在這個例子當中,攻擊訊息和後續的資料銷毀是因為主管瀏覽了一個遭入侵的網站時由惡意軟體感染電腦造成的。當他造訪該網站時,他是以本機 Administrators 群組的成員身分登入到他的可攜式電腦。這個群組成員資格的權利和權限讓惡意軟體得以停用防毒軟體,自行安裝、操控登錄,並將檔案放到 Windows 系統目錄中。主管的電腦現已受侵,而且準備好執行惡意軟體的指令。
其他可從系統管理帳戶利用更高權限的案例還包括像是使用者按下電子郵件中的連結,或播放內含數位權利管理軟體的音樂 CD 等情況。當中有個常見的成因是,具有系統管理權利的使用者往往比那些使用限制使用者帳戶的使用者,更有可能使他們的電腦遭到入侵。
最低權限原則的定義
「可信賴系統評估準則部門」(Department of Defense Trusted Computer System Evaluation Criteria),DOD-5200.28-STD),或稱為「橘皮書」(Orange Book),是電腦安全性公認的標準。此出版物將最低權限的原則定義為「要求授予系統中的每個主體執行授權工作所需之最具限制的權限組 (或最低准許權)。運用此項原則可限制因意外、錯誤或未授權使用所造成的損害。」
LUA 方法的定義
本白皮書說明 LUA 方法是在執行 Windows XP 的電腦上最低權限原則的有效實作。具體地說,Windows XP 上的使用者、程式和服務都應該只具備執行其指定工作所需的最小權利和使用權限。
LUA 方法是各種建議、工具和最佳實務的組合,讓組織藉以使用非系統管理帳戶操作執行 Windows XP 的電腦。LUA 方法要求組織重新評估電腦的角色,以及使用者對他們的設備應該具備的存取層級。當中還說明在限制使用者帳戶下操作的策略性和日常考量,並探討所遇到的問題。這些問題包括各種領域,諸如需要對電腦進行設定變更的遠端使用者。
LUA 方法也應該套用到應用程式開發與測試。開發人員 (有時候測試人員也是) 通常是以具備系統管理權利的帳戶登入他們的電腦。這樣的設定可能會造成開發人員發行的已編譯程式也需要類似的高權限才能執行。與其重新設計應用程式以正確運作,開發人員反而建議採用「安全性因應措施」,像是將使用者帳戶放入本機 Administrators 群組中,或授予使用者 Windows 系統資料夾的完整控制權。
瞭解登入程序
另一個要瞭解的重點是 Windows XP 上的驗證程序。當使用者登入電腦時,作業系統會驗證該使用者的認證,並啟動 Windows 桌面的例項,最常見的是 Windows 檔案總管。這個桌面會在使用者的安全性內容內以使用者的存取權利和使用權限來執行。當使用者啟動某程式時,如 Microosft Internet Explorer,此程式也會在使用者的安全性內容中執行。
Windows XP 提供許多潛力可自訂作業系統組態設定。如果使用者能夠以系統管理權利登入,他們常常會屈從於變更設定的誘惑。比方說,使用者可能會關閉 Windows 防火牆以進行無線網路連線,然後在一個公共無線存取點透過不安全的連線連接到網際網路服務提供者。這個動作可能會致使電腦快速遭到侵害,因為所有網路連線 (甚至是受信任的網路) 都應該受到主機型防火牆的保護。
然而,假如使用者看得到設定選項,卻無法加以變更,有可能會導致挫折感,而增加服務台電話。群組原則可讓您將 Windows 介面的元素隱藏起來不讓使用者看到。如果使用者只看得到他們能夠變更的選項,設定限制就比較不會造成挫折感。實作 LUA 方法,再搭配群組原則可讓您建立一個簡化的介面,只顯示使用者能夠變更的設定選項。
安裝程式
許多程式都需要系統管理權利才能安裝。這樣的行為有助於抑制安裝未授權的程式,但也會阻礙授權程式及升級的安裝。程式安裝在使用者的電腦未加入網域或只是偶爾連接到公司的網路時問題可能特別多。解決如何安裝授權程式和安全性更新的問題可能需要在操作程序和所使用的工具兩方面有所變更,包括 Active DirectoryR 發佈的應用程式、Microsoft Systems Management Server (SMS) 2003 加裝 Service Pack 1 中的 Elevated Rights Deployment Tool,或是遠端桌面等。
有些網際網路網站只能在將額外的軟體和 ActiveX 控制項下載到用戶端電腦的時候才能正確運作。像是 Internet Explorer Administration Kit 和群組原則的管理工具在某些網站上允許這類行為,如果商務需要比允許從該位置下載軟體所觀察到的風險還重要的話。
