為啥俺把這個(gè)話題列在頭一條?——因?yàn)檫@是個(gè)非常普遍、且遠(yuǎn)遠(yuǎn)沒有得到重視的問題。根據(jù)俺的經(jīng)驗(yàn),如果你能夠養(yǎng)成好習(xí)慣,不使用高權(quán)限用戶(尤其是管理員)進(jìn)行日常操作,就可以大大降低被黑的概率。下面,俺就來具體介紹一下。
★基本概念掃盲
先進(jìn)行一下名詞解釋:
◇用戶權(quán)限
所謂的“用戶權(quán)限”,通俗地說,就是某個(gè)用戶的權(quán)力有多大。權(quán)力越大,能干的事情越多。
◇用戶組
用戶組,顧名思義,就是一組用戶的集合。
在主流的操作系統(tǒng)中,“用戶權(quán)限”通常是和“用戶組”掛鉤滴。針對(duì)不同的用戶組,分配了不同的權(quán)限。
為了讓用戶省事兒,Windows系統(tǒng)內(nèi)置了若干用戶組(比如:Users、Power Users、Guests、等)。這些內(nèi)置的用戶組,事先已經(jīng)預(yù)定義好若干用戶權(quán)限。
◇高權(quán)限用戶:
本文提及的“高權(quán)限用戶 ”,主要是指Windows系統(tǒng)中Administrators組的用戶或POSIX系統(tǒng)中root組的用戶。
另外,順便消除一個(gè)誤解。很多菜鳥以為:Windows系統(tǒng)中,只有用戶名為“Administrator”的用戶才具有管理員權(quán)限。其實(shí)捏,任何一個(gè)用戶,即使用戶名不叫“Administrator”,只要是屬于“Administrators組 ”,也同樣具有管理員權(quán)限。
★反面教材
菜鳥的例子就不提了,光說說俺接觸過的很多程序員吧。這幫家伙在使用Linux/Unix系統(tǒng)進(jìn)行開發(fā)時(shí),都曉得應(yīng)該用普通用戶的帳號(hào)進(jìn)行操作;當(dāng)需要做某些高級(jí)權(quán)限的操作,再切換到管理員帳號(hào)(root帳號(hào))。但即便是這些開發(fā)人員,在自己的Windows系統(tǒng)中,卻喜歡用管理員(Administrator)進(jìn)行日常操作,實(shí)在是很諷刺。
如果連IT專業(yè)的開發(fā)人員都這樣,那不懂IT技術(shù)的外行人士,就可想而知了。
★危害性
如果你平時(shí)總是用管理員權(quán)限登錄到系統(tǒng)并進(jìn)行日常工作,那就意味著你所運(yùn)行的每一個(gè)程序,同時(shí)也具有了管理員權(quán)限。要知道,管理員權(quán)限的權(quán)力是很大的,幾乎可以干任何事情。
假設(shè)你有上述習(xí)慣。某天,你從網(wǎng)上下載了一個(gè)軟件,且軟件已經(jīng)感染了病毒。那么,當(dāng)你運(yùn)行這個(gè)軟件時(shí),這個(gè)病毒就會(huì)被激活。要命的是,它也同樣具有管理員權(quán)限。這時(shí),病毒就獲得了和殺毒軟件平起平坐的地位。假如這個(gè)病毒的作者水平再高一些,甚至可以騙過殺毒軟件或者直接把殺毒軟件干掉。
除了病毒,木馬也是一樣。假設(shè)你上網(wǎng)的時(shí)候,一不留神訪問了某個(gè)掛馬的網(wǎng)站。一旦木馬被激活,也同樣是以管理員的權(quán)限運(yùn)行,危害同樣也巨大。
★你該如何做?
