论文部分内容阅读
在某些环境(例如办公室)中,存在多人共用一台电脑的情况,如何对其使用权限进行有效管理,是让人比较费心的事情。如果允许每个用户都以管理员身份操作的话,系统的安全就无法得到保证。为了既可以让用户正常工作,又可以保护系统安全,就需要根据实际情况,对临时权限实施有效管控,保证公用电脑安全高效运行。
一、临时取得管理员权限
在Windows 7中,当普通用户执行某些操作时,需要拥有管理员权限方可。虽然在目标程序的右键菜单上点击“以管理员身份运行”项,可以达到目的,不过频繁地进行这种操作,显得有些繁琐。如果直接以管理员身份登录系统,又会给系统安全带来隐患。其实,最简单的解决方法是打开任务管理器,在“进程”面板中找到并结束“explorer.exe”进程,之后点击菜单“文件一新建任务”项,在弹出窗口中输入“explorer”,同时选择“利用管理权限创建此任务”项,点击确定按钮,就可以拥有系统管理员权限了。当完成所需的操作后,按照上述方法关闭以管理员权限运行的“explorer.exe”进程,就可以退出系统管理员权限状态了。
二、临时关闭网络发现功能
在Windows 7等系统中,利用网络发现功能,可以轻松将本机的共享资源发布到网络中。但是这无疑也会泄漏自己的隐私信息,如果直接关闭网络发现功能,又会影响合法用户对本机的共享访问操作。最简单的办法是临时取消网络发现功能,在网络共享窗口中的“查看活动网络”栏处点击当前位置类型(例如家庭网络等),在弹出窗口(如图1)中选择‘公用网络”项,这样别人就无法看到本机的共享内容,自己也无法看到别人的共享内容。当以后想允许别人查看本机共享内容时,选择“工作网络”项即可。
三、临时管控上网权限
为了避免在上网冲浪时,遭到病毒木马的袭击,最简单的办法是使用低级权限运行IE,这样病毒因为权限问题,无法通过IE对本机进行破坏。点击“Win+R”键,运行“regedit.exe”程序,在注册表编辑器中打开“HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer"分支,在右侧创建类型为DWORD,名称为“Levels”的项目,将其值设置为“2000”。
运行“secp01.msc”程序,在本地安全设置窗口左侧点击“安全设置→软件限制策略→其它规则”项,在该项的右键菜单上点击“新建路径规则”项,在弹出窗口(如图2)中点击“浏览”按钮,选择IE路径信息,在“安全级别”列表中选择“基本用户”项,点击确定按钮,完成该规则的创建操作。之后重启系统,当用户使用IE冲浪时,IE都会处于基本用户权限中。即使遭到网络中的不法程序攻击,因为其权限过低,对系统也不会造成实际的危害。
对于WindOWS XP来说,如何杜绝非法程序利用IE传播呢?方法是在注册表编辑器中依次打开“HKEY_LOCAL_MACHINE\SOFTWARE\Polieies\Microsoft\Windows\Safer\CodeIdentifiers”分支,在右侧窗口(如图3)中双击“TransparentEnabled”项,以十六进制格式设置其值为1,设置“DefaultLevel”“AuthenticodeEnabled”“PolicyScope”“Levels”等项的值分别为40000,0,0,35000。如果对应项不存在的话,可以手工建立,其数据类型均为DWORD。
运行“gpedit.msc”程序,在组策略编辑器窗口(如图4)左侧点击“计算机配置+Windows设置一安全设置_软件限制策略”项,如果是初次使用,需要点击菜单“操作一创建新的策略”项,在自动出现的“其它策略”项的右键菜单上点击“新散列规则”项,在弹出窗口(如图5)中点击“浏览”按钮,选择“C:\Program Files\Internet Explorer”文件夹中的“iexplore.exe”文件。在“安全级别”列表中选择“基本用户”项,完成针对IE的安全设置。注意,这里的散列规则的主要作用是降低IE的权限,让其无法对系统进行修改写人等操作。
以后当不法程序在IE中试图向“C:\Windows”等系统文件夹中写入或者修改文件时,系统会弹出“无法创建文件,拒绝访问”的提示(如图6)。如果执行删除操作,同样会遭到系统拒绝。这样,即使IE存在漏洞,当病毒木马想借助于该漏洞在IE中执行数据下载写入等操作时,会因为缺乏权限而无法对系统构成任何威胁。当然。在使用该方法之前,最好IE中安装好所需的各种插件。
四、临时提升账户控制权
利用系统提供的UAC安全机制,在执行各种操作时,都会弹出安全警告窗口,这对系统安全是有利的,不过频繁的出现UAC拦截界面,让人感到有些繁琐。最简单的解决方法是让一些常规的操作避开UAC的监控,而让存在安全风险的操作受制于UAC。在控制面板中启动管理工具程序,双击其中的本地安全策略项,在安全策略编辑窗口中“本地策略一安全选项”项,在右侧窗口中双击“用户账户控制:标准用户的提升提示行为”项,在弹出窗口(如图7)中选择“自动拒绝提升请求”项,点击确定按钮保存配置信息。这样,当以后执行一些常规操作时,就不会受到UAC的干扰,但是,在执行诸如修改系统配置等具有安全风险的操作时,UAC就会对其进行干预了。
