目前,世界各地的信息安全公司和研究人员都在千方百计地发掘IE的最新安全漏洞,“火狐”浏览器的开发人员正在马不停蹄地为其产品添加新的功能和新的安全性――相比之下,微软似乎比较“悠闲”。然而,最近半年以来,人气火爆的“火狐(Firefox)”也暴露出了一些重大的安全漏洞,导致其人气指数上升的势头明显放缓。一些人已经开始质疑:真的有必要转而使用一个可能像微软的IE一样不安全的浏览器吗?
事实上,我们可以一种简便的、不太为人所知的方法来避免在任何一款浏览器上都会存在的许多漏洞。这种方法就是利用一款由微软程序员迈克尔?霍华德研制的工具软件:“Drop My Rights”,中文名叫“系统权限降低器”。这款软件在去年就已经推出,尽管它的使用方法很简单,在IE等浏览器的安全漏洞频频爆发的背景下,却没有赢得广大用户的青睐。因此,在使用这款软件的具体功能之前,我们有必要探讨一下这款工具在信息安全方面的重要意义。下面,我们将在构建的一个虚拟机上测试这款工具软件对于带有恶意代码和病毒的网页的防御能力。.
“最低权限”原则
对于网络管理员而言,“最低权限”原则是非常重要的。“最低权限”原则就是:普通用户应该以能满足操作任务需要的最低权限来运行各种程序。通常,这意味着:在多数情况下,以普通用户的身份运行系统,只有在绝对必要的情况下,才使用命令行操作“RunAs”或者“MakeMeAdmin”来提升操作权限。否则,用户就只能退出普通用户的状态,以系统管理员的身份重新登陆来进行一些必要的安装操作――有时,甚至在安装网络浏览器本身的许多插件时也需要如此。这样做比较麻烦,所以许多用户宁愿一直就处于系统管理员的操作状态。这样,问题就出来了!
公司企业中的普通台式机都禁止以管理员身份运行,这依然是一个最好的措施。然而,在管理层权力比较分散的企业中,某些管理层高级人员的计算机操作往往成为一个严重的安全隐患。此外,网络管理员以网络管理员的身份在网上冲浪的行为也是一个安全隐患。降低基于网络的各种应用程序的运行权限,就能有效地减少网络信息安全方面的风险。
微软研发人员迈克尔?霍华德在发布了“系统权限降低器”(Drop My Rights)之后,再次向广大电脑用户发出警示:“以系统管理员的身份运行电脑,对于个人电脑的系统安全和数据安全是非常危险的!”熟谙网络安全的计算机用户都知道这一点,但是许多人依然我行我素。如果不想一下子降低全部应用程序的运行权限,高级权限用户(Power users)也可以仅仅降低那些面向网络应用的各种软件的权限,诸如IE,Firefox,即时通讯工具(IM),Outlook,Outlook Express,Notes,Thunderbird等等。
“系统权限降低器”
“系统权限降低器”(Drop My Rights)是一个能够把其他程序的运行路径作为参数的小工具。例如,一个系统管理员身份的用户想要以更加安全的方式运行Internet Explorer,那么他可以运行下面的这个命令行:
C:\path\to\dropmyrights.exe "C:\Program Files\Internet Explorer\iexplore.exe" C
这样,就能让IE以比较低的系统权限(Level C)来运行,即“受限用户身份(Constrained user)”。在这种情况下,倘若IE或者Firefox出现任何安全漏洞,其影响都能得到极大程度的控制。“系统权限降低器”这个小工具所涉及到的三个参数如下:
N 代表着 普通用户(Normal User)
C 代表着 受限用户(Constrained User)
U 代表着 不受信任用户 (该设置将导致大多数网络应用软件的无法运行)
下面,我们进行一些简单的测试来看看是否Windows系统将会在安装该工具软件之后变得更加安全。