在将要发布的Windows Vista中最重要的一项改变是它将在处理用户权限的方法上。Vista将会允许用户作为一名系统管理员登入时,不需要在context中运行那些你所有的应用。这是很长时间来一个最主要的安全问题,并且很高兴看到微软将它解决了。
但是vista还需要很长时间才能被发布。我们大多数人可能不会在2007年初的时候使用上它。在这期间,当我们以系统管理员身份运行IE时,我们还是会遇到来自于WEB的垃圾、病毒、木马等的攻击。
| WinSystem子站热点 | |||
| Windows Vista | Windows Server 2003 | Windows Server 2000 | Windows XP |
| 系统故障诊断 | 终端用户 | 网络管理 | 安全防范 |
| Windows存储 | 活动目录 | 认证和职业 | 硬件知识 |
现在,你可能会从一个名为软件约束策略(SAFER)这样一个组策略技术中获得帮助。通常能够完全地阻止用户运行特定的应用,它也可以被用于在一个简化特权context中运行应用。软件约束策略(SAFER)允许用户在五种模式中运行一个应用:
- 无限制的(Unrestricted):正常运行
- 标准用户(Normal User):以一个普通用户(不是管理员)身份来运行
- 强制性的(Constrained):以一个受限制用户(guest)身份来运行
- 不可信的(Untrusted):作为强制的,但是具有附加的限制,包括缺少访问密码
- 不允许(Disallow):根本不能运行
微软Windows安全推进项目组成员Michael Howard,已经写出了一个名为SetSAFER的组件,这个组件能够‘与/或’不能够SAFER策略在拒绝策略在一个包括XML文件。IE是包含在文件中的一项应用,所以它能够被或多或少的用于来强制IE去做简化特权的运行。其他的应用能够很容易的被添加。并且包含到页面链接是一个迅速的.REG文件,这能够让你迅速地运行具有减少权限的IE。
一方面,经常会被用到的一个为IE的现有不安全状况的解决方案是去用其他的浏览器去替代IE浏览器,比如说Firefox。然而,一个使用Firefox作为IE的替代品的问题是,它很难去针对来自于组策略作核心管理(一些问题已经被许多的系统管理员抱怨过了)。
