將最小特權原則應用到 Windows XP 上的使用者帳戶

weixin_34377065發表於2006-07-23
將最小特權原則應用到 Windows XP 上的使用者帳戶

釋出日期: 2006年07月03日
若要檢視有關本指南的評論或討論,請訪問 [url]http://blogs.technet.com/secguide[/url]

本頁內容
引言
與管理特權相關的風險
最小特權原則的定義
LUA 方法的定義
LUA 方法的好處
風險、安全性、可用性及成本的權衡
實現 LUA 方法
未來發展
總結
資源
鳴謝

引言
聯網技術的最新發展(如與 Internet 間的永久連線)給各種規模的組織帶來了極大的機遇。不幸的是,計算機與網路(尤其是 Internet)之間的連線增加了遭到惡意軟體和外部***者***的風險,各種風險此伏彼起。

Sophos 是一家 Internet 安全公司,它發現,檢測到的惡意程式的數量由 1999 年 11 月的 45,879 個上升到 2005 年 11 月的 114,082 個,在過去六年中以每年至少 10% 的速度增長。2005 年 11 月,Sophos 發現了 1,900 多個新的惡意軟體,如病毒、特洛伊***和間諜軟體程式。其他防病毒供應商所報告的惡意軟體的數量和型別方面的增長情況與此類似。

賦予使用者對客戶端計算機的管理權利的傾向,是造成惡意軟體的風險不斷增加的重要因素。如果使用者或管理員使用管理權利登入,他們執行的所有程式,如瀏覽器、電子郵件客戶端和即時訊息程式等,也同樣具有管理權利。如果這些程式啟用了惡意軟體,惡意軟體就可以進行自安裝,操縱諸如防病毒程式之類的服務,甚至隱藏在作業系統中。使用者可能在無意識且不知情的情況下,訪問一個其安全性已受到破壞的網站或單擊電子郵件中的連結或執行其他操作,進而導致惡意軟體執行。

惡意軟體會給組織帶來許多威脅,包括利用擊鍵記錄程式截獲使用者的登入憑據以及使用***程式套件完全控制計算機或整個網路等等。惡意軟體可以導致網站無法訪問、損壞或破壞資料以及重新格式化硬碟。所造成的後果中可能還包括增加成本,如清除計算機病毒感染、還原檔案、重新輸入或重新建立丟失的資料等所需的成本。病毒***還可能導致專案組無法按時完成任務,從而導致違反合同或失去客戶的信任。受某種規章制約的組織可能會面臨被起訴和罰款的尷尬局面。

注意   有關***程式套件的詳細資訊,請參閱 Wikipedia 上的***程式套件定義,網址是 [url]http://en.wikipedia.org/wiki/Rootkit[/url]

最小特權使用者帳戶方法
採用一種包含相互復疊的多個安全層的縱深防禦策略,是應對這些威脅的最佳方法,而最小特權使用者帳戶 (LUA) 方法是該防禦策略的重要組成部分。LUA 方法可確保使用者遵守最小特權原則並始終以受限使用者帳戶登入。此策略還有一個目的,就是將管理憑據限制為僅供管理員使用,而且只能用來執行管理任務。

LUA 方法可顯著降低惡意軟體和意外錯誤配置所帶來的風險。但是,由於 LUA 方法需要組織規劃、測試並支援受限訪問配置,因此,實現此方法需要付出很高的成本,而且需要處理很多棘手的問題。這些成本可能包括重新開發自定義程式、更改運作流程以及部署其他工具等所需的成本。

重要說明   由於很難找到有關使用受限使用者帳戶的實用工具和指導,本白皮書參考了第三方工具和一些來自網路日誌和其他非官方來源的指導資訊。Microsoft 不就這些工具或指導對您的環境的適用性做任何擔保。您應該首先對這些指令或程式進行測試,然後再進行部署。所有安全問題都沒有完美的答案,本軟體和指導也不例外。

目標讀者
本白皮書的目標讀者有兩類:

• 需要了解 LUA 方法的概念和 LUA 方法所產生的組織問題的業務決策者。

• 需要了解在組織內實現 LUA 方法時應當選擇的選項的 IT 專業人士。


主題
本文件討論組織在將 LUA 方法應用到執行 Microsoft® Windows® XP 的計算機時可能遇到的問題和注意事項。內容涵蓋以下主題:

• 與管理特權相關的風險

• 最小特權原則的定義

• LUA 方法的定義

• LUA 方法的好處

• 風險、安全性、可用性及成本的權衡

• 實現 LUA 方法

• 未來發展


本白皮書還介紹了影響 LUA 方法實現的高階別問題,並提供了一些指向詳細說明這些概念的其他線上資源的有用連結。

注意   本白皮書中不解釋有關使用最小特權帳戶執行系統服務的問題。有關此主題的詳細資訊,請參閱服務和服務帳戶安全規劃指南,網址為 [url]http://www.microsoft.com/china/technet/security/topics/serversecurity/serviceaccount/default.mspx[/url]

返回頁首
與管理特權相關的風險
許多組織通常都會賦予使用者對其計算機的管理特權。這種情況對於行動式計算機尤其普遍,且通常是基於以下原因:

• 為使某些程式能夠正常執行。某些程式只有在使用者具有管理許可權時才能執行。通常,如果程式將使用者資料儲存在登錄檔或檔案系統中,而且非管理帳戶無法訪問這些位置,就會出現這種情況。

• 為使使用者能夠執行管理操作,如更改計算機的時區。

• 為使移動使用者能夠安裝與工作相關的硬體或軟體,如列印裝置或 DVD 燒錄機及相關程式。


儘管可能還有其他為使用者提供管理權利的正當理由,但這種做法會顯著增加計算機遭到破壞和採用不當配置的風險。這些風險可能會影響組織運營中的諸多方面。

試考慮以下情況:高階主管定期到客戶的辦公地點,用行動式計算機進行演示。因為是高階主管,所以他堅持要求獲得他的計算機的本地管理權利。他剛要向重要客戶演示一個關鍵的銷售簡報,這時,一條***性訊息出現在他的行動式計算機的螢幕上,隨後他的計算機被鎖定了。在慌忙重新啟動計算機後,該主管發現他的硬碟已經被重新格式化了。結果是,未能向客戶展示銷售簡報,訂單拱手讓給了競爭對手。