在許多情況下,透過讓 Users 群組有權存取導致應用程式失敗的限制位置,可能可以解決問題。本文在下節提到的 Microsoft Windows Application Compatibility Toolkit (ACT) 也可以解決許多這些不相容的問題。網路系統管理員不應該因為某程式只能透過系統管理權利運作這樣的理由,就以為每個人都應該是系統管理員。
更新作業系統
從 Microsoft Update 網站手動安裝作業系統更新需要作業系統桌面以系統管理權利來執行,因此,要使用 Microsoft Update,使用者必須以系統管理權利登入。不過,自動更新服務可在系統帳戶認證下執行卻不會遇到這類限制。如果您將自動更新設定成自動檢查並安裝作業系統和程式更新,那麼應該根本不需要進行手動更新。如需詳細資訊,請參閱〈如何在 Windows Server 2003、Windows XP 及 Windows 2000 中排程自動更新〉,網址是 http://support.microsoft.com/kb/327838/zh-tw。
設定作業系統
組織的 IT 原則應該定義限制使用者在他們的電腦上可以執行的設定動作。對安全性原則和登錄設定的變更,無論是在本機或透過群組原則,都可使限制使用者對他們的電腦進行這些核准的變更,像是當行動使用者需要變更電腦的時間或時區時。本白皮書的下一節將列出幾項工具,來解決限制使用者帳戶設定作業系統的問題。
runas 指令不能用於「通用命名慣例」(UNC) 路徑,如印表機和網路連線。有些因應的辦法可以解決此問題,例如使用 runas 指令來啟動 Internet Explorer,然後在 Internet Explorer 開啟以資料夾為基礎的物件。不過,這個方法不像「按一下滑鼠右鍵,再按 [執行身分]」方法那麼簡單。
Application Compatibility Toolkit
Microsoft Windows Application Compatibility Toolkit (ACT) 是一組工具和文件的集合,可協助 IT 專業人員和開發人員達成應用程式與 Windows 作業系統相容性的最高層級。工具包括:
• Application Analyzer。此工具會簡化應用程式清查和相容性測試。
• Compatibility Administrator。此資料庫會列出必要的相容性修正檔以支援 Windows 中的舊式程式。
• Internet Explorer Compatibility Evaluator。此工具提供關於 Internet Explorer 的詳細日誌,當中記錄著應用程式與此瀏覽器的相容性問題。
附註 Microsoft 不支援 DropMyRights,而且 Microsoft 對於此程式的適用性不提供任何擔保。您應自行承擔使用此程式的風險。
次要登入服務
次要登入服務提供將程式執行為低權限帳戶的選項。舉例來說,在 Windows XP 加裝 SP2 上,使用者的 Internet Explorer 桌面圖示可取代為叫用執行身分對話方塊的各個版本,這接著會顯示 [保護我的電腦免受未授權程式活動的影響] 選項。此選項會以類似於本節稍後將介紹的 DropMyRights 工具的方式,來停用使用者的存取權杖中的安全性識別元 (SID)。
例如,一名具有系統管理權利的使用者可能需要瀏覽網站。此使用者可從一個叫用 DropMyRights 的捷徑執行 Internet Explorer,而該捷徑就會指定程式應該執行成限制的使用者。這個 Internet Explorer 例項接著在用戶端電腦上具有極低的權利,而使得任何惡意程式非常不可能能夠安裝或執行。
未來發展
Windows Vista 包含了各項可加強保護使用者帳戶的功能。它將可讓使用者以限制使用者帳戶有效地工作,而且經過它認證的程式也可在限制使用者帳戶下毫無障礙地執行。當舊式程式嘗試寫入登錄中受保護的區域時,如 HKEY_LOCAL_MACHINE 區段,Windows Vista 就會將該些寫入動作改重新導向到 HKEY_CURRENT_USER 區段。不過,隨著廠商更新他們的程式並取得 Windows Vista 的認證,LUA 方法應該會成為廣為採用的操作方法。
Windows Vista 也改善了使用性。如果使用者試著進行需要有系統管理權利的變更,Vista 會自動提示該使用者輸入系統管理認證。