一、临时取得管理员权限
在Windows 7中,当普通用户执行某些操作时,需要拥有管理员权限方可。虽然在目标程序的右键菜单上点击“以管理员身份运行”项,可以达到目的,不过频繁地进行这种操作,显得有些繁琐。如果直接以管理员身份登录系统,又会给系统安全带来隐患。其实,最简单的解决方法是打开任务管理器,在“进程”面板中找到并结束“explorer.exe”进程,之后点击菜单“文件一新建任务”项,在弹出窗口中输入“explorer”,同时选择“利用管理权限创建此任务”项,点击确定按钮,就可以拥有系统管理员权限了。当完成所需的操作后,按照上述方法关闭以管理员权限运行的“explorer.exe”进程,就可以退出系统管理员权限状态了。
二、临时关闭网络发现功能
在Windows 7等系统中,利用网络发现功能,可以轻松将本机的共享资源发布到网络中。但是这无疑也会泄漏自己的隐私信息,如果直接关闭网络发现功能,又会影响合法用户对本机的共享访问操作。最简单的办法是临时取消网络发现功能,在网络共享窗口中的“查看活动网络”栏处点击当前位置类型(例如家庭网络等),在弹出窗口(如图1)中选择‘公用网络”项,这样别人就无法看到本机的共享内容,自己也无法看到别人的共享内容。当以后想允许别人查看本机共享内容时,选择“工作网络”项即可。
三、临时管控上网权限
为了避免在上网冲浪时,遭到病毒木马的袭击,最简单的办法是使用低级权限运行IE,这样病毒因为权限问题,无法通过IE对本机进行破坏。点击“Win+R”键,运行“regedit.exe”程序,在注册表编辑器中打开“HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer"分支,在右侧创建类型为DWORD,名称为“Levels”的项目,将其值设置为“2000”。
运行“secp01.msc”程序,在本地安全设置窗口左侧点击“安全设置→软件限制策略→其它规则”项,在该项的右键菜单上点击“新建路径规则”项,在弹出窗口(如图2)中点击“浏览”按钮,选择IE路径信息,在“安全级别”列表中选择“基本用户”项,点击确定按钮,完成该规则的创建操作。之后重启系统,当用户使用IE冲浪时,IE都会处于基本用户权限中。即使遭到网络中的不法程序攻击,因为其权限过低,对系统也不会造成实际的危害。
对于WindOWS XP来说,如何杜绝非法程序利用IE传播呢?方法是在注册表编辑器中依次打开“HKEY_LOCAL_MACHINE\SOFTWARE\Polieies\Microsoft\Windows\Safer\CodeIdentifiers”分支,在右侧窗口(如图3)中双击“TransparentEnabled”项,以十六进制格式设置其值为1,设置“DefaultLevel”“AuthenticodeEnabled”“PolicyScope”“Levels”等项的值分别为40000,0,0,35000。如果对应项不存在的话,可以手工建立,其数据类型均为DWORD。
运行“gpedit.msc”程序,在组策略编辑器窗口(如图4)左侧点击“计算机配置+Windows设置一安全设置_软件限制策略”项,如果是初次使用,需要点击菜单“操作一创建新的策略”项,在自动出现的“其它策略”项的右键菜单上点击“新散列规则”项,在弹出窗口(如图5)中点击“浏览”按钮,选择“C:\Program Files\Internet Explorer”文件夹中的“iexplore.exe”文件。在“安全级别”列表中选择“基本用户”项,完成针对IE的安全设置。注意,这里的散列规则的主要作用是降低IE的权限,让其无法对系统进行修改写人等操作。
以后当不法程序在IE中试图向“C:\Windows”等系统文件夹中写入或者修改文件时,系统会弹出“无法创建文件,拒绝访问”的提示(如图6)。如果执行删除操作,同样会遭到系统拒绝。这样,即使IE存在漏洞,当病毒木马想借助于该漏洞在IE中执行数据下载写入等操作时,会因为缺乏权限而无法对系统构成任何威胁。当然。在使用该方法之前,最好IE中安装好所需的各种插件。
四、临时提升账户控制权
利用系统提供的UAC安全机制,在执行各种操作时,都会弹出安全警告窗口,这对系统安全是有利的,不过频繁的出现UAC拦截界面,让人感到有些繁琐。最简单的解决方法是让一些常规的操作避开UAC的监控,而让存在安全风险的操作受制于UAC。在控制面板中启动管理工具程序,双击其中的本地安全策略项,在安全策略编辑窗口中“本地策略一安全选项”项,在右侧窗口中双击“用户账户控制:标准用户的提升提示行为”项,在弹出窗口(如图7)中选择“自动拒绝提升请求”项,点击确定按钮保存配置信息。这样,当以后执行一些常规操作时,就不会受到UAC的干扰,但是,在执行诸如修改系统配置等具有安全风险的操作时,UAC就会对其进行干预了。