TWed2k - 心得教學區 - [轉貼] 在 Windows XP 上套用最低權限的原則到使用者帳戶

jocosn
白銀驢友

今日心情

．積分： 1386
．精華： 2
．文章： 2945
．收花： 9537 支
．送花： 3671 支
．比例： 0.38
．在線： 1295 小時
．瀏覽： 19041 頁
．註冊： 7236 天
．失蹤： 1238 天

#1 : 2006-6-21 04:44 PM 只看本作者	送花 (9) 送出中...

簡介
一家網際網路安全性公司 Sophos 發現，偵測到的惡意程式數目在 1999 年 11 月是 45,879，到了 2005 年 11 月已增加為 114,082，在過去六年中每年至少增加百分之十。光 2005 年 11 月，Sophos 就發現了 1,900 種以上新的惡意軟體，像是病毒、特洛伊木馬程式，還有間諜程式等。其他防毒廠商也指出惡意軟體在數量及種類方面逐日增加。

惡意軟體的風險之所以增加，有個重大的因素是，使用者通常被賦予其用戶端電腦上的系統管理權利所致。當具有系統管理權利的使用者或系統管理員登入時，他們所執行的任何一項程式，諸如瀏覽器、電子郵件用戶端和立即訊息程式等，也都會具有系統管理權利。如果這些程式啟動惡意軟體，那麼該惡意軟體就可以自行安裝，然後操控服務 (像是防毒程式)，甚至矇過作業系統的眼線。使用者有可能在無意及完全不知情的情況下執行惡意軟體，例如透過造訪遭入侵的網站，或透過按下某電子郵件中的連結。

惡意軟體帶給組織相當大的威脅，從藉著按鍵記錄器攔截使用者的登入認證，到利用 Rootkit 獲得對電腦或整個網路的完全控制權，無所不及。惡意軟體可能會致使網站無法存取、資料遭破壞或損毀，以及硬碟重新格式化等。後果可能包括額外的負擔，像是為電腦消毒、將檔案還原，重新輸入或重建遺失的資料等。病毒攻擊也可能導致專案小組工作無法在截止日期前完成，導致違約或是失去客戶的信賴；遵約的組織可能因而受到控訴和罰鍰。

最低權限使用者帳戶方法
深層防禦策略，加上層層重疊的安全性，是對抗這些威脅的最佳辦法，而最低權限使用者帳戶 (LUA) 方法則是該防禦策略重要的一環。LUA 方法可確保使用者遵循最低權限的原則，並始終以限制使用者帳戶登入。此一策略另外一個目標是要限制統管理員認證的使用，只讓系統管理員使用，並且只能用於進行系統管理的工作。

LUA 方法可明顯緩和因惡意軟體和意外錯誤設定所造成的風險。不過，要採用 LUA 方法，組織需要規劃、測試和支援有限存取的設定，因此可能會產生大量的成本負擔和挑戰。這些成本負擔可能包括重新開發自訂程式、改變操作程序，以及部署額外的工具等。

系統管理權限的相關風險
許多組織都會例行地賦予使用者其電腦的系統管理權限。這樣的安排在可攜式電腦尤其常見，通常是基於以下原因：

• 為了使部分程式能適當執行。部份程式只能在使用者具備系統管理權利的時候執行。一般說來，這可能是發生在程式將使用者資料儲存在登錄中或非系統管理帳戶無法存取的檔案系統位置中。
• 為了允許使用者執行系統管理的動作，像是變更電腦的時區。
• 為了讓行動使用者能安裝工作相關的硬體或軟體，諸如列印裝置或 DVD 寫入器和相關程式。

雖然可能還有其他正當的理由而提供使用者系統管理權利，但這樣的安排不僅會大幅增加電腦受侵的風險，也會提高不當設定的可能性。這些風險可能會對組織運作的許多層面造成影響。

假想某資深主管定期拜訪客戶，並使用他的可攜式電腦做簡報，因為他是資深主管，所以他堅持在他的電腦上要有本機系統管理權利。就在他要向一位重要的顧客發表重要的業務簡報時，他的可攜式電腦螢幕上出現了一個攻擊訊息，接下來電腦就鎖住了。他於是馬上重開機，卻發現硬碟已遭重新格式化。結果，業務簡報不但沒給顧客留下什麼印象，訂單也白白送給競爭者。

在這個例子當中，攻擊訊息和後續的資料銷毀是因為主管瀏覽了一個遭入侵的網站時由惡意軟體感染電腦造成的。當他造訪該網站時，他是以本機 Administrators 群組的成員身分登入到他的可攜式電腦。這個群組成員資格的權利和權限讓惡意軟體得以停用防毒軟體，自行安裝、操控登錄，並將檔案放到 Windows 系統目錄中。主管的電腦現已受侵，而且準備好執行惡意軟體的指令。

其他可從系統管理帳戶利用更高權限的案例還包括像是使用者按下電子郵件中的連結，或播放內含數位權利管理軟體的音樂 CD 等情況。當中有個常見的成因是，具有系統管理權利的使用者往往比那些使用限制使用者帳戶的使用者，更有可能使他們的電腦遭到入侵。

最低權限原則的定義
「可信賴系統評估準則部門」(Department of Defense Trusted Computer System Evaluation Criteria)，DOD-5200.28-STD)，或稱為「橘皮書」(Orange Book)，是電腦安全性公認的標準。此出版物將最低權限的原則定義為「要求授予系統中的每個主體執行授權工作所需之最具限制的權限組 (或最低准許權)。運用此項原則可限制因意外、錯誤或未授權使用所造成的損害。」

LUA 方法的定義
本白皮書說明 LUA 方法是在執行 Windows XP 的電腦上最低權限原則的有效實作。具體地說，Windows XP 上的使用者、程式和服務都應該只具備執行其指定工作所需的最小權利和使用權限。

