FYI
2007-02-07, 08:03 AM
Mark's Blog : Running as Limited User - the Easy Way (http://blogs.technet.com/markrussinovich/archive/2006/03/02/running-as-limited-user-the-easy-way.aspx)
資深安全專家都知道維護系統安全首要之道在於降低用戶的權限, 然而說得容易做得難, 許多軟體都會要求寫入這裡存取那裡, 這使得大多用戶乾脆直接使用Administrator 作業, 以避免麻煩, 一旦惡意程式入侵, 自然也取得相同的權限, 可以為所欲為, 小弟的Maxthon 預設只允許下載圖片, 其他一律禁止, 然而也造成許多不便, 尤其不少網站從首頁就開始採用腳本(Scripts), 如果不允許腳本的話, 就什麼都看不見, 真是令人為之氣結, 為了安全只好安裝反間諜軟體, 然而還是防不勝防, 解決方法之一是創建一個權限較低的用戶, 然後 "以其他身份" 執行程式的捷徑, 或者執行 "RunAs", 方法之二是執行Sysinternals Process Explorer (http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx)'s "Run as Limited User" 或執行 "PsExec (http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/PsExec.mspx)", 方法之三是運用群組原則物件編輯器(gpedit.msc)或直接修改登錄檔來限制軟體的權限(Software Restriction Policies (http://www.microsoft.com/taiwan/technet/security/guidance/secmod65.mspx), or SAFER (http://msdn2.microsoft.com/en-us/library/ms722422.aspx)), 只適用於WinXP 以後的系統, 您可以從Process Explorer 檢視以上三者的權限差異, 如同作者所說, 結果是否可行端看應用程式是否可以在較低權限下執行
以下登錄檔可以限制Internet Explorer, Outlook Express, Windows Media Player 和Maxthon 的權限, 您可以自行將Maxthon 替換成Mozilla Firefox
SetSAFER.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"Levels"=dword:00031000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths\{EFFD8629-E248-4C3C-A06B-C178921C6745}]
"Description"="Internet Explorer"
"ItemData"="C:\\Program Files\\Internet Explorer"
"SaferFlags"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths\{EFFE51CA-369D-4A15-BA47-D465336EFCBF}]
"Description"="Outlook Express"
"ItemData"="C:\\Program Files\\Outlook Express"
"SaferFlags"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths\{EF49EF65-2AA3-4898-B447-8D6891F5F6D8}]
"Description"="MSN Messenger"
"ItemData"="C:\\Program Files\\MSN Messenger"
"SaferFlags"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths\{EFC58886-979A-4a92-9BCC-5483DD82FF84}]
"Description"="Windows Media Player"
"ItemData"="C:\\Program Files\\Windows Media Player"
"SaferFlags"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths\{EF655072-68DE-498d-A780-FA56C3F2471C}]
"Description"="RealPlayer"
"ItemData"="C:\\Program Files\\Real"
"SaferFlags"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths\{EFA51896-E198-4e3e-A45F-80DEA7941369}]
"Description"="Maxthon"
"ItemData"="C:\\Program Files\\Maxthon"
"SaferFlags"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths\{EF4372ED-6CE3-4c73-98C0-FCF9650695DF}]
"Description"="Mozilla Firefox"
"ItemData"="C:\\Program Files\\Mozilla Firefox"
"SaferFlags"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths\{EFCCF058-2A8B-46b4-8815-CCC7B03FC057}]
"Description"="Mozilla Thunderbird"