在上述情況中,當該主管瀏覽遭到破壞的網站時,惡意軟體感染了他的計算機,導致了該***性訊息的出現以及隨後的資料破壞。該主管在訪問網路時,是以本地 Administrators 組成員的身份登入到他的行動式計算機的。此組成員身份所具有的權利和特權使惡意軟體能夠禁用防病毒軟體、進行自安裝、操縱登錄檔以及在 Windows 系統目錄中放置檔案。該主管的計算機現在已經遭到破壞,隨時可以執行惡意軟體的命令。

其他可以利用管理帳戶的較高特權的情形包括使用者單擊電子郵件中的連結或播放包含數字權利管理軟體的音樂 CD 的情況。與使用受限使用者帳戶的使用者相比,具有管理權利的使用者的計算機可能更容易受到破壞,這是一個常見的因素。

返回頁首
最小特權原則的定義
《國防部可信計算機系統評估標準 (DOD-5200.28-STD)》(Department of Defense Trusted Computer System Evaluation Criteria),又稱《橙皮書》,是廣為接受的電腦保安標準。此出版物中將最小特權定義為以下原則:要求賦予系統中每個使用者執行授權任務所需的限制性最強的一組特權(即最低許可)。本原則的應用將限制因意外、錯誤或未經授權使用而造成的損害。

返回頁首
LUA 方法的定義
本白皮書中將 LUA 方法定義為在執行 Windows XP 的計算機上實際實現最小特權原則。具體來說,Windows XP 上的使用者、程式和服務應該只具有執行分配給他們/它們的任務所需的最小權利和許可權。

注意   一定要了解權利和許可權之間的區別。權利定義使用者可以在計算機上執行的任務,而許可權定義使用者可以對計算機上的物件執行的操作。因此,使用者需要“權利”來關閉計算機,需要“許可權”來訪問檔案。

LUA 方法是建議、工具及最佳做法的組合,使組織能夠使用非管理帳戶操作執行 Windows XP 的計算機。LUA 方法需要組織重新評估計算機的角色和使用者對其裝置應具有的訪問級別。它還給出了使用受限使用者帳戶進行操作的策略性以及日常注意事項,以及如何解決出現的問題。這些問題包括如遠端使用者需要對他們的計算機進行配置更改等多個方面。

LUA 方法還適用於應用程式開發和測試。開發人員(有時包括測試人員)通常使用具有管理權利的帳戶登入到他們的計算機。此配置可導致開發人員公開那些需要類似的高階特權才能執行的已編譯程式。開發人員會建議採用“安全變通方法”,如將使用者帳戶放入本地 Administrators 組或授予使用者對 Windows 系統資料夾的完全控制許可權,而非通過重新設計應用程式來使其正常工作。

LUA 方法就是要抵制這種將管理權利和許可權賦予需要訪問資源的每個使用者或程式的傾向。遵守最小特權原則的程式不會嘗試拒絕對資源的合法請求,而是根據合理的安全指南授予訪問許可權。

有關建立應用程式的最佳做法的詳細資訊,請參閱在特權下執行,網址為 [url]http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secbp/security/running_with_special_privileges.asp[/url]

Windows XP 帳戶
若要了解 LUA 方法的工作原理,應瞭解 Windows XP 中管理帳戶和非管理帳戶之間的區別,並瞭解 Windows 如何啟動和執行程式。還有必要簡單瞭解基於工作組和基於域的網路中的組。

執行 Windows XP 的計算機在本地安全帳戶管理器 (SAM) 中維護有一個獨立的安全資料庫。SAM 負責儲存本地使用者和組資訊,幷包含數個預設組,如:

• Administrators。具有計算機的完全且無限制的訪問許可權。

• Power Users。具有較為受限的管理權利,如共享檔案、安裝本地印表機以及更改系統時間等。Power users 還具有訪問 Windows 系統資料夾中檔案的擴充套件許可權。

• Users。具有受限的使用者權利,以防意外或故意更改系統範圍的設定。“僅”屬於此組的使用者帳戶被稱為“受限使用者帳戶”。

• Guests。比受限使用者具有的許可權還要少。


使用者帳戶所具有的權利是根據他們在這些組(一個或多個)中的成員身份來授予的。例如,內建管理員帳戶具有管理權利,是因為它是 Administrators 組的成員。此組成員身份賦予管理員帳戶提升的許可權,例如從遠端計算機強制系統關閉的許可權。

基於工作組的計算機完全自我管理,只驗證其自己的 SAM 中的組和使用者。在工作組計算機加入域時,本地組成員身份會發生變化。除現有組之外,Domain Users 組會成為本地 Users 組的成員,Domain Admins 組會成為 Administrators 組的成員。這種變化使 Domain Admins 組中的所有成員都可以使用管理權利登入到計算機,使 Domain Users 組中的所有成員都可以使用受限的使用者權利登入到計算機。

管理帳戶
管理帳戶可以是屬於一個或多個管理組的任何帳戶。在加入域的計算機上,管理組包括:

• 本地 Administrators 組

• 本地 Power Users 組

• Domain Admins 組

• Network Configuration Operators 組

• 具有任何本地管理組成員身份的任何域組


以一個或多個這些組的成員身份登入的任何使用者都可以進行系統範圍的更改。

注意   Power Users 組是 Administrators 組的子集,而不是 Users 組的超集。將使用者放在 Power Users 組中不符合 LUA 原則。

受限使用者
受限使用者是本地 Users 組的成員,且“不是”任何管理組的成員。在加入域的計算機上,屬於 Domain Users 組的帳戶也都屬於本地 Users 組。

受限使用者帳戶可顯著縮小惡意軟體的***面,因為這些帳戶執行可影響操作安全性的系統範圍更改的能力最低。尤其是,受限使用者帳戶不能開啟防火牆上的埠,不能停止或啟動服務,也不能修改 Windows 系統資料夾中的檔案。

