体验UAC保护 五种途径确保Vista安全性

    引：微软一直在鼓吹用户帐户管理功能（UAC）是Vista最重要的改进之一。引入UAC是微软对一直被Linux（及基于Unix的MAC OS X操作系统）使用的安全模式的回应。这种安全模式要求用户拥有管理员权限来实现某些任务，比如安装软件，而在其余时候用户的权限则要低一些。

网管u家u.bitsCN.com

    再过一段时间Windows Vista就要发布了，或许这段时间会更长。Vista承诺的安全性能也要过上一段时间才会与大家相见。

网管论坛bbs_bitsCN_com

    是它吗？

    微软一直在鼓吹用户帐户管理功能（UAC）是Vista最重要的改进之一。引入UAC是微软对一直被Linux（及基于Unix的MAC OS X操作系统）使用的安全模式的回应。这种安全模式要求用户拥有管理员权限来实现某些任务，比如安装软件，而在其余时候用户的权限则要低一些。

网管u家u.bitscn@com

    为什么要这么做？这样可以避免用户被黑客骚扰。如果黑客使用一个尚未修补的漏洞劫持了用户的浏览器，他同时也劫持了用户的权限。因为那个用户可以安装软件，所以黑客也可以。结果会怎么样？攻击者掌控了那台电脑，可以在里面放置木马、蠕虫病毒、恶意软件和间谍程序。 网管下载dl.bitscn.com

    数百万的Windows用户在操作系统上运行着管理员帐户，因为微软从来没有让改变能更简单一些。事实上，你得花上一番功夫才能以更少权限运行系统。 网管下载dl.bitscn.com

    面对日益增长且越来越巧妙的攻击，开发者把Vista作为一个解决方法推出。但为什么要等呢？照搬下面五个策略，你能让你的Windows XP（甚至是更早的操作系统）体验到Vista的UAC保护。 网管网www_bitscn_com

    方案一：使用受限帐户

网管bitscn_com

    乍一想在Windows里创建一个非管理员帐户简直就是非常容易的事情，你肯定会奇怪Vista与UAC功能到底能提供什么保护。

网管网www.bitscn.com

    没错。你能你可以很容易地创建一个受限帐户，只需要点开始—设置—控制面板—用户与帐户。然后选择“创建新用户”，给用户起个名字，在点“创建帐户”之前选中“受限用户”。然后设定一个密码，你就大功告成了。 网管网www_bitscn_com

    这么做正确吗？ 中国网管论坛bbs.bitsCN.com

    并非如此。一旦设置开始生效——比如使用XP的受限帐户——当你开始使用一台新的电脑（或者至少重装了Windows XP系统），如果你在一台已经使用了一段时间的系统上这么做，那么你的恶梦就要开始了。

中国网管联盟bitsCN.com

    你将没法访问你此前存在“我的文档”里的文件，因为这个文件夹被锁在管理员帐户下。而之前安装的一些程序也会消失不见。此外，即使程序仍然可用，你所有的自定义设置也将失效，程序将回溯到初始设置。以Firefox为例子，它的所有扩展程序都会丢失，微软的Word回溯到它的标准设置。使用XP时你得花上好些时间来重新设置它们。

网管bitscn_com

    更别提还有些程序你只能在管理员模式下才能安装了。即使安装好了，没有管理员权限你也别想运行它。（你可以暂时回避这个问题，鼠标右标点击一个程序文件，并选择“运行方式”，然后选择一个拥有管理员权限的帐户，并键入密码。不过这么做是没有什么保证的。）

网管联盟bitsCN@com

    概述：这么做行不通，因为有太多的问题。 网管联盟bitsCN_com

    方案二：运行方式 网管u家u.bitsCN.com

    Windows XP有一项功能叫做“运行方式”，能让你临时地使用另外一个用户帐户。通常被用来让权限较低的用户暂时拥有管理员权限，以便安装某个程序。 网管网www.bitscn.com

    但你也可以用它来模拟Vista UAC提供的某些保护。 网管联盟bitsCN_com

    方法是这样的，运行最易受到攻击的程序时——你的浏览器和邮件收发程序是其中两个——使用低权限用户。这样即使恶意软件劫持了这些程序，情况也不至于坏到哪里去。

网管论坛bbs_bitsCN_com

    让这种方法行之有效，以低权限用户运行你的浏览器——比如IE或者Firefox——和邮件程序，而在其它操作时则使用管理员帐户。这样就避免了使用受限用户时碰到程序安装/启动时出现问题的可能。同时你可以保留当前程序的自定义设置，数据文件的位置等等。

中国网管论坛bbs.bitsCN.com

    举例来说，右键单击桌面上IE的快键方式，在Windows 资源管理器里或者快速启动栏里的。从菜单中选择“运行方式”。选择“下列用户”。然后或者输入或者选一个受限用户帐号，输入密码并点“确定”。

中国网管论坛bbs.bitsCN.com

    你可以让这个过程自动运行而无需右击程序图标。右击快捷方式，选择“属性”，单击“快捷方式”标签，然后是“高级”按钮。选中“以其它用户身份运行”然后点“确定”。以后你再从这个快捷方式启动程序，你马上就能看到一个对话框让你选择是以管理员身份还是其它身份运行这个程序——在这里，是使用受限用户帐户。

