晶　晶

Windows Vista已經(jīng)發(fā)布了好幾個(gè)月了，那么它所承諾增加安全性是否做到了呢?

微軟將用戶賬戶界面(UAC)作為其中最顯著的一個(gè)新增安全特性，而微軟所采用的UAC則是已經(jīng)在Linux以及基于Unix的MacOSX中使用了很久的安全模型，它要求用戶操作一些例如安裝軟件時(shí)的任務(wù)需要具備管理員權(quán)限，而在其他的時(shí)候，也賦予用戶較低的權(quán)限。

那么為什么要使用它呢?這都是為了讓用戶能夠遠(yuǎn)離黑客的侵?jǐn)_。如果一個(gè)攻擊者利用未修復(fù)的bug對瀏覽器采取了攻擊行為，他就會(huì)盜用到用戶的權(quán)限。因?yàn)橛脩裟軌虬惭b軟件，因此黑客們也能夠做到。那么結(jié)果會(huì)怎樣呢?黑客們就會(huì)“擁有”你的計(jì)算機(jī)，并在其上植入一些木馬或是蠕蟲，還有一些隱蔽的間諜軟件。

許多Windows用戶一直都是以管理員身份來運(yùn)行Windows的。因?yàn)槲④涍^去從沒有讓管理員與非管理員之間有過多的區(qū)別。而實(shí)際上，如果你的權(quán)限較低，工作起來會(huì)更加困難。

雷德蒙的開發(fā)者Wash將Vista作為一個(gè)解決方案，以面對與日俱增而又詭秘多變的攻擊。其實(shí)，遵照我們所說的方法。你就可以讓你的Windows XP，甚至是更早期版本的Windows，都能得到一個(gè)像UAC那樣的保護(hù)。

一、使用權(quán)限受限的用戶

一眼看這個(gè)方法也許你會(huì)覺得在Win—dows中設(shè)置一個(gè)非管理員權(quán)限的賬戶簡直容易得讓人覺得可笑。而這時(shí)你可能會(huì)想知道，Vista和它的UAC究竟會(huì)出現(xiàn)什么大驚小怪的事情。

是的，你可以很容易地通過幾次點(diǎn)擊，在控制面板的用戶賬戶里設(shè)置一個(gè)低權(quán)限的賬戶。在此，在你點(diǎn)擊“創(chuàng)建一個(gè)新賬戶”并賦予這個(gè)賬戶一個(gè)名稱時(shí)，請?jiān)趧?chuàng)建之前將它設(shè)定為“受限”。

這樣就完成了嗎?

還沒有。當(dāng)這個(gè)操作完成后——就猶如在XP中的受限賬戶工作時(shí)一樣，當(dāng)你在全新安裝Windows XP后或是使用一臺新計(jì)算機(jī)時(shí)，如果你使用原先賬戶的系統(tǒng)工作一段時(shí)間，你就會(huì)發(fā)現(xiàn)你之前的做法簡直是一個(gè)夢魘的開端。

你將不能訪問你之前存儲在“我的文檔”中的文檔，因?yàn)檫@個(gè)文件夾現(xiàn)在已經(jīng)被鎖定在管理員賬戶之下。一些你之前安裝的程序也會(huì)神秘地消失。此時(shí)，整個(gè)操作系統(tǒng)就像是一個(gè)需要花費(fèi)很長時(shí)間進(jìn)行重新定制的版本。例如Firefox，它的插件將會(huì)消失。Word也會(huì)恢復(fù)到它的標(biāo)準(zhǔn)配置。你必須花費(fèi)數(shù)個(gè)小時(shí)重新創(chuàng)建這些當(dāng)你以管理員身份運(yùn)行XP時(shí)的設(shè)置。

更別提還會(huì)有一些應(yīng)用程序你將完全無法安裝，除非你正處在管理員賬戶下。或者說它們能夠安裝，但在沒有管理員權(quán)限的情況下它將拒絕運(yùn)行。你要避免出現(xiàn)這種情況只能夠用右鍵單擊這個(gè)安裝文件。并選擇以管理員身份運(yùn)行，并輸入密碼。但這并不是一定有效的方式。

總結(jié)：這個(gè)方法實(shí)在太麻煩。

二、使用“運(yùn)行方式”

Windows XP中有一個(gè)名叫“運(yùn)行方式”的命令。它能夠讓你暫時(shí)地借用其他的賬戶來運(yùn)行應(yīng)用程序。通常它都被用在一個(gè)受限賬戶要暫時(shí)使用管理員權(quán)限的時(shí)候，例如：在安裝一個(gè)程序的時(shí)候。

你可以將這些東西都看作是Vista中的UAC所提供的保護(hù)功能。

它的理念是用在當(dāng)你運(yùn)行最容易受到攻擊的應(yīng)用程序上——瀏覽器以及電子郵件，你作為一個(gè)受限的用戶時(shí)，即使有最壞的情況發(fā)生。惡意軟件攻擊了你的應(yīng)用程序，它也不能夠?qū)⑺膼盒邪l(fā)揮到極致。