許多組織可能會聲稱他們已經實現了 LUA 方法,因為他們的使用者以 Domain Users 組成員的身份登入。但是,如果這些使用者同時也是本地 Administrators 組的成員,那麼這些使用者所執行的所有程式都將具有管理權利,從而可能導致意外更改。

瞭解登入過程
需要了解的另一個重要方面是 Windows XP 的驗證過程。使用者登入到計算機時,作業系統將驗證使用者的憑據,並啟動 Windows 桌面例項,最常見的是 Windows 資源管理器。此桌面以登入使用者的訪問權利和許可權在該使用者的安全上下文中執行。在使用者啟動某個程式(如 Microsoft Internet Explorer)後,該程式也會在該使用者的安全上下文中執行。

驗證為管理員
如果使用者驗證為本地 Administrators 組的成員,則該使用者啟動的桌面例項和任何程式都將以管理員的完全訪問權利和許可權執行。具有管理權利的使用者可以執行以下操作,這些操作是管理計算機的合法操作:

• 安裝、啟動和停止服務以及裝置驅動程式。

• 建立、修改和刪除登錄檔設定。

• 安裝、執行和解除安裝程式。

• 替換作業系統檔案。

• 終止程式。

• 控制防火牆設定。

• 管理事件日誌項。

• 安裝 Microsoft ActiveX® 控制元件。

• 訪問 SAM。


對於大多數計算機使用者,這些許可權都不是必需的,而且會明顯增加計算機的風險。因為具有管理權利的使用者可以進行系統範圍的更改,具有管理權利的使用者執行的任何程式也可以有意或無意地進行系統範圍的更改。因此,如果使用者驗證為具有管理權利,惡意軟體就更易安裝到該計算機上。

驗證為使用者
如果使用者不是 Administrators 組的成員,則可訪問的資源的數量將明顯減少,且只能對特定區域進行更改。與具有管理權利的使用者相比,具有使用者權利的使用者可執行以下任務:

• 檢視服務和裝置驅動程式的狀態。

• 建立、修改和刪除 HKEY_CURRENT_USER 中的登錄檔設定,以及讀取 HKEY_LOCAL_MACHINE 中的登錄檔設定。

• 執行程式。

• 讀取大多數作業系統檔案。

• 檢視執行的程式。

• 檢視防火牆設定。

• 只能檢視系統和應用程式日誌項。


受限使用者仍然可以執行完成工作所需的任務,如連線到無線網路、安裝標有“即插即用”的驅動程式以及更改桌面設定。LUA 方法不會試圖限制這些功能,而是通過限制具有管理權利的帳戶來降低風險。

您現在應該瞭解了 Windows XP 中組的角色以及管理權利和受限使用者權利之間的區別。本白皮書的下一節將講述使用受限使用者帳戶的好處。

返回頁首
LUA 方法的好處
LUA 方法可以給各種規模的組織帶來極大的好處。除降低惡意軟體***的風險外,還包括:

• 安全性增強

• 可管理性增強

• 工作效率提高

• 成本降低

• 侵權和法律責任問題減少


本節分析這些好處以及它們對您的組織的影響。

安全性增強
LUA 方法是眾多安全措施中的一種,可幫助保護您的組織及其計算機資產免遭***者利用。***者會出於各種原因企圖危害您的網路,這些原因包括:

• 控制多臺計算機以進行分散式拒絕服務***。

• 傳送垃圾郵件。

• 破壞專有資訊。

• 竊取使用者身份。

• 將惡意軟體分發到其他計算機。


在使用者以具有管理許可權的帳戶登入時,這些***很有可能獲得成功。例如,以管理權利執行的軟體能夠:

• 安裝核心模式的***程式套件。

• 安裝系統級的關鍵日誌記錄程式。

• 截獲登入密碼。

• 安裝間諜軟體和廣告軟體。

• 訪問屬於其他使用者的資料。

• 在有人登入時執行程式碼。

• 將系統檔案替換為特洛伊***。

• 重設密碼。

• 掩蓋它在事件日誌中的行蹤。

• 阻止計算機重新啟動。


如果使用者以受限使用者帳戶登入,則在這些使用者的上下文中執行的程式只能對作業系統進行最小的更改。此限制可顯著降低安裝和執行惡意軟體的能力,提供了安全性而不影響使用者執行其任務。

可管理性增強
標準化是可管理網路,特別是具有多臺客戶端計算機的可管理網路的重要組成部分。如果組織中有 500 臺客戶端計算機,每臺計算機具有不同的軟體配置和計算機設定,事前管理就會變得極為複雜。當使用者能夠安裝軟體和進行系統範圍的配置更改時,就會不可避免地產生這種複雜性。

Windows XP 為自定義作業系統配置提供了巨大的可能性。如果使用者能夠以管理權利登入,他們常常無法拒絕更改設定的誘惑。例如,使用者可能會為一個無線網路連線關閉 Windows 防火牆,然後使用不安全的連線通過公共無線訪問點與 Internet 服務提供商連線。這種做法可能導致計算機迅速被破壞,因為所有網路連線(甚至受信任的網路)都應受到基於主機的防火牆的保護。

使用者進行此類更改可能導致撥打支援電話的次數增多,而且技術支援人員每次處理這些經過修改的計算機時,面對的都是不同的計算機配置。這種標準化的缺乏使幫助臺支援、故障排除和修復更加困難,不但費時而且代價高昂。

LUA 方法還可在使用者和管理員之間劃定明確的管理界限。此界限可以讓使用者和網路管理員各司其職,使用者集中精力執行他們的工作,而網路管理員負責管理基礎結構。如果使用者具有管理權利,則不可能實施此界限,而且無法保證標準化。

每個使用者都是管理員的網路很難管理,因為使用者可以繞過系統管理設定。如果使用者不能安裝未授權的硬體和軟體或不能進行系統更改,他們的計算機就會與組織標準相當接近。LUA 方法通過限制對計算機環境的不需要的修改增加了可管理性。