"ItemData"="C:\\Program Files\\Mozilla Thunderbird"
"SaferFlags"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths\{EF1BCAA9-C6E3-4e33-97F9-C0FBDE7EA312}]
"Description"="Orbit Downloader"
"ItemData"="C:\\Program Files\\Orbitdownloader"
"SaferFlags"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths\{EFFF9BDB-2B3F-43e4-8F60-0EC1DD13286D}]
"Description"="Skype"
"ItemData"="C:\\Program Files\\Skype"
"SaferFlags"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths\{EFE4BFBA-5F21-4516-851B-B29EB9E20D2C}]
"Description"="Gizmo Project"
"ItemData"="C:\\Program Files\\Gizmo Project"
"SaferFlags"=dword:00000000
然而如果您需要Administrator 權限, 以便於IE 安裝Adobe Flash Player 等等, 方法一是以群組原則物件編輯器移除Internet Explorer 的軟體限制原則, 或者直接修改登錄檔, 然後執行 "gpupdate", 其二是將 "IEXPLORE.EXE" 複製到別處, 然後執行副本, 如此就不會受到SAFER 的限制, 但對於WinXP Home 用戶來說, 由於WinXP Home 並未 (http://cnbeta.com/modules.php?name=News&file=article&sid=15830)內建群組原則物件編輯器, 所以只能採行直接修改登錄檔, 一旦SAFER 生效之後才修改SAFER 設定的話, 則只能重新啟動, 才能夠讓修改後的設定生效, 或者在使用者登入登出的方式中停用 "快速使用者切換", 如此只要登出便會使改變生效
小弟對於使用上的建議是, 請將預設瀏覽器設定為Maxthon 或FireFox, 然後以SAFER 將其權限降低, 但仍然維持Internet Explorer 不變, 遇到必須以Administrator 權限安裝軟件時才改用Internet Explorer, 如此可以保持最大的彈性, 然而對於Win2000 以前的系統來說, 由於不支援SAFER, 所以只能採用RunAs, Process Explorer 或PsExe, 但請留意勿從瀏覽器以外的軟體直接執行網址, 例如從不明郵件或PDF 之中, 因為那樣做會取得您的用戶權限
另外要提醒網友的是, 限制程序的權限並無法防止不明軟體入侵到記憶體中, 所能做到的只是防止不明軟體變更您的系統設定(權限不足), 換句話說, 重新啟動便能恢復前一個狀態, 然而從被入侵直到重新啟動這段期間, 則仍然會對您造成傷害, 所以並無法取代反間諜程式的功能, 以上若有謬誤, 敬請不吝指正
Force an application to run as a restricted user : Knowledgebase :: Trinet Ltd (http://www.trinet.co.uk/kb.asp?kbid=000039)
以系統管理員身份安全地瀏覽網站並閱讀電子郵件,第 1 部 (http://msdn2.microsoft.com/en-us/library/ms972827.aspx)
以系統管理員身份安全地瀏覽網站並閱讀電子郵件,第 2 部 (http://msdn2.microsoft.com/en-us/library/ms972802.aspx)
Michael Howard's Web Log : SAFER and Internet Explorer (http://blogs.msdn.com/michael_Howard/archive/2005/01/31/363985.aspx)
Download details: Microsoft Exchange Server GUID Generator (http://www.microsoft.com/downloads/details.aspx?FamilyID=94551f58-484f-4a8c-bb39-adb270833afc&DisplayLang=en)
Michael Howard's Web Log : SetSAFER and .NET Framework 2.0 (http://blogs.msdn.com/michael_howard/archive/2006/05/07/592136.aspx)
此應用程式設定軟體限制原則的第 1 版 (又名為 SAFER) 目前已與 .NET Framework 2.0 發行版本相容。SetSAFER 在「以系統管理員身份安全地瀏覽網站並閱讀電子郵件,第 2 部」一文中首次豋場。
Microsoft Shared Computer Toolkit for Windows XP - PCZONE 討論區 (http://www.pczone.com.tw/thread/25/116258/)
補充: (2007-03-11)
如果您使用以上SetSAFER.reg, 不妨將IE 換成您常用的瀏覽器, 例如IE <-> Maxthon, Windows Messenger <-> MSN Messenger, 前者不受限, 後者受限制, 必要時可以相互替換
補充: (2007-04-12)
SetSAFER.reg 新增限制 "RealPlayer", 因為 "RealPlayer" 可能會防止休眠
補充: (2008-01-28)