附註瞭解權利和使用權限之間的差別是很重要的。權利是定義使用者在電腦上能夠執行的工作，而使用權限則是定義使用者在電腦上可對某物件進行的動作。因此，使用者需要「權利」才能關機，但要存取檔案則需要「使用權限」。

LUA 方法是各種建議、工具和最佳實務的組合，讓組織藉以使用非系統管理帳戶操作執行 Windows XP 的電腦。LUA 方法要求組織重新評估電腦的角色，以及使用者對他們的設備應該具備的存取層級。當中還說明在限制使用者帳戶下操作的策略性和日常考量，並探討所遇到的問題。這些問題包括各種領域，諸如需要對電腦進行設定變更的遠端使用者。

LUA 方法也應該套用到應用程式開發與測試。開發人員 (有時候測試人員也是) 通常是以具備系統管理權利的帳戶登入他們的電腦。這樣的設定可能會造成開發人員發行的已編譯程式也需要類似的高權限才能執行。與其重新設計應用程式以正確運作，開發人員反而建議採用「安全性因應措施」，像是將使用者帳戶放入本機 Administrators 群組中，或授予使用者 Windows 系統資料夾的完整控制權。

LUA 方法能制衡這種直接將系統管理權利和使用權限授予每個需要存取資源的使用者或程式的趨向。遵循最低權限原則的程式並不會試圖拒絕對資源的合法要求，只會根據良好的安全性準則授予該存取權。

如需建立應用程式的最佳作法的詳細資訊，請參閱〈以特殊權限執行〉(英文)，網址是 http://msdn.microsoft.com/librar ... cial_privileges.asp。

Windows XP 帳戶
為了瞭解 LUA 方法背後的原理，您應該區別 Windows XP 中系統管理和非系統管理帳戶之間的差異，並清楚 Windows 啟動和執行程式的方式。稍微認識工作群組和網域型網路兩者當中的群組也很重要。

執行 Windows XP 的電腦在本機安全性帳戶管理員 (SAM) 中維護著一個獨立的安全性資料庫。SAM 負責儲存本機使用者和群組資訊，並且包含眾多的預設群組，諸如：

• Administrators (系統管理員)：具有電腦完整的存取權，存取不受限制。
• Power Users (進階使用者)：具備比較有限的系統管理權利，像是共用檔案、安裝本機印表機和變更系統時間。進階使用者也具備廣泛的使用權限可存取 Windows 系統資料夾中的檔案。
• Users (使用者)：具備有限的使用者權利，而且受到限制以免做出意外或有意的全系統變更。「只有」屬於此群組成員的使用者帳戶稱為「限制使用者帳戶」。
• Guests (來賓)：具備的權利比限制使用者更少。

使用者帳戶是經由這些群組其中一個以上的成員資格獲得他們的權利。舉例而言，內建的系統管理員帳戶因為是 Administrators 群組的成員而具備系統管理權利。此群組成員資格賦予系統管理員帳戶提高權利，像是從遠端電腦強制使某系統關機的權利。

工作群組型的電腦則是完全獨立，而且只會驗證它自己 SAM 當中的群組和使用者。當工作群組電腦加入網域時，本機群組的成員資格也會跟著變更。除了現有的群組之外，Domain Users 群組也會變成本機 Users 群組的成員，而 Domain Admins 群組會變成 Administrators 的成員。這項變更允許 Domain Admins 群組的任一成員以系統管理權利登入電腦，而 Domain Users 群組的任一成員以限制使用者權利登入電腦。

系統管理帳戶
系統管理帳戶是指屬於一或多個系統管理群組成員的任何帳戶。在加入網域的電腦上，系統管理群組包括如下：

• 本機 Administrators 群組
• 本機 Power Users 群組
• Domain Admins 群組
• Network Configuration Operators 群組
• 具有任一本機系統管理群組之成員資格的任何網域群組

任何以這些群組其中一個以上的成員資格登入的人皆可進行全系統變更。

附註Power Users 群組是 Administrators 群組的子集，而非 Users 群組的超集。將使用者放入 Power Users 群組並不符合 LUA 原則。

限制使用者
限制使用者是本機 Users 群組成員的帳戶，而「不是」系統管理群組成員的成員。在有加入網域的電腦上，任何屬於 Domain Users 群組成員的帳戶同時也是本機 Users 群組的成員。

限制使用者帳戶可大幅縮小受惡意軟體的攻擊面，因為這些帳戶只具有最低的能力能進行會影響操作安全性的全系統變更。限制使用者帳戶尤其無法開啟防火牆上的連接埠、停止或啟動服務，或者修改 Windows 系統資料夾中的檔案。

許多組織都聲稱他們已經實作 LUA 方法，因為他們的使用者是以 Domain Users 群組的成員身分登入。不過，如果該些使用者同時也是本機 Administrators 群組的成員，那麼他們所執行的所有程式都將具有系統管理權利，而且有可能造成不適當的變更。

瞭解登入程序
另一個要瞭解的重點是 Windows XP 上的驗證程序。當使用者登入電腦時，作業系統會驗證該使用者的認證，並啟動 Windows 桌面的例項，最常見的是 Windows 檔案總管。這個桌面會在使用者的安全性內容內以使用者的存取權利和使用權限來執行。當使用者啟動某程式時，如 Microosft Internet Explorer，此程式也會在使用者的安全性內容中執行。

驗證為系統管理員
若使用者驗證為本機 Administrators 群組的成員，則該使用者啟動的桌面及任何程式都以會系統管理員的完全控制權和使用權限來執行。具備系統管理權利的使用者可執行下列動作，這是管理電腦所需的合理動作：

• 安裝、啟動和停止服務與裝置驅動程式。
• 建立、修改和刪除登錄設定。
• 安裝、執行和解除安裝程式。
• 取代作業系統檔案。
• 終止處理序。
• 控制防火牆設定。
• 管理事件記錄項目。
• 安裝 Microsoft ActiveX® 控制項。
• 存取 SAM。