工作效率提高
計算機使各種型別和規模的組織的工作效率得到大幅提高。但是,需要對計算機進行事前管理才能維持這種工作效率的優勢。在員工需要依靠計算機完成工作的組織中,IT 員工應最大限度地降低破壞工作模式的可能性,特別是一些可以避免的因素,如不當的計算機配置和惡意軟體感染。

LUA 方法可通過維護客戶端計算機配置來保持工作效率。如果使用者不能更改他們計算機的配置,這些計算機就會更穩定,從而可以減少停機時間並保證工作效率。

當惡意軟體控制計算機時,也會發生工作效率降低的情況。由於感染,可能需要清除計算機上的病毒甚至重新格式化計算機,這樣使用者就可能丟失文件或資料。管理員可能需要還原檔案的備份副本,然後對這些檔案進行更新。這些附加活動可能打斷員工當前正在執行的工作,或者需要他們執行重複的工作。

成本降低
儘管維護多臺客戶端計算機的成本不可能是零,但應努力避免出現以下情況,因為這些因素可顯著增加成本:

• 硬體和軟體的獨特的、未經測試的組合

• 對作業系統進行的未知更改

• 個性化的系統範圍的設定

• 具有未知檔案型別的非標準軟體

• 許可使用使用者安裝的軟體

• 允許安裝無許可證的軟體

• 惡意軟體

• 測試版軟體和驅動程式

• 惡意軟體佔用的 Internet 頻寬


LUA 方法可幫助阻止安裝未經授權的、無許可證的或惡意的軟體。還可阻止使用者對其計算機進行未知更改。這些限制降低了幫助臺支援的成本以及具有管理權利的使用者造成的停機時間。

侵權和法律責任問題減少
許多組織逐漸意識到了他們在防止員工非法使用公司裝置方面的管理職責。這些職責要求公司在員工有意或無意出現以下行為時採取措施:

• 允許偷竊客戶資料(如個人身份資訊 [PII])。

• 駐留包含盜版、違法或***性內容的網站。

• 駐留轉發未經請求的商業電子郵件的中繼伺服器。

• 參與分散式拒絕服務***。


組織在實現 LUA 方法後,組織需要為上述這些型別的濫用而負責的情況明顯減少,因為其客戶端計算機抵禦***的能力加強了。此外,使用者安裝未經授權的軟體來駐留非法內容的可能性減少,從而使做出導致此類責任事件的不當行為的機會大大減少。之所以能夠得到這種保護,是因為受限使用者只具有對“Program Files”資料夾、Windows 系統資料夾以及登錄檔的 HKEY_LOCAL_MACHINE 部分的讀訪問許可權。程式通常要求對這些位置具有寫訪問許可權才能進行安裝。

返回頁首
風險、安全性、可用性及成本的權衡
同許多網路管理方法一樣,採用 LUA 方法也需要在風險、安全性、可用性及成本之間進行權衡。正確實現 LUA 方法後可以:

• 降低風險。

• 增加安全性。

• 影響可用性。

• 降低管理成本。


降低風險
與計算機網路的任何連線都會招致風險,而相對於與 Intranet 資源的連線,與 Internet 的連線帶來的風險更高。徹底消除這種風險的唯一方法就是不將計算機連線到網路上。大多陣列織都一致認為網路連線所帶來的商業利益大於風險,而預先採取將這些風險降至最低的策略才是明智的舉措。

LUA 方法可以使以管理權利執行程式給當前和未來帶來的風險大大降低。如果組織不實現 LUA 方法,不僅與計算機使用相關的風險會增加,而且容易受到新發現的漏洞的***,特別是容易受到***者在製造商之前發現的軟體漏洞的***(零天***)。如果組織實現 LUA 方法,則實現其他桌面管理策略(如自動安裝安全更新)的可能性更大,這樣可以進一步減輕組織的風險情況。

增加安全性
LUA 方法可極大地增加安全性。此方法的權衡結果是降低使用者更改配置的自由度而不降低可用性,如下一節中所述。

請記住,LUA 方法不提供完整的安全策略,它必須與其他安全防禦措施結合使用,作為縱深防禦策略的一部分。這些多層防禦措施包括使用者意識、外圍裝置和主機防火牆、定期安全更新以及檢測惡意軟體的最新掃描程式。LUA 方法提供了降低惡意軟體在組織內傳播能力的附加安全性。

影響可用性
有關網路管理的公認的事實是可用性與安全性成反比,增加安全性就會降低可用性。

注意   值得注意的一點是,可用性是指易用性,而不是使用者隨意更改其計算機的能力。

LUA 方法阻礙使用者管理他們的計算機,而不阻礙他們使用計算機。剝奪管理權利可使使用者工作效率更高,因為這樣可以較少分散他們在工作中的注意力,而且降低了不當配置計算機的機率。

但是,如果使用者可以看到某個配置選項但卻不能進行更改,則可能會感覺受挫,進而撥打幫助臺電話尋求幫助。組策略可隱藏 Windows 介面的元素,使使用者看不到這些元素。如果使用者只能看到他們可以進行更改的選項,則配置限制所造成的受挫感就會大大減少。將 LUA 方法和組策略結合實現,可以使介面更為簡單,僅顯示使用者能夠更改的配置選項。

降低管理成本
獨立組織的研究已經表明,網路系統管理可以產生長久的成本節約效應。LUA 方法與系統管理策略緊密結合,因為受限使用者不能更改強制執行的管理設定。但是,為了實現系統管理所帶來的成本節約,組織必須準備好按照 LUA 方法的要求進行投資,並瞭解實現 LUA 方法和不實現 LUA 方法產生的不同成本。

實現 LUA 方法將產生以下方面的成本:

• 規劃和試執行專案。

• 在 LUA 環境中測試自定義程式。

• 研究實現受限使用者帳戶的解決方法。

• 如有必要,重寫應用程式。

• 部署之前測試新程式。

• 處理初始階段出現的幫助臺電話增多情況。

• 解決此更改中出現的政治問題。


一定要在上述這些成本與不實現 LUA 方法所產生的相關成本之間進行權衡。不實現 LUA 方法可產生以下方面的成本:

• 由使用者修改導致的不當計算機配置。

• 未經授權的、未經測試的、無許可證的或惡意的軟體。

• 潛在的起訴。

• 因安全遭到破壞而丟掉業務。


對實現和不實現 LUA 方法所產生的成本進行分析表明,大部分實現成本都是可計算的,而不實現所產生的成本都是未知的。可以估計重寫行業應用程式所需的成本,但無法估計將來遭到訴訟所需付出的代價。

針對聯網計算機的威脅的迅速演變以及簡化和標準化計算機配置的需求,不斷促使組織和個人以受限使用者帳戶執行網路和計算機。倡導 LUA 方法的觀點已經對組織的習慣和舊的不良做法造成了明顯的衝擊。現在是有必要稽核組織如何實現 LUA 方法的時候了。

返回頁首
實現 LUA 方法
實現 LUA 方法包括將以下規則應用到執行 Windows XP 的計算機上:

• 非管理員應該始終以受限使用者身份登入。

• 管理員只應使用管理帳戶來執行管理操作。


雖然此方法可帶來本白皮書中所述的好處,並加強了故障安全環境,但仍有許多需要解決的問題,特別是組織以前允許使用者以管理員身份登入的情況。

實現注意事項
實現 LUA 方法還會在組織內產生技術、管理和政治問題。這些問題包括:

• 對計算機的控制權

• 安裝硬體

• 安裝程式

• 執行程式

• 更新作業系統

• 配置作業系統

• 成本


對計算機的控制權
最難解決的政治問題可能就是對客戶端計算機的控制權。許多高階主管和業務決策者都希望完全控制自己的計算機,而意識不到或輕視這種配置的風險。處於管理職位的人通常不能容忍妨礙他們的情況或告知他們不能做某事的訊息。他們對有關限制權利的警告訊息的典型反應就是堅持要求網路管理員給予其完全管理控制許可權。

為了應對這種情況,請一定要讓一個職位相當高的且有深厚技術背景的執行發起人來負責這項計劃。對於許多公司,此執行發起人應至少為資訊長 (CIO) 或同等職位的人,並且願意培訓同事有關管理不斷增長的惡意軟體威脅以及這類軟體如何從惡意或遭到破壞的網站進行安裝的知識。如果教育不足以起作用,請強調在其計算機上無意中安裝惡意軟體可能導致的法律責任問題,並說明本白皮書中的工具是如何解決大家關心的問題的。

使用者教育是要解決的另一個重要方面。對於被剝奪視為“自己”的計算機的控制許可權,大多數使用者都會感覺受到威脅,且可能採取行動破壞 LUA 方法的實現。收到不斷增多的抱怨以及使用者由於不再有管理權利而面臨的問題的誇大之詞是很正常的現象。只要組織執行了全面的測試計劃,這些抱怨就可以輕易消除。

安裝硬體
在辦公室環境中使用臺式計算機的使用者應該永遠都不需要管理權利。但是,對於使用移動計算機的使用者,他們可能需要在未連線到組織的網路時安裝執行任務所需的某些硬體,如印表機和 DVD 燒錄機。

對於移動使用者的硬體安裝問題,組織需要考慮許多情況,其中可能包括不符合 LUA 方法的情況。本白皮書中下一節所介紹的工具也有助於這種此情形下的硬體管理。

安裝程式
許多程式需要管理特權才能安裝。這種行為有助於禁止安裝未經授權的程式,但也有可能阻止安裝已授權的程式和升級程式。如果使用者使用的不是加入域的計算機或僅偶爾連線到組織的網路,那麼程式的安裝就可能成為問題。解決如何安裝已授權的程式和安全更新的問題時,可能需要更改操作過程並使用某些工具,如 Active Directory® 中的應用程式釋出、Microsoft Systems Management Server (SMS) 2003 Service Pack 1 中的提升許可權部署工具、遠端桌面。

某些 Internet 站點只有使用下載到客戶端計算機中的附加軟體和 ActiveX 控制元件才能正常工作。Internet Explorer 管理工具包和組策略等管理工具允許某些站點具有這種行為,前提是其業務需求的重要性超過允許從該位置下載軟體所可能帶來的風險。

執行程式
許多程式需要管理特權才能執行。通常,這種限制是由於編碼錯誤或程式設計和安全準則的實現欠佳造成的。例如,程式可能在登錄檔的某個位置安裝強制性的產品金鑰,而受限使用者帳戶無法讀取該金鑰的值。

注意   遵守 Microsoft 程式設計建議的程式不應出現安全限制問題。

在許多情況下,通過授予 Users 組對導致應用程式失敗的受限位置的訪問許可權,可以解決此問題。本文件下一節中所介紹的 Microsoft Windows 應用程式相容性工具包 (ACT) 也可以解決許多相容性問題。網路管理員不應接受因為某個程式只能以管理許可權執行所以每個使用者都應是管理員的論調。

更新作業系統
從 Microsoft Update 網站手動安裝作業系統更新需要作業系統桌面以管理權利執行,因此,若要使用 Microsoft Update,使用者必須以管理憑據登入。但是,自動更新服務在系統帳戶憑據下執行,因此不會遇到此限制。如果將自動更新配置為自動檢查和安裝作業系統更新和程式更新,則幾乎不會有手動更新的需求。有關詳細資訊,請參閱如何在 Windows Server 2003、Windows XP 和 Windows 2000 中安排自動更新,網址為 [url]http://support.microsoft.com/default.aspx?scid=kb[/url];zh-cn;327838。

SMS 2003 Service Pack 1 中包含無需使用者具有管理權利就可確定和安裝作業系統和應用程式更新的功能。Windows 軟體更新服務 (WSUS) 為未安裝 SMS 的組織提供簡化的安全更新管理。

配置作業系統
組織的 IT 策略應定義受限使用者可在其計算機上執行哪些配置操作。不論是在本地還是通過組策略對安全策略和登錄檔設定進行更改,都會使受限使用者能夠對其計算機進行許可的更改,如當移動使用者需要更改計算機的時間或時區時。本白皮書的下面一節列出了幾種工具,可用來解決使用受限使用者帳戶的作業系統配置問題。

