恶意程序入侵到电脑里后的动作错综复杂不绝如缕,在此不一一赘述,诚然,恶意程序所作出的每一项动作都需要相应的权限或特权,如果在运行初期就限制其权限,可以这样说,多数的危险动作都无法实现,从而对电脑的威胁也大大减轻,从杀毒软件的动态防御,HIPS的行为限制,防火墙的应用程序规则,或多或少都与这样一种行为相关--降权。
什么是降权这里不过多解释,相信从字面意义来看就能看出点端倪,最通俗的说,拆字填充——降低程序运行权限。这里只取其精华摒弃糟粕,挑肥捡瘦的说,降权的几种方法如下:
1.Vista的UAC
UAC工作默认让Shell运行在类似基本用户的环境中,而又提供了提权的快捷通道,可以说是使管理员帐户脱离高权限的最好方法。由于本人目前使用XP系统,遂不做演示。
2.Runas
同可降权和提权,Runas作为动态命令给了使用者很多方便,尤其在做临时降权来讲,它是一个很好的伙伴。以基本用户权限运行IE为例,手动打开安全等级后,在命令提示符窗口里输入 runas /trustlevel:基本用户 "C:\Program Files\Internet Explorer\Iexplore.exe"
此时启动的IE的用户权限为基本用户,基本用户能做什么,我再次无耻的引用下:
在系统默认的NTFS权限下,基本用户对系统变量和用户变量有完全访问权,对系统文件夹只读,对Program Files的公共文件夹只读,Document and Setting下,仅对当前用户目录有完全访问权,其余不能访问。
可以看出来,虽然基本用户并没有定义足够安全的安全边界,但防护强度已足够大。
3.DropMyRights
下载
http://download.microsoft.com/download/f/2/e/f2e49491-efde-4bca-9057-adc89c476ed4/DropMyRights.msi,安装完成后提取DropMyRights.exe粘贴到%WinDir%\system32目录。
DropMyRights也是一种动态命令,继续拿IE做例子,以基本用户启动时在命令提示符输入 DropMyRights "C:\Program Files\Internet Explorer\iexplore.exe" N 此时启动的IE就是基本用户权限了。
备注:
DropMyRights "C:\Program Files\Internet Explorer\iexplore.exe" N (基本用户)
DropMyRights "C:\Program Files\Internet Explorer\iexplore.exe" C (受限的)
DropMyRights "C:\Program Files\Internet Explorer\iexplore.exe" U (不信任的)
4.PsExec
PsExec是做什么的和如何使用请自行搜索,这里只讲述其降权的特性。同上,下载PsExec后将PsExec.exe复制到%WinDir%\system32目录。在命令提示符里输入 PsExec -l -d "C:\Program Files\Internet Explorer\Iexplore.exe" 此时启动的IE的权限等同于基本用户的权限。
5.Proccess Explorer
一个很好并且可以代替系统自带的任务管理器的增强型任务管理器,用它可以实现许多功能,拿其对应用程序降权十分简单,如图:
从中启动的任何程序,哪怕是恶意程序,对系统也只是读取属性。
6.使用受限用户登陆
这个方法对于普通用户来讲很是受用,日常使用不会有任何副作用,而且就算中标,病毒对系统的关键目录也只可能是只读。需要安装软件的时候可以切换到管理员用户,或者使用RunAs提权,因为受限用户登陆时,系统服务仍然是处于不受限状态,而且是以System权限运行,真正受限的只是Shell。
7.软件限制策略
与UAC截然相反,一个全盘降权适当提权,而另一个则是全盘admin+适当降权。就使用习惯而言,我更倾向于后者。
简单的说,它的优点很多:
静态底层防御,低资源占用,设置虽稍显复杂,但使用灵活,防护效果出色——这几种降权方法相对比较来讲,它可以说是最实用的一种,而Runas、DropMyRights等降权方法可以作为动态的补充。
峰回路转,为什么要降权?
就我们目前来讲,降权多数时候都是为了计算机被恶意程序破坏,或者用发散的思维考虑下,同样还可以防止别人乱用,保护好自己的隐私。所以说,不管你是否使用的安全防护软件,降权,是你安全使用计算机所必不可少的一个步骤。
但什么样的程序需要降权呢?需要降多少呢?
可以这样说,恶意程序是无所不在的,就如同我们洗干净的双手,微观世界里的一切是你无法用肉眼来看清楚的——网马、软件捆绑、U盘等等。那么,在对U盘实施策略的同时也不要忘记把联网程序(浏览器)降权,至于软件捆绑,可以去一些安全网站下载,华军、天空、太平洋、绿盟等等,安装的时候注意捆绑提示,不放心的话可以先以沙盘运行,还是不放心的话虚拟机跑一遍,但,似乎没有那个必要吧。
废话较多,书归正传,什么样的程序需要降权?
一些容易被调用的危险系统程序,如cmd.exe、hh.exe、wscript.exe、taskkill.exe等,论坛里有很多规则,在此不多赘述。
举出一些常见的用户程序:
浏览器降权——防止网马
聊天工具降权——防止恶意点击
邮件客户端降权——防止垃圾邮件附件
音(视)频播放器和图片浏览器降权——防恶意代码和弹窗
阅读器降权——防捆绑
下载工具降权——防未知下载
压缩管理器降权——防恶意点击
降权的限度是多少?会不会影响正常使用?
对于系统里容易被调用的危险程序可以直接禁止,而对于用户日常使用的程序,只需要把它的管理员权限剥离了就可以——基本用户即可,而且对于大多数软件而言不会有什么副作用,即使危险临近也会受到权限继承的限制,所以,安全与使用兼得,一石二鸟。
微博帐号登录