對於絕大多數的電腦使用者，這些都是不必要的權利，而且會大幅增加電腦的危險。由於具有系統管理權利的使用者能夠進行這些全系統的變更，因此無論是有意或意外，它們所執行的任何程式也能進行全系統的變更。所以，假若使用者是以系統管理權利驗證，那麼惡意軟體也就更容易安裝到該電腦上。

驗證為使用者
不屬於 Administrators 群組成員的使用者只能存取相當有限的資源，從而只能對特定區域進行變更。為了比較使用者權利與系統管理權利，下面為使用者可執行的工作：

• 檢視服務和裝置驅動程式的狀態。
• 建立、修改和刪除 HKEY_CURRENT_USER 內的登錄設定，以及讀取 HKEY_LOCAL_MACHINE 內的設定。
• 執行程式。
• 讀取大多數的作業系統檔案。
• 檢視執行中的處理序。
• 檢視防火牆設定。
• 只能檢視系統和應用程式記錄項目。

限制使用者仍然可以執行為了達成任務所需進行的工作，像是連線到無線網路，安裝已簽署的隨插即用驅動程式，以及變更桌面設定。LUA 方法並不會嘗試限制這些能力，不過會限制具有系統權利的帳戶來降低風險。

您現在應該對 Windows XP 中的群組角色，以及驗證系統管理和限制使用者權利兩者之間的差別有所認識。本文的下一節將評估採用限制使用者帳戶所得的益處。

LUA 方法的益處
LUA 方法為各種規模的組織提供無數的益處。除了降低受惡意軟體攻擊的風險之外，還包括如下這些益處：

• 改善安全性
• 提高易管理性
• 提升產能
• 降低成本
• 減少隱私權和法律責任問題

改善安全性
LUA 方法是許多安全性策略當中，有助於保護您的組織及其電腦資產免遭攻擊者利用的手段之一。攻擊者試圖侵害您的網路有數個理由，當中可能包括是為了：

• 獲得多部電腦的控制權以用於分散式拒絕攻擊。
• 傳送垃圾郵件。
• 侵害專利資訊。
• 偷竊使用者身分識別。
• 將惡意軟體散佈到其他電腦。

在使用者是以具備系統管理權利的帳戶登入時，這些攻擊更可能成功。例如，以系統管理權利執行的軟體能夠：

• 安裝核心模式 Rootkit。
• 安裝系統層級的按鍵記錄程式。
• 攔截登入密碼。
• 安裝間諜軟體和廣告軟體。
• 存取屬於其他使用者的資料。
• 在任何人登入時執行程式碼。
• 將系統檔案取代成特洛伊木馬程式。
• 重設密碼。
• 隱藏它在事件日誌中的蹤跡。
• 阻礙電腦重開機。

如果使用者以限制使用者帳戶登入，那麼在該些使用者的內容中執行的程式就只能對作業系統進行最低程度的變更。這項限制可大幅降低惡意軟體安裝和執行的能力，進而在不阻止使用者執行其工作的情況下加強安全性。

提高易管理性
標準化是可管理的網路一項重要的元件，尤其是對於具有多部用戶端電腦的網路而言。假如某組織有 500 部用戶端電腦，而且每台電腦都有不同的軟體組態和電腦設定，那麼主動管理就會變得極為複雜。這樣的複雜性無疑是因為使用者能安裝軟體並進行全系統的設定變更而造成。

Windows XP 提供許多潛力可自訂作業系統組態設定。如果使用者能夠以系統管理權利登入，他們常常會屈從於變更設定的誘惑。比方說，使用者可能會關閉 Windows 防火牆以進行無線網路連線，然後在一個公共無線存取點透過不安全的連線連接到網際網路服務提供者。這個動作可能會致使電腦快速遭到侵害，因為所有網路連線 (甚至是受信任的網路) 都應該受到主機型防火牆的保護。

使用者所起始的變更通常導致撥打更多的支援電話，而且每次碰到經過修改的電腦，支援人員所面臨的電腦設定都不一樣。這種缺乏標準化的情況使得服務台支援、疑難排解和修復更困難、更耗時，而且更昂貴。

LUA 方法也在使用者和系統管理員之間建立了明確的管理界限。這個界限允許使用者專注於他們的工作，而將基礎結構交由網路系統管理員管理。如果使用者具有系統管理權利，要強制這樣的界限簡直就不可能，而且也無法保證標準化。

一個大家都是系統管理員的網路實際上非常不安全，因為使用者可以避開系統管理設定。如果使用者無法安裝未授權的硬體和軟體，或是進行系統變更，那麼他們的電腦應該適當地配合組織標準。LUA 方法藉著侷限對電腦環境進行不要的修改來提高易管理性。

提升產能
電腦為各種類型和規模的組織帶來了顯著的產能提升。不過，電腦需要主動管理才能維持這樣的產能優勢。在使用者依賴他們的電腦完成工作的組織裡，IT 人員應該將電腦中斷的可能性盡量縮減到工作範圍內，尤其是可避免的肇因，像是不正確的電腦設定和惡意軟體的感染。

LUA 方法可透過維護用戶端電腦設定來維持產能。當使用者無法變更電腦設定時，那些電腦就比較穩定，這可減少停機並維持產能。

惡意軟體接管電腦時，也可能發生產能的喪失。電腦可能需要消毒，或甚至是重新格式化，而且使用者可能會因為感染而遺失文件或資料。系統管理員可能需要還原檔案的備份，而這後續可能還需要更新。這些額外的活動可能會使員工無法專心於目前的工作，或需要他們重複工作。