成本
最後,規劃、實現和管理 LUA 方法都可能需要很高的成本。如果有第三方或自定義的行業程式或關鍵任務程式,則這些成本可能會相當高。

例如,某個關鍵任務程式可能與 LUA 方法不相容,需要管理權利才能執行。根據該程式的壽命和可用的開發人員資源,組織可能需要:

• 在 LUA 環境中測試該程式。

• 在程式不執行時,確定緩解這一問題的過程,如:

• 自定義登錄檔許可權,或修改多臺計算機上的許可權。

• 更改訪問許可權。

• 部署解決配置問題的工具。


• 從頭開始重新編寫該程式。


但是,如果組織已計劃將自定義程式更新為較新技術,則遵守 LUA 方法的成本可能就很低。

工具
Microsoft 和其他軟體供應商提供有無數多的工具來協助管理使用 LUA 方法的環境。本節介紹的一些工具可幫助對使用者以受限使用者權利登入的環境進行管理。這些工具包括:

• Secondary Logon 服務

• MakeMeAdmin

• PrivBar

• PolicyMaker

• 應用程式相容性工具包

• RegMon 和 FileMon

• 系統管理伺服器


注意   Microsoft 不支援 MakeMeAdmin、Privbar、PolicyMaker、RegMon 和 FileMon,而且 Microsoft 不對這些程式的適用性做任何保證。使用這些程式的風險完全由您自己承擔。

Secondary Logon 服務
Secondary Logon 服務(或 runas 命令)允許使用者使用其他憑據執行程式。Secondary Logon 服務可使用新憑據和組成員身份建立另一個安全令牌,程式使用該令牌來訪問資源。

儘管 Secondary Logon 服務是非常有用的工具,但輔助帳戶使用不同於主帳戶的憑據,這會產生以下限制:

• 使用者必須知道輔助帳戶的密碼,並且必須提供這些憑據。

• 某些程式不能執行憑據不同於當前例項的第二個例項。

• 輔助帳戶可能具有與主帳戶不同的印表機和驅動器對映。

• 輔助帳戶可能是本地帳戶,因此可能不具有對網路或域資源的訪問許可權,無法執行域登入指令碼,或無法應用組策略。

• 某些更改(如安裝程式)只能應用到輔助帳戶的配置檔案,不能應用到主帳戶的配置檔案中。如果程式安裝為“僅此使用者使用”而非“所有使用者均可使用”,則可能會出現這種結果。


runas 命令在被定向到使用通用命名約定 (UNC) 路徑,如印表機和網路連線時,無法正常執行。有很多方法可解決此問題,如使用 runas 命令啟動 Internet Explorer,然後在 Internet Explorer 中開啟基於資料夾的物件。但是,這種方法不如“右鍵單擊,然後單擊‘執行方式’”的方法簡便。

runas 命令的其他用途包括在使用者的“傳送到”選單中建立指令碼的快捷方式,通過該快捷方式可以管理權利執行選定的程式。此外,可為快捷方式設定“以其他使用者身份執行”高階選項。有關詳細資訊,請參閱 HOW TO:在執行程式時啟用和使用“執行方式”命令 ,網址為 [url]http://support.microsoft.com/default.aspx?scid=kb[/url];zh-cn;294676&sd=tech。

MakeMeAdmin
MakeMeAdmin 使用兩個連續的登入程式,繞過 Secondary Logon 服務的驅動器對映、訪問許可權和程式安裝限制。為了繞過這些限制,指令碼將執行以下操作:

1.
獲取當前登入帳戶詳細資訊。

2.
呼叫 Secondary Logon 服務,以便您可以使用本地管理員帳戶憑據登入。

3.
使用該新的本地管理員登入會話將您的當前帳戶新增到本地 Administrators 組中。

4.
再次呼叫 Secondary Logon 服務,並提示您以當前使用者帳戶但作為本地 Administrators 組的成員登入。

5.
建立一個新的命令提示,其中您的當前帳戶是本地 Administrators 組的成員。此命令提示具有不同的背景顏色和標題,以便與標準命令提示區分開。

6.
從本地 Administrators 組中刪除當前帳戶。


該指令碼建立的命令提示在當前登入帳戶憑據下執行,但具有管理權利,因此您從此命令提示執行的任何程式也都具有管理權利。驅動器對映和網路訪問許可權與當前帳戶相同,如果您使用此命令提示安裝程式,則該程式將安裝到當前配置檔案,而非本地管理員配置檔案中。

有關 MakeMeAdmin 的詳細資訊,請參閱 Aaron Margosis 的 WebLog 上的 MakeMeAdmin -- 受限使用者帳戶暫時充當管理員,網址為 [url]http://blogs.msdn.com/aaron_margosis/archive/2004/07/24/193721.aspx[/url]

PrivBar
PrivBar 在 Internet Explorer 和 Windows 資源管理器中顯示不同顏色的工具欄,表示使用者當前的特權級別。例如,如果使用者使用管理權利登入,PrivBar 工具欄將變為黃色,並帶有紅色指示器。此指示器提醒使用者他們正使用管理特權瀏覽網站,這樣會增加其計算機的風險。有關 PrivBar 的詳細資訊,請參閱 Aaron Margosis 的 WebLog 上的 PrivBar -- 可以顯示當前許可權級別的 IE/Explorer 工具欄,網址為 [url]http://blogs.msdn.com/aaron_margosis/archive/2004/07/24/195350.aspx[/url]

PolicyMaker
Desktop Standard 中的 PolicyMaker 由一套實用工具組成,這些實用工具擴充套件了組策略的功能,以在分散式網路中使用 LUA 方法。PolicyMaker 套件還包括檢查和修復程式相容性問題的工具。實現 LUA 方法的最重要的工具包括 PolicyMaker Standard Edition、PolicyMaker Application Security 和 PolicyMaker Software Update。

對 LUA 方法具有特殊意義的是 PolicyMaker Application Security,它使網路管理員可以為各個程式附加許可權級別。網路管理員選擇程式,然後在該程式啟動時從程式令牌中刪除安全組。此限制隨後通過組策略進行傳播。有關 PolicyMaker 的詳細資訊,請參閱 Desktop Standard 網站上的 PolicyMaker 概述,網址為 [url]www.desktopstandard.com/PolicyMaker.aspx[/url]。