以Orbit Downloader 取代Free Download Manager
新增限制Gizmo Project 和Mozilla Thunderbird
贊助商連結
資深安全專家都知道維護系統安全首要之道在於降低用戶的權限, 然而說得容易做得難, 許多軟體都會要求寫入這裡存取那裡, 這使得大多用戶乾脆直接使用Administrator 作業, 以避免麻煩, 一旦惡意程式入侵, 自然也取得相同的權限, 可以為所欲為, 小弟的Maxthon 預設只允許下載圖片, 其他一律禁止, 然而也造成許多不便, 尤其不少網站從首頁就開始採用腳本(Scripts), 如果不允許腳本的話, 就什麼都看不見, 真是令人為之氣結, 為了安全只好安裝反間諜軟體, 然而還是防不勝防, 解決方法之一是創建一個權限較低的用戶, 然後 "以其他身份" 執行程式的捷徑, 或者執行 "RunAs", 方法之二是執行Sysinternals Process Explorer (http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx)'s "Run as Limited User" 或執行 "PsExec (http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/PsExec.mspx)", 方法之三是運用群組原則物件編輯器(gpedit.msc)或直接修改登錄檔來限制軟體的權限(Software Restriction Policies (http://www.microsoft.com/taiwan/technet/security/guidance/secmod65.mspx), or SAFER (http://msdn2.microsoft.com/en-us/library/ms722422.aspx)), 只適用於WinXP 以後的系統, 您可以從Process Explorer 檢視以上三者的權限差異, 如同作者所說, 結果是否可行端看應用程式是否可以在較低權限下執行
以下登錄檔可以限制Internet Explorer, Outlook Express, Windows Media Player 和Maxthon 的權限, 您可以自行將Maxthon 替換成Mozilla Firefox
SetSAFER.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"Levels"=dword:00031000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths\{EFFD8629-E248-4C3C-A06B-C178921C6745}]
"Description"="Internet Explorer"
"ItemData"="C:\\Program Files\\Internet Explorer"
"SaferFlags"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths\{EFFE51CA-369D-4A15-BA47-D465336EFCBF}]
"Description"="Outlook Express"
"ItemData"="C:\\Program Files\\Outlook Express"
"SaferFlags"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths\{EF49EF65-2AA3-4898-B447-8D6891F5F6D8}]
"Description"="MSN Messenger"
"ItemData"="C:\\Program Files\\MSN Messenger"
"SaferFlags"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths\{EFC58886-979A-4a92-9BCC-5483DD82FF84}]
"Description"="Windows Media Player"
"ItemData"="C:\\Program Files\\Windows Media Player"
"SaferFlags"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths\{EF655072-68DE-498d-A780-FA56C3F2471C}]
"Description"="RealPlayer"
"ItemData"="C:\\Program Files\\Real"
"SaferFlags"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths\{EFA51896-E198-4e3e-A45F-80DEA7941369}]
"Description"="Maxthon"
"ItemData"="C:\\Program Files\\Maxthon"
"SaferFlags"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths\{EF4372ED-6CE3-4c73-98C0-FCF9650695DF}]
"Description"="Mozilla Firefox"
"ItemData"="C:\\Program Files\\Mozilla Firefox"
"SaferFlags"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths\{EFCCF058-2A8B-46b4-8815-CCC7B03FC057}]
"Description"="Mozilla Thunderbird"
"ItemData"="C:\\Program Files\\Mozilla Thunderbird"