降低成本
雖然維護多部用戶端電腦不可能是免費的，但下列因素可能會大幅增加這些成本：

• 獨特且未經測試的硬體和軟體組合
• 對作業系統進行不明的變更
• 個人化的全系統設定
• 含不明檔案類型的非標準軟體
• 使用者安裝的軟體的授權
• 未授權軟體的罰金
• 惡意軟體
• Beta 版軟體和驅動程式
• 惡意軟體使用的網際網路頻寬

LUA 方法有助於防止安裝未核准、未授權或惡意的軟體。它也可阻止使用者對他們的電腦進行不明的變更。這些限制不但可降低服務台支援的成本，而且能減少具有系統管理權利的使用者可能引起的停機。

減少隱私權和法律責任問題
各組織已漸漸意識到他們遵約的義務，以避免員工非法使用公司的設備。這些規範要求無論員工知情或不知情，公司都得採取行動：

• 允許客戶資料 (例如個人是別資訊 [PII]) 被竊。
• 主控包含侵害著作權、非法或令人不快之內容的網站。
• 主控來路不明之商業電子郵件的轉送伺服器。
• 參與分散式拒絕攻擊。

實作 LUA 方法的組織明顯地比較不可能發現需要負責這類的濫用情況，因為他們的用戶端電腦都比較難入侵。此外，使用者也比較不可能能夠安裝未授權的軟體來主控非法內容，因而大幅減少他們犯下會導致這類妨害的行為的機會。這樣的防衛措施，是因為限制使用者對 Program Files 資料夾、Windows 系統資料夾，和登錄的 HKEY_LOCAL_MACHINE 區段只有讀取存取權而達成的成果。程式通常需要對這些位置有寫入存取權才能進行安裝。

風險、安全性、使用性和成本代價
就像許多管理網路的方法一樣，採納 LUA 方法也牽涉到風險、安全性、使用性和成本等之間利與弊的衡量。LUA 方法在適當實作下，能夠：

• 降低風險。
• 加強安全性。
• 影響使用性。
• 縮減系統管理成本。

降低風險
電腦網路的任何連線都存在著風險，而網際網路連線所伴隨的風險則比內部網路資源的連線還高。去除此風險複雜性的唯一辦法就是不要將電腦連到網路。大部分的組織都同意，網路連線能力所帶來的商業利益遠超過它所帶來的風險，而能將這些風險減至最低的策略是合理的預防措施。

LUA 方法可大幅降低因以系統管理權利執行的程式所造成的現有和未來風險。沒有實作 LUA 方法的組織不僅會增加與使用電腦相關的風險，還更容易受到新的漏洞攻勢，尤其是零天攻勢，也就是攻擊者在製造商發現其軟體弱點之前所發動的攻擊。實作 LUA 方法的組織比較有可能實作其他桌面管理策略，例如安全性更新自動安裝，可進一步降低他們的風險指數。

加強安全性
LUA 方法提供經過明顯加強的安全性。當中的代價是使用者比較沒有自由進行設定變更，但使用性卻不一定會降低，如下一節中所述。

LUA 方法並不提供完整的安全性策略，而必須與其他安全性防禦整合作為深層防禦策略的一部分，瞭解這一點是很重要的。這些多層防禦包括使用者的認知、周邊和主機防火牆、定期的安全性更新，以及採用最新的掃描軟體來偵測惡意軟體。LUA 方法提供的額外安全性可減弱惡意軟體在組織內散播的能力。

影響使用性
網路管理不變的道理是使用性和安全性彼此是成反比，也就是說增加安全性會降低使用性。

附註要考量的重點是使用性應該是關於方便使用，而不是使用者隨意對他們的電腦進行變更的能力。

LUA 方法會避免使用者系統管理他們的電腦，而不是阻止他們使用電腦。移除系統管理權利可讓使用者更有效率，因為他們工作比較不會分心，而且比較沒有機會錯誤設定他們的電腦。

然而，假如使用者看得到設定選項，卻無法加以變更，有可能會導致挫折感，而增加服務台電話。群組原則可讓您將 Windows 介面的元素隱藏起來不讓使用者看到。如果使用者只看得到他們能夠變更的選項，設定限制就比較不會造成挫折感。實作 LUA 方法，再搭配群組原則可讓您建立一個簡化的介面，只顯示使用者能夠變更的設定選項。

縮減系統管理成本
從一些獨立組織的研究指出，網路系統管理可省下長期成本。LUA 方法與系統管理策略緊密相繫，因為限制使用者無法變更強制的管理設定。不過，若要省下系統管理的成本，組織必須做好準備投下 LUA 方法所需的投資，並瞭解實作與不實作 LUA 方法兩者各有的利與弊。

實作 LUA 方法所牽涉到的成本有：
• 規劃和試驗專案。
• 在 LUA 環境中測試自訂程式。
• 審查限制使用者帳戶的因應措施。
• 視需要重寫應用程式。
• 部屬前測試新程式。
• 應付剛開始實施時服務台電話撥打次數會增加的情況。
• 解決這項變更所引發的內部爭議或困擾。

將這些成本與不實作 LUA 方法相關的成本相加平衡是很重要的。由於不實作 LUA 而導致的成本花費包括：
• 因使用者修改引起的錯誤電腦設定。
• 未核准、未測試、未授權或惡意的軟體。
• 可能的訴訟。
• 安全性受侵造成的業務損失。

實作與不實作的成本分析顯示，大部分的實作成本都是可計算的，而非實作成本則是未知。重寫企業營運應用程式的成本雖估算得出來，但要評估未來法律訴訟的成本卻是不可能的。

對網路電腦的威脅迅速的演進，以及簡化和標準化電腦設定的需求，將漸漸鼓勵組織和個體在限制使用者帳戶下執行他們的網路和電腦。LUA 方法的主張現在正明顯蠶食組織中遲鈍且既定的不良措施。現在審閱組織能夠如何實作 LUA 方法是勢在必行。

