五大方案確保Windows Vista安全性(轉)

ba發表於2007-08-16
五大方案確保Windows Vista安全性(轉)[@more@]微軟一直在鼓吹使用者帳戶管理功能(UAC)是Vista最重要的改進之一。引入UAC是微軟對一直被Linux(及基於Unix的MAC OS X作業系統)使用的安全模式的回應。這種安全模式要求使用者擁有管理員許可權來實現某些任務,比如安裝軟體,而在其餘時候使用者的許可權則要低一些。

再過一段時間Windows Vista就要釋出了,或許這段時間會更長。Vista承諾的安全效能也要過上一段時間才會與大家相見。

是它嗎?

微軟一直在鼓吹使用者帳戶管理功能(UAC)是Vista最重要的改進之一。引入UAC是微軟對一直被Linux(及基於Unix的MAC OS X作業系統)使用的安全模式的回應。這種安全模式要求使用者擁有管理員許可權來實現某些任務,比如安裝軟體,而在其餘時候使用者的許可權則要低一些。

為什麼要這麼做?這樣可以避免使用者被駭客騷擾。如果駭客使用一個尚未修補的漏洞劫持了使用者的瀏覽器,他同時也劫持了使用者的許可權。因為那個使用者可以安裝軟體,所以駭客也可以。結果會怎麼樣?攻擊者掌控了那臺電腦,可以在裡面放置木馬、蠕蟲病毒、惡意軟體和間諜程式。

數百萬的Windows使用者在作業系統上執行著管理員帳戶,因為微軟從來沒有讓改變能更簡單一些。事實上,你得花上一番功夫才能以更少許可權執行系統。

面對日益增長且越來越巧妙的攻擊,開發者把Vista作為一個解決方法推出。但為什麼要等呢?照搬下面五個策略,你能讓你的Windows XP(甚至是更早的作業系統)體驗到Vista的UAC保護。

方案一:使用受限帳戶

乍一想在Windows裡建立一個非管理員帳戶簡直就是非常容易的事情,你肯定會奇怪Vista與UAC功能到底能提供什麼保護。

沒錯。你能你可以很容易地建立一個受限帳戶,只需要點開始—設定—控制皮膚—使用者與帳戶。然後選擇“建立新使用者”,給使用者起個名字,在點“建立帳戶”之前選中“受限使用者”。然後設定一個密碼,你就大功告成了。

這麼做正確嗎?

並非如此。一旦設定開始生效——比如使用XP的受限帳戶——當你開始使用一臺新的電腦(或者至少重灌了Windows XP系統),如果你在一臺已經使用了一段時間的系統上這麼做,那麼你的惡夢就要開始了。

你將沒法訪問你此前存在“我的文件”裡的檔案,因為這個資料夾被鎖在管理員帳戶下。而之前安裝的一些程式也會消失不見。此外,即使程式仍然可用,你所有的自定義設定也將失效,程式將回溯到初始設定。以Firefox為例子,它的所有擴充套件程式都會丟失,微軟的Word回溯到它的標準設定。使用XP時你得花上好些時間來重新設定它們。

更別提還有些程式你只能在管理員模式下才能安裝了。即使安裝好了,沒有管理員許可權你也別想執行它。(你可以暫時迴避這個問題,滑鼠右標點選一個程式檔案,並選擇“執行方式”,然後選擇一個擁有管理員許可權的帳戶,並鍵入密碼。不過這麼做是沒有什麼保證的。)

概述:這麼做行不通,因為有太多的問題。

方案二:執行方式

Windows XP有一項功能叫做“執行方式”,能讓你臨時地使用另外一個使用者帳戶。通常被用來讓許可權較低的使用者暫時擁有管理員許可權,以便安裝某個程式。

但你也可以用它來模擬Vista UAC提供的某些保護。

方法是這樣的,執行最易受到攻擊的程式時——你的瀏覽器和郵件收發程式是其中兩個——使用低許可權使用者。這樣即使惡意軟體劫持了這些程式,情況也不至於壞到哪裡去。

讓這種方法行之有效,以低許可權使用者執行你的瀏覽器——比如IE或者Firefox——和郵件程式,而在其它操作時則使用管理員帳戶。這樣就避免了使用受限使用者時碰到程式安裝/啟動時出現問題的可能。同時你可以保留當前程式的自定義設定,資料檔案的位置等等。

舉例來說,右鍵單擊桌面上IE的快鍵方式,在Windows 資源管理器裡或者快速啟動欄裡的。從選單中選擇“執行方式”。選擇“下列使用者”。然後或者輸入或者選一個受限使用者帳號,輸入密碼並點“確定”。

你可以讓這個過程自動執行而無需右擊程式圖示。右擊快捷方式,選擇“屬性”,單擊“快捷方式”標籤,然後是“高階”按鈕。選中“以其它使用者身份執行”然後點“確定”。以後你再從這個快捷方式啟動程式,你馬上就能看到一個對話方塊讓你選擇是以管理員身份還是其它身份執行這個程式——在這裡,是使用受限使用者帳戶。

概述:這種方案不太靈活因為需要一個受限的使用者帳戶。

方案三:使用程式管理器

儘管Sysinternals現在已是微軟的一小部分,但它的這款著名的免費工具——根據微軟外部的宣告——仍將是免費的。

從Sysinternals的網站上下載程式管理器,這個網站由Wintemals託管,Wintemals由兩人共同成立,其中之一是因發現了Sony音樂CD裡的木馬程式而享有盛名的Mark Russinovich.