考慮到Windows系統(tǒng)的用戶占絕大多數(shù),俺就光拿Windows系統(tǒng)來說事兒。希望Linux和Max OS的fans不要見怪。
為了盡量少用高權(quán)限用戶。你最好剛裝好系統(tǒng)之后,單獨(dú)創(chuàng)建一個(gè)非管理員用戶。
你可以讓該用戶僅僅屬于“Power Users組 ”,如下圖:
如果想更安全的話,可以僅僅加入“Users組 ”,如下圖:
今后,就主要通過這個(gè)用戶進(jìn)行日常的操作。
考慮到有些同學(xué)不了解這兩個(gè)用戶組,在權(quán)限方面與管理員有啥區(qū)別。俺簡(jiǎn)單列舉一下。
◇Power Users組與Administrators組的差別
相對(duì)于Administrators組,Power Users組缺少了如下幾項(xiàng)權(quán)限(俺只列主要的):
1、不能添加、刪除、禁用系統(tǒng)中的其它用戶。
2、不能修改其它用戶的屬性(包括口令、所屬的用戶組、等)
3、不能安裝/卸載硬件驅(qū)動(dòng)程序。
4、不能安裝/卸載某些應(yīng)用軟件。
5、不能查看系統(tǒng)的安全日志。
◇Users組與Administrators組的差別
User組的權(quán)限比Power Users組的更小。除了Power Users組做不到的事情,Users組還缺少 如下權(quán)限(俺只列主要的):
1、不能修改系統(tǒng)時(shí)間。
2、不能修改某些系統(tǒng)目錄(包括:系統(tǒng)盤的 /WINDOWS 目錄、系統(tǒng)盤的 /WINDOWS/SYSTEM32目錄、系統(tǒng)盤的 /Program Files目錄)。
3、不能啟動(dòng)/停止某些系統(tǒng)服務(wù)。
4、不能修改注冊(cè)表“HKEY_LOCAL_MECHINE”下的所有鍵值。
從上述對(duì)照,明顯可知,Users組的權(quán)限更小,使用起來更安全。比如說,即使你運(yùn)行了一個(gè)帶病毒的程序,由于病毒和你一樣,也僅有Users組的權(quán)限。所以病毒也就無法修改/破壞重要的系統(tǒng)目錄,掀不起太大風(fēng)浪。
★可能的麻煩
通常來說,越安全的措施,往往也意味著越麻煩。但是這些麻煩,都有相應(yīng)的解決之道。
◇切換用戶的麻煩
當(dāng)你以普通用戶身份登錄后,可能由于某些原因,需要用管理員用戶干點(diǎn)事情。但是你(可能是開了很多程序)又不想把當(dāng)前用戶注銷。
建議:
使用“快速用戶切換”(洋文叫:Fast User Switching)功能來切換用戶。此功能從Windows XP開始提供。簡(jiǎn)單地說,就是可以讓幾個(gè)不同的用戶同時(shí)登錄同一個(gè)系統(tǒng),平滑地切換。有了此功能,這個(gè)麻煩就不明顯了。
如果你非常不幸,還在使用比較古老的Windows 2000系統(tǒng);或者你使用的是Windows的服務(wù)版本(比如Windows Server 2003)。在這些版本的Windows系統(tǒng)中,默認(rèn)是沒有“快速用戶切換”功能滴。這可咋辦捏?
建議:
可以在不注銷當(dāng)前用戶的情況下,啟動(dòng)一個(gè)具有高級(jí)用戶權(quán)限的程序。
為了說清楚,俺舉例如下:
假設(shè)俺當(dāng)前處于一個(gè)普通用戶的環(huán)境,但是想另外啟動(dòng)一個(gè)具有管理員權(quán)限的程序,比如說命令行程序(cmd.exe)。
1、首先,俺先創(chuàng)建一個(gè)指向 cmd.exe 的快捷方式。(該怎樣創(chuàng)建快捷方式,俺就不用再教了吧?)
2、用鼠標(biāo)選中該快捷方式,在快捷菜單(右鍵菜單)中,選擇“屬性 ”菜單項(xiàng)。出現(xiàn)如下對(duì)話框。
3、在該對(duì)話框中,點(diǎn)“高級(jí) ”按鈕。出現(xiàn)如下對(duì)話框。把“以其他用戶身份運(yùn)行 ”選項(xiàng)打勾,即可。至此,快捷方式創(chuàng)建完畢。
4、以后,如果俺想在普通用戶環(huán)境中,以管理員身份執(zhí)行命令行,只要運(yùn)行該快捷方式,然后會(huì)彈出如下對(duì)話框。你只要在該對(duì)話框中輸入管理員的用戶名和口令,就能以管理員的身份,把該命令行啟動(dòng)起來。
◇安裝軟件/驅(qū)動(dòng)的麻煩
最主要的問題就是安裝軟件和安裝驅(qū)動(dòng)。安裝驅(qū)動(dòng)程序通常需要用管理員權(quán)限才行;另外,很多軟件(比如Office)在安裝時(shí),也要求用管理員權(quán)限的用戶進(jìn)行安裝。
建議:
在剛裝好系統(tǒng)之后,先用管理員用戶把上述這些軟件/驅(qū)動(dòng)程序都搞好。然后,就無需再用管理員用戶了。畢竟你經(jīng)常使用的軟件相對(duì)固定,不可能三天兩頭安裝軟件或驅(qū)動(dòng)(除非你是軟/硬件發(fā)燒友)。即便偶爾需要重新裝個(gè)軟件或驅(qū)動(dòng),也可以用上述介紹的方式,臨時(shí)切換到管理員權(quán)限。
◇修改系統(tǒng)時(shí)間的麻煩
如果你平時(shí)用的是“Users組”而不是“Power Users組”,那你連修改系統(tǒng)時(shí)間的權(quán)限也沒有。
建議:
啟用Windows系統(tǒng)自帶的時(shí)間同步服務(wù),讓它幫你自動(dòng)同步系統(tǒng)時(shí)間。