實作 LUA 方法
實作 LUA 方法包括將下列規則套用到執行 Windows XP 的電腦：
• 非系統管理員應該固定以限制使用者身分登入。
• 系統管理員應該只在執行系統管理的動作時使用系統管理帳戶。

雖然此方法可帶來前文所述的好處，並且會強制一個防止失敗的環境，但還是有許多事項需要考量，尤其是組織過去曾允許使用者以系統管理員身分登入的情況。

實作考量事項
實作 LUA 方法也會在組織中產生技術、系統管理和策略爭議等議題。這些議題包括：
• 控制電腦
• 安裝硬體
• 安裝程式
• 執行程式
• 更新作業系統
• 設定作業系統
• 成本

控制電腦
最難應付的策略爭議可能是對用戶端電腦的控制問題。許多資深主管和商務決策者都預期能完全掌控他們的電腦，而不知或輕視這樣的設定可能引起的風險。執行階層的人通常無法忍受會使他們受挫的情況，也受不了收到訊息限制他們的操作。對於任何關於限制權利的警告訊息的典型回應是堅持網路系統管理員給予他們完整的系統管理控制權。

要處理這種情況，必定要有來自具備技術知識的適當高階主管的專案支持。對於許多公司而言，這名主管贊助者至少必須是資訊長 (CIO) 或對等職位，並且有意教育管理階層的同事關於惡意軟體日增的威脅，解說這類軟體如何能從惡意或遭入侵的網站安裝。如果這類的教育沒有提供強有力的理由，可強調在電腦上無意安裝惡意軟體可能引發的法律責任，並解釋本白皮書中的工具如何能夠解決各項憂慮。

使用者教育是另一個要解決的重要區域。大多數使用者對於任何嘗試移除他們視為「他們的」電腦的控制權時，都會感覺受到威脅，而且可能會採取行動來干擾 LUA 方法的實作。收到的抱怨數量增加，加上使用者因為不再有系統管理權利而誇大現在面臨的問題是正常的。只要組織執行一套完整的測試計畫，這些抱怨案件都可輕鬆處理。

安裝硬體
在辦公室環境中有桌上型電腦的使用者應該完全不需要系統管理權利。然而，行動電腦使用者可能合理地需要安裝硬體，例如印表機和 DVD 寫入器，以便在沒有連線到組織網路時能執行他們的工作。

行動使用者的硬體安裝問題是組織需要考慮的幾個選項之一，可能包括不符合 LUA 方法的選項。本文在下一節所述的工具也可以協助這類情況中的硬體管理。

安裝程式
許多程式都需要系統管理權利才能安裝。這樣的行為有助於抑制安裝未授權的程式，但也會阻礙授權程式及升級的安裝。程式安裝在使用者的電腦未加入網域或只是偶爾連接到公司的網路時問題可能特別多。解決如何安裝授權程式和安全性更新的問題可能需要在操作程序和所使用的工具兩方面有所變更，包括 Active DirectoryR 發佈的應用程式、Microsoft Systems Management Server (SMS) 2003 加裝 Service Pack 1 中的 Elevated Rights Deployment Tool，或是遠端桌面等。

有些網際網路網站只能在將額外的軟體和 ActiveX 控制項下載到用戶端電腦的時候才能正確運作。像是 Internet Explorer Administration Kit 和群組原則的管理工具在某些網站上允許這類行為，如果商務需要比允許從該位置下載軟體所觀察到的風險還重要的話。

執行程式
有些程式需要系統管理權利才能安裝。這類的限制通常是編碼錯誤或是程式設計和安全性指南的實作不佳之故。例如，某程式可能會在登錄內限制使用者帳戶無法讀取產品金鑰值的位置中安裝一個強制的產品金鑰。

附註遵守 Microsoft 程式設計建議的程式應該不會遇到安全性限制的問題。

在許多情況下，透過讓 Users 群組有權存取導致應用程式失敗的限制位置，可能可以解決問題。本文在下節提到的 Microsoft Windows Application Compatibility Toolkit (ACT) 也可以解決許多這些不相容的問題。網路系統管理員不應該因為某程式只能透過系統管理權利運作這樣的理由，就以為每個人都應該是系統管理員。

更新作業系統
從 Microsoft Update 網站手動安裝作業系統更新需要作業系統桌面以系統管理權利來執行，因此，要使用 Microsoft Update，使用者必須以系統管理權利登入。不過，自動更新服務可在系統帳戶認證下執行卻不會遇到這類限制。如果您將自動更新設定成自動檢查並安裝作業系統和程式更新，那麼應該根本不需要進行手動更新。如需詳細資訊，請參閱〈如何在 Windows Server 2003、Windows XP 及 Windows 2000 中排程自動更新〉，網址是 http://support.microsoft.com/kb/327838/zh-tw。

SMS 2003 加裝 Service Pack 1 所包含的功能可在不要求使用者須有系統管理權利的情況下，識別和安裝作業系統和應用程式更新。Windows Software Update Services (WSUS) 也為未安裝 SMS 的組織提供了簡化的安全性更新管理。

設定作業系統
組織的 IT 原則應該定義限制使用者在他們的電腦上可以執行的設定動作。對安全性原則和登錄設定的變更，無論是在本機或透過群組原則，都可使限制使用者對他們的電腦進行這些核准的變更，像是當行動使用者需要變更電腦的時間或時區時。本白皮書的下一節將列出幾項工具，來解決限制使用者帳戶設定作業系統的問題。

成本
最後，規劃、實作和管理 LUA 方法可能並不便宜。如果您有協力廠商或自訂的企業營運或關鍵型程式，那麼這些成本可能更為顯著。

當中一個例子可能是與 LUA 方法不相容且需要系統管理權利才能執行的關鍵型程式。視程式的年齡和可用的開發人員資源而定，組織可能需要：

• 在 LUA 環境中測試程式。
• 如果程式不執行的話，考慮移轉程序，例如：
　　• 自訂登錄權限或修改多部電腦上的權限。
　　• 變更存取權利。
　　• 部署工具以解決設定問題。
• 重頭編寫程式。