"SaferFlags"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths\{EF1BCAA9-C6E3-4e33-97F9-C0FBDE7EA312}]
"Description"="Orbit Downloader"
"ItemData"="C:\\Program Files\\Orbitdownloader"
"SaferFlags"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths\{EFFF9BDB-2B3F-43e4-8F60-0EC1DD13286D}]
"Description"="Skype"
"ItemData"="C:\\Program Files\\Skype"
"SaferFlags"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths\{EFE4BFBA-5F21-4516-851B-B29EB9E20D2C}]
"Description"="Gizmo Project"
"ItemData"="C:\\Program Files\\Gizmo Project"
"SaferFlags"=dword:00000000
然而如果您需要Administrator 權限, 以便於IE 安裝Adobe Flash Player 等等, 方法一是以群組原則物件編輯器移除Internet Explorer 的軟體限制原則, 或者直接修改登錄檔, 然後執行 "gpupdate", 其二是將 "IEXPLORE.EXE" 複製到別處, 然後執行副本, 如此就不會受到SAFER 的限制, 但對於WinXP Home 用戶來說, 由於WinXP Home 並未 (http://cnbeta.com/modules.php?name=News&file=article&sid=15830)內建群組原則物件編輯器, 所以只能採行直接修改登錄檔, 一旦SAFER 生效之後才修改SAFER 設定的話, 則只能重新啟動, 才能夠讓修改後的設定生效, 或者在使用者登入登出的方式中停用 "快速使用者切換", 如此只要登出便會使改變生效
小弟對於使用上的建議是, 請將預設瀏覽器設定為Maxthon 或FireFox, 然後以SAFER 將其權限降低, 但仍然維持Internet Explorer 不變, 遇到必須以Administrator 權限安裝軟件時才改用Internet Explorer, 如此可以保持最大的彈性, 然而對於Win2000 以前的系統來說, 由於不支援SAFER, 所以只能採用RunAs, Process Explorer 或PsExe, 但請留意勿從瀏覽器以外的軟體直接執行網址, 例如從不明郵件或PDF 之中, 因為那樣做會取得您的用戶權限
另外要提醒網友的是, 限制程序的權限並無法防止不明軟體入侵到記憶體中, 所能做到的只是防止不明軟體變更您的系統設定(權限不足), 換句話說, 重新啟動便能恢復前一個狀態, 然而從被入侵直到重新啟動這段期間, 則仍然會對您造成傷害, 所以並無法取代反間諜程式的功能, 以上若有謬誤, 敬請不吝指正
Force an application to run as a restricted user : Knowledgebase :: Trinet Ltd (http://www.trinet.co.uk/kb.asp?kbid=000039)
以系統管理員身份安全地瀏覽網站並閱讀電子郵件,第 1 部 (http://msdn2.microsoft.com/en-us/library/ms972827.aspx)
以系統管理員身份安全地瀏覽網站並閱讀電子郵件,第 2 部 (http://msdn2.microsoft.com/en-us/library/ms972802.aspx)
Michael Howard's Web Log : SAFER and Internet Explorer (http://blogs.msdn.com/michael_Howard/archive/2005/01/31/363985.aspx)
Download details: Microsoft Exchange Server GUID Generator (http://www.microsoft.com/downloads/details.aspx?FamilyID=94551f58-484f-4a8c-bb39-adb270833afc&DisplayLang=en)
Michael Howard's Web Log : SetSAFER and .NET Framework 2.0 (http://blogs.msdn.com/michael_howard/archive/2006/05/07/592136.aspx)
此應用程式設定軟體限制原則的第 1 版 (又名為 SAFER) 目前已與 .NET Framework 2.0 發行版本相容。SetSAFER 在「以系統管理員身份安全地瀏覽網站並閱讀電子郵件,第 2 部」一文中首次豋場。
Microsoft Shared Computer Toolkit for Windows XP - PCZONE 討論區 (http://www.pczone.com.tw/thread/25/116258/)
補充: (2007-03-11)
如果您使用以上SetSAFER.reg, 不妨將IE 換成您常用的瀏覽器, 例如IE <-> Maxthon, Windows Messenger <-> MSN Messenger, 前者不受限, 後者受限制, 必要時可以相互替換
補充: (2007-04-12)
SetSAFER.reg 新增限制 "RealPlayer", 因為 "RealPlayer" 可能會防止休眠
補充: (2008-01-28)
以Orbit Downloader 取代Free Download Manager
新增限制Gizmo Project 和Mozilla Thunderbird
贊助商連結