网管网www_bitscn_com

    概述：这种方案不太灵活因为需要一个受限的用户帐户。

    方案三：使用进程管理器

网管网www.bitscn.com

    尽管Sysinternals现在已是微软的一小部分，但它的这款著名的免费工具——根据微软外部的声明——仍将是免费的。 中国网管联盟bitsCN.com

    从Sysinternals的网站上下载进程管理器，这个网站由Wintemals托管，Wintemals由两人共同成立，其中之一是因发现了Sony音乐CD里的木马程序而享有盛名的Mark Russinovich. 网管网www.bitscn.com

    尽管进程管理器是用来显示Windows当前运行着的进程的信息的——把它看成是一个误码率为？的任务管理器——它有助于在Windows XP里成倍提高一些UAC功能下的安全保护。“以受限用户运行”的功能就包括在进程管理器的文件菜单里。 网管bitscn_com

    就像Windows拥有“运行方式”命令一样，在非管理员权限下运行某个程序——浏览器，或者邮件程序。不像使用“运行方式”时那样要求你输入一个受限帐户或者密码。相反，它使用的Windows的CreatedRestrictedToken API应用程序接口，来创建被叫做token的安全环境，把管理员权限给去掉了。

    你所需要做的就是选择文件—运行，然后以受限用户运行。然后输入或者选择想要运行的程序，比如“Outlook.exe”，以更少的权限运行它。这非常的不错。 网管网www.bitscn.com

    概述：这样做非常灵活。不过就像Russinovich承认的那样，这并无法保证能对付所有的可能安全威胁。

    方案四：“降低我的权限” 网管下载dl.bitscn.com

    方案三的一个问题是，你还得使用其它程序——进程管理器来以低权限运行程序。并不是太方便。

    当然了，Vista会把帐户保护隐藏到选择框的后面，你只需要点击一个图标即可。

中国网管联盟bitsCN.com

    想复制这个过程——并自动以低权限运行你选定的程序——下载“降低我的权限”软件，一个有两年历史的程序，你可以巧妙地设定快捷方式，只需一点就可以安全地运行各种程序。 中国网管论坛bbs.bitsCN.com

    这个软件由Michael Howard编写，他是微软的一位安全开发者。它所做的就像它的名称所表示的那样，降低某个程序的权限。设定一个快捷方式来直接启动一个受限的浏览器或者邮件程序，Howard很清楚地说明了（同时也通过屏幕截图展示了）你要采取哪些步骤来实现。我们惟一的建议是，把可执行程序“dropmyrights.exe”放在C盘根目录下，这样就不需要输入很长的路径名来找到快捷方式的目标所指。 网管联盟bitsCN_com

    Sysinternals也提供了一款类似的工具，名称是PsExec.你可以从这儿下载。你可以把它看成是进程管理器在命令行模式下的奇怪样子。需要知道更多关于如何使用PsExec来配置快捷方式的详情，请到Mark Russinovich（Winternals的合伙创始人，Sysinternals站点即托管于此）的博客，查阅以“使用PsExec的优势”开篇的文章。

网管联盟bitsCN_com

    概述：值得这么做来使程序在受限用户下运行。 网管bitscn_com

    方案五：买一台Mac电脑

    很多分析师已经把Vista的UAC功能与早就被使用在Mac OS X操作系统（与及Unix，Linux）里的权限模式联系起来了。举例来说，在Mac电脑里，你总是运行着受限用户，而有时候——比如安装软件时——你就得提供一个管理员用户名和密码。

网管下载dl.bitscn.com

    如果Vista的UAC功能是Mac OS X的复制，那为什么不现在就用上这种功能呢。 网管网www_bitscn_com

    这意味着一台全新的电脑，苹果基于Intel处理器的Mac mini，iMac，Macbook与及MacBook并不便宜，不管苹果迷们怎么说——与另一份Windows XP的许可证和一些软件比起来，苹果电脑是两个阵营里最好的了。

    下面揭示了它可能如何工作。

    在一台Intel处理器的Mac电脑上，安装一个Parallels Desktop虚拟机。这款售价80美元的虚拟软件让你能在Mac OS X边儿上运行Windows XP及针对XP的软件。

中国网管联盟bitsCN.com

    运行易受攻击的软件——在Mac上运行浏览器与邮件客户端程序，可能还有即时通信软件——在Mac上这些程序并不仅仅因为系统的安全策略更安全，且与Windows要面对的威胁比起来，针对OS X的威胁在数量上要少得多。 网管u家u.bitscn@com

    在Windows 虚拟机（VM）里运行所有其它东西。

    复制并粘贴信息，使用Parallels在Mac OS X与Windows VM之间共享文件。

网管联盟bitsCN_com

    说明：在苹果自己的双启动软件Boot Camp上这不起作用，因为它要求你在使用另一个操作系统之前关闭目前运行的操作系统，而且也不允许在两个操作系统之间共享任何文件或者数据。

    概述：价钱不菲，不过你立刻就能得到一个安全的操作系统。 网管下载dl.bitscn.com