然而，如果組織已經計畫將自訂程式更新成較新的技術，那麼遵守 LUA 方法所需花費的成本可能就不那麼顯著。

工具
Microsoft 與其他軟體廠商都有提供許多工具可協助管理採用 LUA 方法的環境所經歷的過程。本節將說明一些工具，來協助管理使用者以限制使用者權利登入的環境。這些工具包括：

• 次要登入服務
• MakeMeAdmin
• PrivBar
• PolicyMaker
• Application Compatibility Toolkit
• RegMon 和 FileMon
• Systems Management Server

附註 Microsoft 不支援 MakeMeAdmin、Privbar、PolicyMaker、RegMon 和 FileMon，而且 Microsoft 對於這些程式的適用性不提供任何擔保。您應自行承擔使用這些程式的風險。

次要登入服務
次要登入服務 (或 runas 指令)，可讓使用者以替代的認證執行程式。次要登入服務會使用新的認證和群組成員資格來建立另一個安全性權杖，由程式用來存取資源。

雖然次要登入服務是項實用的工具，但是次要帳戶會採用與主要帳戶不同的認證，因而有下列限制：

• 使用者必須知道次要帳戶的密碼，而且還得提供該些認證。
• 如果第二個例項與目前的例項使用不同認證的話，有些程式無法執行第二個例項。
• 次要帳戶可能沒有與主要帳戶相同的印表機和磁碟機對應。
• 次要帳戶可能是本機帳戶，因此可能沒有存取網路或網域資源的權利，也不能執行網域登入指令碼或套用群組原則。
• 部分變更 (像是程式的安裝) 只會套用到次要帳戶的設定檔，而不是主要帳戶的設定檔。當程式是以「僅此使用者」而非「全部使用者」安裝時，就會發生這種結果。

runas 指令不能用於「通用命名慣例」(UNC) 路徑，如印表機和網路連線。有些因應的辦法可以解決此問題，例如使用 runas 指令來啟動 Internet Explorer，然後在 Internet Explorer 開啟以資料夾為基礎的物件。不過，這個方法不像「按一下滑鼠右鍵，再按 [執行身分]」方法那麼簡單。

runas 指令的其他用途包括在使用者的 [傳送到] 功能表中建立一個指令碼的捷徑，這會以系統管理權利來執行選定的程式。或者，捷徑也可以有 [以其他身分執行] 的進階選項組。如需詳細資訊，請參閱〈如何啟用程式捷徑功能表上的「執行身份」命令〉，網址是 http://support.microsoft.com/kb/294676/zh-tw。

MakeMeAdmin
MakeMeAdmin 會透過使用兩個連續的登入程序，來避開次要登入服務磁碟機對應、存取權利和程式安裝限制。為了避開這些限制，指令碼會：

1. 取得您目前登入帳戶的詳細資料。
2. 叫用次要登入服務，讓您以本機系統管理員帳戶認證登入。
3. 使用新的本機系統管理員登入工作階段，將您目前的帳戶加入本機 Administrators 群組中。
4. 再次叫用次要登入服務，並提示您以目前的使用者帳戶，但以本機 Administrators 群組的成員身分登入。
5. 在您目前是本機 Administrators 群組成員的帳戶下建立新的命令提示。此命令提示會有不同的背景色彩和標題，以與標準的命令提示區別。
6. 將您目前的帳戶從本機 Administrators 群組中移除。

指令碼所建立的命令提示會在您目前具有系統管理權利的登入帳戶認證下執行，而您從此命命提示執行的任何程式也都會具有系統管理權利。您的磁碟機對應和網路存取權利和目前的帳戶一樣，而且如果您使用此命令提示來安裝程式的話，該程式將安裝到您目前的設定檔中，而不是本機系統管理員的設定檔中。

如需 MakeMeAdmin 的詳細資訊，請參閱 Aaron Margosis 情報網站上的〈MakeMeAdmin -- 限制使用者帳戶的暫時系統管理權〉(英文)，網址是 http://blogs.msdn.com/aaron_marg ... 4/07/24/193721.aspx。

PrivBar
PrivBar 會在 Internet Explorer 和 Windows 檔案總管中顯示一個色彩編碼的工具列，以顯示使用者目前的權限層級。比方說，假如使用者以系統管理權利登入，則 PrivBar 工具列會變成黃色，帶有紅色指示器。此指示器會提醒使用者他們正使用系統管理權限瀏覽網站，而這樣會增加電腦的危險。如需 PrivBar 的詳細資訊，請參閱 Aaron Margosis 情報網站上的〈PrivBar -- 顯示目前權限層級的 IE/Explorer 工具列〉(英文)，網址是 http://blogs.msdn.com/aaron_marg ... 4/07/24/195350.aspx

PolicyMaker
Desktop Standard 發行的 PolicyMaker 是由公用程式組成的套件，可擴展群組原則的能力將 LUA 方法套用於分散式網路。PolicyMaker 套件也包括各種可檢查和修正程式相容性問題的工具。實作 LUA 方法最重要的工具包括 PolicyMaker Standard Edition、PolicyMaker Application Security，以及 PolicyMaker Software Update。

LUA 方法中特別重要的是 PolicyMaker Application Security，它可讓網路系統管理員附加權限層級到個別的程式中。網路系統管理員可選擇程式，然後在程式啟動時將安全性群組從處理序權杖中移除。這項限制接著可透過群組原則傳播。如需 PolicyMaker 的詳細資訊，請參閱 Desktop Standard 網站上的〈PolicyMaker 概觀〉(英文)，網址是 www.desktopstandard.com/PolicyMaker.aspx。