要讓這個(gè)方法生效，你就可以在其他程序作為管理員身份運(yùn)行時(shí)，將你的瀏覽器和電子郵件客戶端以受限用戶的身份運(yùn)行。這樣就能夠減少很多在安裝或打開程序時(shí)引發(fā)的問題，也能夠讓你保持當(dāng)前對應(yīng)用程序的設(shè)置，還有日期、文件、路徑等等。

例如：右鍵點(diǎn)擊桌面上的IE快捷方式。在Windows Explorer或是快速啟動(dòng)欄的菜單中選擇“Ronas”。接著在下面的用戶中輸入或選擇一個(gè)受限用戶賬戶，并輸入密碼后點(diǎn)擊“確定”。

你可以將這個(gè)過程自動(dòng)化，這樣你就不需要每次都點(diǎn)擊右鍵進(jìn)行操作。右鍵點(diǎn)擊快捷方式后選擇“屬性”。點(diǎn)擊“快捷方式”選項(xiàng)卡，接著點(diǎn)擊“高級”按鈕。勾選“以其他用戶身份運(yùn)行”并點(diǎn)擊“確定”。從今以后，當(dāng)你從這個(gè)快捷方式打開程序時(shí)，首先你會(huì)看到的就是一個(gè)賬戶對話框。其次你可以選擇以管理員身份運(yùn)行或是其他賬戶的身份運(yùn)行，在此。我們所說的是需要選擇受限賬戶。

總結(jié)：不便使用，因?yàn)樗枰粋€(gè)受限賬戶。

三、使用Process Explorer

盡管如今Sysinternals已經(jīng)成為了微軟的一分子，這個(gè)小工具仍然很著名，根據(jù)微軟所發(fā)布的通告，它仍將保持免費(fèi)。

盡管Process Explorer是被設(shè)計(jì)用于監(jiān)視關(guān)于Windows當(dāng)前正在運(yùn)行的進(jìn)程，但它也有一個(gè)特性能夠讓W(xué)indows XP具有UAC一樣的保護(hù)功能。選擇在Process Explorer文件菜單下的“以受限用戶身份運(yùn)行”工具。

就像Windows的“運(yùn)行方式”功能一樣，這能夠讓你運(yùn)行像瀏覽器、電子郵件這些程序時(shí)喪失管理員的權(quán)限。但這又不同于你使用“運(yùn)行方式”命令，它不要求你創(chuàng)建一個(gè)受限賬戶，或是輸入一個(gè)密碼。不同于此的是。它使用了Windows的“CreateRestncted—Token()”API來創(chuàng)建一個(gè)安全的上下文關(guān)聯(lián)，稱之為一個(gè)令牌，它將管理員的權(quán)限除去。

你所需要做的就是選擇“文件一以受限用戶身份運(yùn)行”，接著輸入或通過瀏覽選擇你想要運(yùn)行的應(yīng)用程序，例如“outlook.exe”，這樣就能夠以較低的權(quán)限來運(yùn)行程序了。相比之下，這的確看起來要好很多。

總結(jié)：流暢易用。但正如Russinovieh所承認(rèn)的那樣，并不能傈證不受一切安全相關(guān)的威脅。

四、DropMycenters

方法三的缺陷在于你需要求助于其他的應(yīng)用程序—一Precess Explorer來以低權(quán)限運(yùn)行一個(gè)程序。這樣的方式還是不足以另人完全滿意。

當(dāng)然，Vista會(huì)將這一切賬戶控制的功能都隱藏在程序的窗格之后，你所需要做的事只不過是點(diǎn)擊一個(gè)圖標(biāo)。

要模仿這樣的工作方式，自動(dòng)地運(yùn)行并選擇第三方應(yīng)用程序中關(guān)于低權(quán)限運(yùn)行程序的設(shè)置，你可以下載DropMycenters，它是一個(gè)開發(fā)了兩年的可執(zhí)行程序，它能夠讓你對你的快捷鍵動(dòng)動(dòng)手腳，就能夠讓你在點(diǎn)擊它的時(shí)候，應(yīng)用程序即可安全地運(yùn)行。

它是由微軟的一個(gè)安全開發(fā)人員MichaelHoward所創(chuàng)。DropMyeenters所做的事就像其名字那樣：拋棄你程序的權(quán)限。要將你的瀏覽器或電子郵件客戶端的快捷方式設(shè)置為以受限身份運(yùn)行是很容易的，而Howard還將這些做成了截屏來詳加說明操作步驟，使其更為一目了然。我們僅有的一個(gè)建議是：讓這個(gè)可執(zhí)行程序“dropmycentersexe”處在你的C分區(qū)中的引導(dǎo)層，這樣你就不需要對快捷鍵的目標(biāo)輸入一串較長的路徑名。

Sysinternals也提供了一個(gè)類似的程序，名叫PsExec，你也很容易在網(wǎng)上下載到它。你可以將它看作是通過命令行來使用Pro-cess Explorer。而使用PsExec的具體方法，在此就不做詳解了。

總結(jié)：設(shè)置程序以受限權(quán)限運(yùn)行的工作量還是值得花費(fèi)的。