用,你所有的自定義設置也將失效,程序將回溯到初始設置。以Firefox為例子,它的所有擴展程序都會丟失,微軟的Word回溯到它的標準設置。使用XP時你得花上好些時間來重新設置它們。
更別提還有些程序你只能在管理員模式下才能安裝了。即使安裝好了,沒有管理員權限你也別想運行它。(你可以暫時回避這個問題,鼠標右標點擊一個程序文件,并選擇“運行方式”,然后選擇一個擁有管理員權限的帳戶,并鍵入密碼。不過這么做是沒有什么保證的。)
概述:這么做行不通,因為有太多的問題。
方案二:運行方式
Windows XP有一項功能叫做“運行方式”,能讓你臨時地使用另外一個用戶帳戶。通常被用來讓權限較低的用戶暫時擁有管理員權限,以便安裝某個程序。
但你也可以用它來模擬Vista UAC提供的某些保護。
方法是這樣的,運行最易受到攻擊的程序時——你的瀏覽器和郵件收發程序是其中兩個——使用低權限用戶。這樣即使惡意軟件劫持了這些程序,情況也不至于壞到哪里去。
讓這種方法行之有效,以低權限用戶運行你的瀏覽器——比如IE或者Firefox——和郵件程序,而在其它操作時則使用管理員帳戶。這樣就避免了使用受限用戶時碰到程序安裝/啟動時出現問題的可能。同時你可以保留當前程序的自定義設置,數據文件的位置等等。
舉例來說,右鍵單擊桌面上IE的快鍵方式,在Windows 資源管理器里或者快速啟動欄里的。從菜單中選擇“運行方式”。選擇“下列用戶”。然后或者輸入或者選一個受限用戶帳號,輸入密碼并點“確定”。
你可以讓這個過程自動運行而無需右擊程序圖標。右擊快捷方式,選擇“屬性”,單擊“快捷方式”標簽,然后是“高級”按鈕。選中“以其它用戶身份運行”然后點“確定”。以后你再從這個快捷方式啟動程序,你馬上就能看到一個對話框讓你選擇是以管理員身份還是其它身份運行這個程序——在這里,是使用受限用戶帳戶。
概述:這種方案不太靈活因為需要一個受限的用戶帳戶。
方案三:使用進程管理器
盡管Sysinternals現在已是微軟的一小部分,但它的這款著名的免費工具——根據微軟外部的聲明——仍將是免費的。
從Sysinternals的網站上下載進程管理器,這個網站由Wintemals托管,Wintemals由兩人共同成立,其中之一是因發現了Sony音樂CD里的木馬程序而享有盛名的Mark Russinovich。
盡管進程管理器是用來顯示Windows當前運行著的進程的信息的——把它看成是一個誤碼率為¼的任務管理器——它有助于在Windows XP里成倍提高一些UAC功能下的安全保護。“以受限用戶運行”的功能就包括在進程管理器的文件菜單里。
就像Windows擁有“運行方式”命令一樣,在非管理員權限下運行某個程序——瀏覽器,或者郵件程序。不像使用“運行方式”時那樣要求你輸入一個受限帳戶或者密碼。相反,它使用的Windows的CreatedRestrictedToken API應用程序接口,來創建被叫做token的安全環境,把管理員權限給去掉了。
你所需要做的就是選擇文件—運行,然后以受限用戶運行。然后輸入或者選擇想要運行的程序,比如“Outlook.exe”,以更少的權限運行它。這非常的不錯。
概述:這樣做非常靈活。不過就像Russinovich承認的那樣,這并無法保證能對付所有的可能安全威脅。
方案二:運行方式
Windows XP有一項功能叫做“運行方式”,能讓你臨時地使用另外一個用戶帳戶。通常被用來讓權限較低的用戶暫時擁有管理員權限,以便安裝某個程序。
但你也可以用它來模擬Vista UAC提供的某些保護。
方法是這樣的,運行最易受到攻擊的程序時——你的瀏覽器和郵件收發程序是其中兩個——使用低權限用戶。這樣即使惡意軟件劫持了這些程序,情況也不至于壞到哪里去。
讓這種方法行之有效,以低權限用戶運行你的瀏覽器——比如IE或者Firefox——和郵件程序,而在其它操作時則使用管理員帳戶。這樣就避免了使用受限用戶時碰到程序安裝/啟動時出現問題的可能。同時你可以保留當前程序的自定義設置,數據文件的位置等等。
舉例來說,右鍵單擊桌面上IE的快鍵方式,在Windows 資源管理器里或者快速啟動欄里的。從菜單中選擇“運行方式”。選擇“下列用戶”。然后或者輸入或者選一個受限用戶帳號,輸入密碼并點“確定”。
你可以讓這個過程自動運行而無需右擊程序圖標。右擊快捷方式,選擇“屬性”,單擊“快捷方式”標簽,然后是“高級”按鈕。選中“以其它用戶身份運行”然后點“確定”。以后你再從這個快捷方式啟動程序,你馬上就能看到一個對話框讓你選擇是以管理員身份還是其它身份運行這個程序——在這里,是使用受限用戶帳戶。
概述:這種方案不太靈活因為需要一個受限的用戶帳戶。
方案三:使用進程管理器
盡管Sysinternals現在已是微軟的一小部分,但它的這款著名的免費工具——根據微軟外部的聲明——仍將是免費的。
從Sysinternals的網站上下載進程管理器,這個網站由Wintemals托管,Wintemals由兩人共同成立,其中之一是因發現了Sony音樂CD里的木馬程序而享有盛名的Mark Russinovich。
盡管進程管理器是用來顯示Windows當前運行著的進程的信息的——把它看成是一個誤碼率為¼的任務管理器——它有助于在Windows XP里成倍提高一些UAC功能下的安全保護。“以受限用戶運行”的功能就包括在進程管理器的文件菜單里。
就像Windows擁有“運行方式”命令一樣,在非管理員權限下運行某個程序——瀏覽器,或者郵件程序。不像使用“運行方式”時那樣要求你輸入一個受限帳戶或者密碼。相反,它使用的Windows的CreatedRestrictedToken API應用程序接口,來創建被叫做token的安全環境,把管理員權限給去掉了。
你所需要做的就是選擇文件—運行,然后以受限用戶運行。然后輸入或者選擇想要運行的程序,比如“Outlook.exe”,以更少的權限運行它。這非常的不錯。
概述:這樣做非常靈活。不過就像Russinovich承認的那樣,這并無法保證能對付所有的可能安全威脅。