Application Compatibility Toolkit
Microsoft Windows Application Compatibility Toolkit (ACT) 是一組工具和文件的集合，可協助 IT 專業人員和開發人員達成應用程式與 Windows 作業系統相容性的最高層級。工具包括：

• Application Analyzer。此工具會簡化應用程式清查和相容性測試。
• Compatibility Administrator。此資料庫會列出必要的相容性修正檔以支援 Windows 中的舊式程式。
• Internet Explorer Compatibility Evaluator。此工具提供關於 Internet Explorer 的詳細日誌，當中記錄著應用程式與此瀏覽器的相容性問題。

Compatibility Administrator 包括各種工具，可讓開發人員在自訂應用程式的開發階段檢查使用者權限問題。ACT 可產生相容性修正檔，讓系統管理員部署到使用者的電腦上。相容性修正檔接著會將應用程式呼叫重新導向到限制使用者可讀寫的位置，好讓程式在 LUA 模式中執行。如需 ACT 的詳細資訊，請參閱 Windows Application Compatibility (英文)，網址是 www.microsoft.com/technet/prodte ... bility/default.mspx。

RegMon 和 FileMon
RegMon 和 FileMon 是受推崇的 Sysinternals 網站上的兩個公用程式。RegMon 會顯示即時的登錄存取活動，列出應用程式對登錄所進行的每項呼叫，並記錄結果。此工具可讓您識別出應用程式何時無法存取登錄機碼。同樣地，FileMon 會顯示即時的檔案系統活動，列出應用程式所進行的每項系統呼叫，並登錄結果。

RegMon 和 FileMon 可讓系統管理員在 LUA 環境中測試應用程式，並識別出應用程式對登錄或檔案系統所進行的任何失敗呼叫。系統管理員接著可藉著一些動作，像是變更檔案或登錄機碼權限，來緩解該項失敗。群組原則可將這些權限變更傳播到多部電腦。如需這些公用程式的詳細資訊，請參考 Sysinternals 網站 (英文)，網址是 www.sysinternals.com。

Systems Management Server
Microsoft Systems Management Server (SMS) 2003 是一套功能完整的桌面管理系統，它為各個擁有集中式或分散式網路的中大型組織提供管理服務。這些管理服務包括軟體和安全性更新的安裝。

SMS 藉由安裝軟體和安全性更新而不需要使用者以系統管理權利登入的能力，提供對 LUA 方法的支援。如需 SMS 的詳細資訊，請參閱 Systems Management Server 2003 SP1 產品概觀 (英文)，網址是 http://www.microsoft.com/taiwan/ ... verview/default.htm。

限制系統管理認證
若組織無法完整實作 LUA 方法，可透過確保存取網路資源的任何程式始終以限制使用者權利執行，來緩和以系統管理權利執行程式的風險。雖然這個方法不符最低權限的原則，但它的確提供一些好處，而且比單純允許每個人以系統管理權利執行所有程式來得可靠。

若要在使用者以系統管理權利登入時提供有效的安全性，您必須：

• 部署工具將以系統管理員執行程式的風險減至最低
• 確保網際網路面向的程式，如電子郵件、瀏覽器和立即訊息用戶端等，始終以限制使用者權利執行。允許這類程式以系統管理權利執行是將惡意軟體帶入組織最常見的途徑。
• 監視電腦找出未核准的系統管理使用情況。如需安全性監視的詳細資訊，請參閱《安全性監視與攻擊偵測規劃指南)》(英文)，網址是 www.microsoft.com/technet/securi ... toring/default.mspx。

以下工具有助於在使用者以系統管理權利登入時，將電腦受侵的風險減至最低。另外，〈登入為限制使用者〉一節中介紹的部分工具也適用於此情況。

• 次要登入服務
• 軟體限制原則
• DropMyRights

附註 Microsoft 不支援 DropMyRights，而且 Microsoft 對於此程式的適用性不提供任何擔保。您應自行承擔使用此程式的風險。

次要登入服務
次要登入服務提供將程式執行為低權限帳戶的選項。舉例來說，在 Windows XP 加裝 SP2 上，使用者的 Internet Explorer 桌面圖示可取代為叫用執行身分對話方塊的各個版本，這接著會顯示 [保護我的電腦免受未授權程式活動的影響] 選項。此選項會以類似於本節稍後將介紹的 DropMyRights 工具的方式，來停用使用者的存取權杖中的安全性識別元 (SID)。

軟體限制原則
軟體限制原則是群組原則的一部分，並且提供管理不明或不信任軟體的能力。軟體限制原則可將下列其中一種可能的設定 (共三種) 套用到程式。這些設定包括：

• 沒有限制
• 不允許
• 基本使用者

附註預設只看得到 [沒有限制] 和 [不允許]。若要檢視 [基本使用者] 設定，您必須編輯登錄機碼。如需詳細資訊，請參閱〈以系統管理員的身分安全地瀏覽網路和讀取電子郵件，第 2 部〉(英文)，網址是 http://msdn.microsoft.com/librar ... /secure01182005.asp。

總而言之，沒有限制的程式可毫無阻礙地執行，不允許的程式則不行，而具有 [基本使用者] 設定的程式只適用於以限制使用者權利執行的情況下。這個方法可讓您進行一些動作，像是設定軟體限制原則使 Internet Explorer 永遠執行成限制使用者。

軟體限制原則也可以防止惡意軟體從特定的位置執行，如 Internet Explorer 的暫時檔案資料夾。軟體限制路徑規則可禁止任何從 Temporary Internet files 資料夾執行的程式。群組員則可將此規則套用到網域中的所有電腦。

如需軟體限制原則的詳細資訊，請參閱〈使用軟體限制原則來防禦未授權軟體〉(英文)，網址是 www.microsoft.com/technet/prodte ... ntain/rstrplcy.mspx。