應用程式相容性工具包
Microsoft Windows 應用程式相容性工具包 (ACT) 是工具和文件的集合,可協助 IT 專業人士和開發人員實現與 Windows 作業系統之間的最高階別的應用程式相容性。這些工具包括:

• 應用程式分析器。此工具可簡化應用程式清單和相容性測試。

• 相容性管理器。此資料庫列出支援 Windows 中過期程式所需的相容性修復程式。

• Internet Explorer 相容性評估器。此工具提供有關 Internet Explorer 的詳細日誌,記錄與此瀏覽器相關的應用程式相容性問題。


相容性管理器中包括開發人員可在自定義應用程式的開發階段用來檢查使用者許可權問題的工具。ACT 能夠生成管理員可部署到使用者的計算機的相容性修復程式。該相容性修復程式通過將應用程式呼叫重定向到受限使用者具有讀寫許可權的位置,使程式可以在 LUA 模式下執行。有關 ACT 的詳細資訊,請參閱 Windows 應用程式相容性,網址為 [url]www.microsoft.com/technet/prodtechnol/windows/appcompatibility/default.mspx[/url]。

RegMon 和 FileMon
RegMon 和 FileMon 是來自著名的 Sysinternals 網站的兩個實用工具。RegMon 實時顯示登錄檔訪問活動,列出應用程式對登錄檔進行的所有呼叫,並記錄結果。通過此工具可以得知應用程式何時無法訪問登錄檔項。同樣,FileMon 實時顯示檔案系統活動,列出應用程式進行的所有系統呼叫,並註冊結果。

RegMon 和 FileMon 使管理員可以在 LUA 環境下測試應用程式,並確定應用程式對登錄檔或檔案系統所進行的失敗的呼叫。管理員然後可以通過更改檔案系統或登錄檔項許可權等方法來解決該失敗。組策略可將這些許可權更改傳播到多臺計算機。有關這些實用工具的詳細資訊,請參閱 Sysinternals 網站,網址為 [url]www.sysinternals.com[/url]。

系統管理伺服器
Microsoft Systems Management Server (SMS) 2003 是功能完善的桌面管理系統,為大中型組織提供管理集中式網路或分散式網路的服務。這些管理服務包括安裝軟體和安全更新。

SMS 可以安裝軟體和安全更新而不要求使用者以管理權利登入,它用這種功能來提供對 LUA 方法的支援。有關 SMS 的詳細資訊,請參閱 Systems Management Server 2003 SP1 產品概述,網址為 [url]www.microsoft.com/china/smserver/evaluation/overview/default.mspx[/url]。

限制管理憑據
如果組織無法完全實現 LUA 方法,則可以確保訪問網路資源的所有程式始終以受限使用者權利執行,以此來減輕以管理權利執行程式所帶來的風險。雖然這種方法不符合最小特權原則,但它確實提供一些好處,而且比允許每個人都以管理權利執行所有程式要好得多。

若要在使用者以管理權利登入時提供有效的安全性,您將需要:

• 部署能夠將以管理員身份執行程式的風險降到最低的工具

• 確保面向 Internet 的程式,如電子郵件、瀏覽器和即時訊息客戶端等,始終以受限使用者權利執行。允許此類程式以管理權利執行,是使組織遭受惡意軟體侵襲的最常見方式。

• 監視計算機未經批准就用於執行管理功能的情況。有關安全監視的詳細資訊,請參閱安全監視和***檢測規劃指南,網址為 [url]www.microsoft.com/china/technet/security/topics/[/url]
auditingandmonitoring/securitymonitoring/default.mspx。


以下工具可幫助將使用者以管理權利登入時計算機遭到破壞的風險降到最低。此外,“以受限使用者身份登入”一節中的某些工具也可應用於此情況。

• Secondary Logon 服務

• 軟體限制策略

• DropMyRights


注意   Microsoft 不支援 DropMyRights,且不對此程式的適用性做任何保證。使用此程式的風險完全由您自己承擔。

Secondary Logon 服務
Secondary Logon 服務提供以特權較低的帳戶執行程式的選項。例如,在 Windows XP SP2 中,使用者的 Internet Explorer 桌面圖示可替換為呼叫“執行身份”對話方塊的版本,該對話方塊隨後顯示“保護我的計算機和資料不受未授權程式的活動影響”選項。此選項可禁用使用者的訪問令牌中的安全識別符號 (SID),這同本節稍後講述的 DropMyRights 工具類似。

軟體限制策略
軟體限制策略是組策略的組成部分,提供管理未知或不受信任軟體的功能。軟體限制策略可將以下三種可能設定中的一種應用到程式。這三種設定分別是:

• 不受限的

• 不允許的

• 基本使用者


注意   預設情況下,只有“不受限的”和“不允許的”設定可見。若要檢視“基本使用者”設定,必須編輯登錄檔項。有關詳細資訊,請參閱以管理員身份安全地瀏覽網頁並閱讀電子郵件,第 2 部分,網址為 [url]http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dncode/html/secure01182005.asp[/url]

簡單地說,不受限的程式可以無障礙執行,不允許的程式不能執行,而應用了“基本使用者”設定的程式只能以受限使用者權利執行。例如,使用此方法可配置始終以受限使用者身份執行 Internet Explorer 的軟體限制策略。

軟體限制策略還可阻止從特定位置(如 Internet Explorer 臨時檔案資料夾)執行惡意軟體。軟體限制路徑規則可禁止任何試圖從臨時 Internet 檔案資料夾執行的程式。組策略可將此規則應用到域中的所有計算機。

有關軟體限制策略的詳細資訊,請參閱使用軟體限制策略阻止未經授權的軟體,網址為 [url]www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx[/url]。

DropMyRights
DropMyRights 禁用 SID 並從使用者的訪問令牌中刪除特權,然後使用此受限令牌啟動指定的程式。DropMyRights 可使使用者以管理權利登入,然後以下列三種特權級別之一執行程式:

• 普通

• 受限制

• 不受信任


注意   “普通”特權級別對應於受限使用者帳戶。“受限制”級別的限制性更強,因為增加了對訪問令牌的 SID 的限制。“不受信任”級別只有最小訪問許可權,大多數應用程式在此級別下都不能正常執行。

例如,具有管理特權的使用者可能需要瀏覽網站。使用者可從呼叫 DropMyRights 的快捷方式執行 Internet Explorer,該快捷方式將指定程式以受限使用者身份執行。此 Internet Explorer 例項在客戶端計算機上具有最小許可權,這樣可極大地降低惡意程式安裝或執行的可能性。

有關 DropMyRights 的詳細資訊,請參閱 以管理員身份安全地瀏覽網頁並閱讀電子郵件,網址為 [url]http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dncode/html/secure11152004.asp[/url]

有關以受限使用者身份執行 Internet Explorer 的影響的詳細資訊,請參閱 以受限使用者身份執行 --“保護我的計算機”選項是什麼意思?,網址為 [url]http://blogs.msdn.com/aaron_margosis/archive/2004/09/10/227727.aspx[/url]

返回頁首
未來發展
Windows Vista 包含許多將增強使用者帳戶保護的功能。Windows Vista 使使用者能夠使用受限使用者帳戶高效工作,通過 Windows Vista 認證的程式可在受限使用者帳戶下順利執行。當較舊程式試圖寫入登錄檔的受保護區域(如 HKEY_LOCAL_MACHINE 部分)時,Windows Vista 會將這些寫入操作重定向到 HKEY_CURRENT_USER 部分。但是,隨著供應商更新他們的程式並使這些程式通過 Windows Vista 的認證,在 LUA 方法下進行操作將成為常見做法。

Windows Vista 還將改進可用性。如果使用者試圖執行需要管理權利才能進行的更改,Vista 將自動提示使用者輸入管理憑據。

加強了對使用者帳戶的保護只是 Windows Vista 中安全性方面的主要改進之一。當組織升級到 Windows Vista 後,惡意軟體利用管理員級帳戶的機會將會減少。有關 Windows Vista 中使用者帳戶保護的詳細資訊,請參閱 Windows Vista 網站,網址為 [url]www.microsoft.com/china/technet/prodtechnol/windowsvista/default.mspx[/url]。

返回頁首
總結
聯網計算機所面臨的各種威脅不斷增多,這要求各種規模的組織實現縱深防禦策略。在執行 Windows XP 的計算機上實現 LUA 方法是此策略的重要組成部分。

LUA 方法抵制許多組織通過本地 Administrators 組成員身份將管理權利賦予客戶端計算機使用者的傾向。本白皮書強調將管理權利賦予所有使用者的內在風險,因為這樣做會將管理特權賦予使用者執行的所有程式。面向 Internet 的程式,如瀏覽器、電子郵件讀取程式和即時訊息客戶端通常不應以管理權利執行,這一點尤為重要,因為此配置使客戶端計算機更容易受到***。

現在重新回到本白皮書開頭所述的例子,如果組織已經實現了 LUA 方法,則那個主管會以受限使用者身份而非管理員身份瀏覽那個已遭破壞的網站。因而,惡意軟體就不可能感染他的行動式計算機,這樣,他就能夠為客戶演示他的重量級銷售簡報,從而贏得金額可觀的訂單。

最後,LUA 方法本身不能構成解決方案,它必須與其他安全防禦措施整合。這些防禦措施包括使用者意識、外圍裝置和主機防火牆、定期安全更新和檢測惡意軟體的最新掃描程式。

返回頁首
資源
有關在 Windows XP 中使用 LUA 方法的詳細資訊,請訪問以下資源:

• Aaron Margosis 的網路日誌,網址為 [url]http://blogs.msdn.com/aaron_margosis[/url]

• Michael Howard 的網路日誌,網址為 [url]http://blogs.msdn.com/michael_howard[/url]

• nonadmin 網站,網址為 [url]http://nonadmin.editme.com[/url]

• 管理員帳戶安全規劃指南,網址為 [url]www.microsoft.com/china/technet/security/topics/serversecurity/administratoraccounts/default.mspx[/url]

• TechNet 上的 Windows XP 安全與管理新聞組,網址為 [url]www.microsoft.com/technet/community/newsgroups/dgbrowser/en-us/default.mspx?dg=microsoft.public.windowsxp.security_admin[/url]。

• TechNet Webcast:受限的使用者訪問:利弊和危害(級別 300),網址為 [url]http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032278618[/url]&EventCategory=5&culture=en-US&CountryCode=US

• TechNet Webcast:以最小特權執行 Windows 的提示和技巧(級別 300),網址為 [url]http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032274954[/url]&EventCategory=5&culture=en-US&CountryCode=US

• Microsoft 安全開發人員中心,網址為 [url]http://msdn.microsoft.com/security/default.aspx[/url]

• 開發人員開發最小許可權環境中應用程式的最佳實踐和準則白皮書,網址為 [url]http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnlong/html/AccProtVista.asp[/url]

• 以非管理許可權在 Visual Studio .NET 中開發軟體的文章,網址為 [url]http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dv_vstechart/html/tchDevelopingSoftwareInVisualStudioNETWithNon-AdministrativePrivileges.asp[/url]

• Michael Howard 撰寫的《編寫安全程式碼,第二版》(Writing Secure Code, Second Edition),網址為 [url]www.microsoft.com/MSPress/books/5957.asp[/url]

• 如何在 Windows XP 中解決程式相容性的問題的文章,網址為 [url]www.microsoft.com/technet/prodtechnol/winxppro/support/troubleshoot.mspx[/url]

• 美國國防部可信計算機系統評估標準(橙皮書),網址為 [url]www.radium.ncsc.mil/tpep/library/rainbow/5200.28-STD.html[/url]。


返回頁首
鳴謝
Microsoft 安全和遵守法規解決方案 (MSSC) 組衷心感謝撰寫《將最小特權原則應用到 Windows XP 上的使用者帳戶》的小組。以下人員或直接負責編寫、開發和測試此解決方案,或對此解決方案的編寫、開發和測試提供了極大幫助。

相關文章