儘管程式管理器是用來顯示Windows當前執行著的程式的資訊的——把它看成是一個誤位元速率為?的工作管理員——它有助於在Windows XP裡成倍提高一些UAC功能下的安全保護。“以受限使用者執行”的功能就包括在程式管理器的檔案選單裡。

就像Windows擁有“執行方式”命令一樣,在非管理員許可權下執行某個程式——瀏覽器,或者郵件程式。不像使用“執行方式”時那樣要求你輸入一個受限帳戶或者密碼。相反,它使用的Windows的CreatedRestrictedToken API應用程式介面,來建立被叫做token的安全環境,把管理員許可權給去掉了。

你所需要做的就是選擇檔案—執行,然後以受限使用者執行。然後輸入或者選擇想要執行的程式,比如“Outlook.exe”,以更少的許可權執行它。這非常的不錯。

概述:這樣做非常靈活。不過就像Russinovich承認的那樣,這並無法保證能對付所有的可能安全威脅。

方案四:“降低我的許可權”

方案三的一個問題是,你還得使用其它程式——程式管理器來以低許可權執行程式。並不是太方便。

當然了,Vista會把帳戶保護隱藏到選擇框的後面,你只需要點選一個圖示即可。

想複製這個過程——並自動以低許可權執行你選定的程式——下載“降低我的許可權”軟體,一個有兩年曆史的程式,你可以巧妙地設定快捷方式,只需一點就可以安全地執行各種程式。

這個軟體由Michael Howard編寫,他是微軟的一位安全開發者。它所做的就像它的名稱所表示的那樣,降低某個程式的許可權。設定一個快捷方式來直接啟動一個受限的瀏覽器或者郵件程式,Howard很清楚地說明了(同時也透過螢幕截圖展示了)你要採取哪些步驟來實現。我們惟一的建議是,把可執行程式“dropmyrights.exe”放在C盤根目錄下,這樣就不需要輸入很長的路徑名來找到快捷方式的目標所指。

Sysinternals也提供了一款類似的工具,名稱是PsExec.你可以從這兒下載。你可以把它看成是程式管理器在命令列模式下的奇怪樣子。需要知道更多關於如何使用PsExec來配置快捷方式的詳情,請到Mark Russinovich(Winternals的合夥創始人,Sysinternals站點即託管於此)的部落格,查閱以“使用PsExec的優勢”開篇的文章。

概述:值得這麼做來使程式在受限使用者下執行。

方案五:買一臺Mac電腦

很多分析師已經把Vista的UAC功能與早就被使用在Mac OS X作業系統(與及Unix,Linux)裡的許可權模式聯絡起來了。舉例來說,在Mac電腦裡,你總是執行著受限使用者,而有時候——比如安裝軟體時——你就得提供一個管理員使用者名稱和密碼。

如果Vista的UAC功能是Mac OS X的複製,那為什麼不現在就用上這種功能呢。

這意味著一臺全新的電腦,蘋果基於Intel處理器的Mac mini,iMac,Macbook與及MacBook並不便宜,不管蘋果迷們怎麼說——與另一份Windows XP的許可證和一些軟體比起來,蘋果電腦是兩個陣營裡最好的了。

下面揭示了它可能如何工作。

在一臺Intel處理器的Mac電腦上,安裝一個Parallels Desktop虛擬機器。這款售價80美元的虛擬軟體讓你能在Mac OS X邊兒上執行Windows XP及針對XP的軟體。

執行易受攻擊的軟體——在Mac上執行瀏覽器與郵件客戶端程式,可能還有即時通訊軟體——在Mac上這些程式並不僅僅因為系統的安全策略更安全,且與Windows要面對的威脅比起來,針對OS X的威脅在數量上要少得多。

在Windows 虛擬機器(VM)裡執行所有其它東西。

複製並貼上資訊,使用Parallels在Mac OS X與Windows VM之間共享檔案。

說明:在蘋果自己的雙啟動軟體Boot Camp上這不起作用,因為它要求你在使用另一個作業系統之前關閉目前執行的作業系統,而且也不允許在兩個作業系統之間共享任何檔案或者資料。

概述:價錢不菲,不過你立刻就能得到一個安全的作業系統。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617731/viewspace-961660/,如需轉載,請註明出處,否則將追究法律責任。

相關文章