DropMyRights
DropMyRights 會停用 SID 並將權限從使用者的存取權杖中移除，然後使用這個限制的權杖來啟動指定的程式。DropMyRights 可讓使用者以系統管理權利登入，然後以下列三種權限層級之一種來執行程式：

• 標準
• 限制
• 不信任

附註 [標準] 權限層級對應的是限制使用者帳戶。[限制] 層級因為對存取權杖加入了 SID 的限制，受限程度甚至更高。[不信任] 層級只具有極低的存取權利，大多數應用程式在此層級並無法運作。

例如，一名具有系統管理權利的使用者可能需要瀏覽網站。此使用者可從一個叫用 DropMyRights 的捷徑執行 Internet Explorer，而該捷徑就會指定程式應該執行成限制的使用者。這個 Internet Explorer 例項接著在用戶端電腦上具有極低的權利，而使得任何惡意程式非常不可能能夠安裝或執行。

如需 DropMyRights 的詳細資訊，請參閱〈以系統管理員身分安全性的瀏覽網路和讀取電子郵件〉(英文)，網址是 http://msdn.microsoft.com/librar ... /secure11152004.asp。

如需將 Internet Explorer 執行成限制使用者之影響的詳細資訊，請參閱〈限制執行 -- [保護我的電腦] 選項意義何在？〉(英文)，網址是 http://blogs.msdn.com/aaron_marg ... 4/09/10/227727.aspx。

未來發展
Windows Vista 包含了各項可加強保護使用者帳戶的功能。它將可讓使用者以限制使用者帳戶有效地工作，而且經過它認證的程式也可在限制使用者帳戶下毫無障礙地執行。當舊式程式嘗試寫入登錄中受保護的區域時，如 HKEY_LOCAL_MACHINE 區段，Windows Vista 就會將該些寫入動作改重新導向到 HKEY_CURRENT_USER 區段。不過，隨著廠商更新他們的程式並取得 Windows Vista 的認證，LUA 方法應該會成為廣為採用的操作方法。

Windows Vista 也改善了使用性。如果使用者試著進行需要有系統管理權利的變更，Vista 會自動提示該使用者輸入系統管理認證。

加強保護使用者帳戶只是 Windows Vista 中對安全性的其中一項主要的改進。隨著組織升級到 Windows Vista，惡意軟體就更沒有機會可以利用系統管理員層級的帳戶。如需 Windows Vista 中的使用者帳戶保護的詳細資訊，請參閱 Windows Vista 網站，網址是 http://www.microsoft.com/taiwan/technet/windowsvista/default.mspx。

總結
對網路化電腦的威脅日增，迫使各規模的組織實作深層防禦的策略。在執行 Windows XP 的電腦上實作 LUA 方法是此策略很重要的一環。

許多組織會透過本機 Administrators 群組將系統管理權利賦予用戶端電腦使用者，而 LUA 方法能制衡此種作法。本白皮書把重點放在將系統管理權利賦予所有使用者內藏的危險性，因為這麼做等於是將系統管理權利給予該使用者執行的任何程式。特別重要的是，網際網路面向的程式，諸如瀏覽器、電子郵件讀取程式和立即訊息用戶端，一般都不應該以系統管理權利執行，因為此設定會導致用戶端電腦更加容易受到攻擊。

暫時回到本文開頭所提的例子，假如組織已實作 LUA 方法，則該主管就會是以限制使用者而非系統管理員的身分來瀏覽遭入侵的網站。惡意軟體也就不能感染他的可攜式電腦，而且該主管也就能夠發表那份令人印象深刻的業務簡報，因而保住大訂單。

最後，LUA 方法本身並不是一套解決方案，而必須與其他安全性防禦措施整合。這些防禦措施包括使用者的認知、周邊和主機防火牆、定期的安全性更新，以及最新的掃描軟體來偵測惡意軟體。

-------------
資源
如需在 Windows XP 中採用 LUA 方法的詳細資訊，請參閱下列資源：

• Aaron Margosis 的情報網站 (英文) ，網址是 http://blogs.msdn.com/aaron_margosis

• Michael Howard 的情報網站 (英文) ，網址是 http://blogs.msdn.com/michael_howard

• nonadmin (英文) 網站，網址是 http://nonadmin.editme.com

• 《系統管理員帳戶安全性規劃指南》，網址是 www.microsoft.com/taiwan/technet ... counts/default.mspx

• Technet 上的 Windows XP Security and Admin (英文) 新聞群組，網址是 www.microsoft.com/technet/commun ... wsxp.security_admin。

• TechNet 網路廣播：Limited User Access:The Good, the Bad and the Ugly(Level 300)，網址是 http://msevents.microsoft.com/CU ... &CountryCode=US

• TechNet 網路廣播：Tips and Tricks to Running Windows with Least Privilege (Level 300)，網址是 http://msevents.microsoft.com/CU ... &CountryCode=US

• Microsoft Security Developer Center (英文)，網址是 http://msdn.microsoft.com/security/default.aspx

• 〈在最低權限環境中開發應用程式之開發人員最佳實務與指南〉(英文) 白皮書，網址是 http://msdn.microsoft.com/librar ... ml/AccProtVista.asp

• 〈在 Visual Studio .NET 中以非系統管理權限開發軟體〉(英文) 一文，網址是 http://msdn.microsoft.com/librar ... ativePrivileges.asp

• Michael Howard 所著的《Writing Secure Code, Second Edition》(英文) ，網址是 http://www.microsoft.com/MSPress/books/5957.asp

• 〈如何疑難排解 Windows XP 中的相容性問題〉(英文) 一文，網址是 http://www.microsoft.com/technet ... t/troubleshoot.mspx

• 〈Department of Defense Trusted Computer System Evaluation Criteria〉(英文) (橘皮書)，網址是 http://www.radium.ncsc.mil/tpep/library/rainbow/5200.28-STD.html.

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