最小特权原则的定义

　　《国防部可信计算机系统评估标准 (DOD-5200.28-STD)》(Department of Defense Trusted Computer System Evaluation Criteria)，又称《橙皮书》，是广为接受的计算机安全标准。此出版物中将最小特权定义为以下原则：要求赋予系统中每个使用者执行授权任务所需的限制性最强的一组特权(即最低许可)。本原则的应用将限制因意外、错误或未经授权使用而造成的损害。

　　LUA 方法的定义

　　本白皮书中将 LUA 方法定义为在运行 Windows XP 的计算机上实际实现最小特权原则。具体来说，Windows XP 上的用户、程序和服务应该只具有执行分配给他们/它们的任务所需的最小权利和权限。

　　注意 一定要了解权利和权限之间的区别。权利定义用户可以在计算机上执行的任务，而权限定义用户可以对计算机上的对象执行的操作。因此，用户需要“权利”来关闭计算机，需要“权限”来访问文件。

　　LUA 方法是建议、工具及最佳做法的组合，使组织能够使用非管理帐户操作运行 Windows XP 的计算机。LUA 方法需要组织重新评估计算机的角色和用户对其设备应具有的访问级别。它还给出了使用受限用户帐户进行操作的策略性以及日常注意事项，以及如何解决出现的问题。这些问题包括如远程用户需要对他们的计算机进行配置更改等多个方面。

　　LUA 方法还适用于应用程序开发和测试。开发人员(有时包括测试人员)通常使用具有管理权利的帐户登录到他们的计算机。此配置可导致开发人员公开那些需要类似的高级特权才能运行的已编译程序。开发人员会建议采用“安全变通方法”，如将用户帐户放入本地 Administrators 组或授予用户对 Windows 系统文件夹的完全控制权限，而非通过重新设计应用程序来使其正常工作。

　　LUA 方法就是要抵制这种将管理权利和权限赋予需要访问资源的每个用户或程序的倾向。遵守最小特权原则的程序不会尝试拒绝对资源的合法请求，而是根据合理的安全指南授予访问权限。

　　Windows XP 帐户

　　若要了解 LUA 方法的工作原理，应了解 Windows XP 中管理帐户和非管理帐户之间的区别，并了解 Windows 如何启动和运行程序。还有必要简单了解基于工作组和基于域的网络中的组。

　　运行 Windows XP 的计算机在本地安全帐户管理器 (SAM) 中维护有一个独立的安全数据库。SAM 负责存储本地用户和组信息，并包含数个默认组，如：

　　•Administrators。具有计算机的完全且无限制的访问权限。

　　•Power Users。具有较为受限的管理权利，如共享文件、安装本地打印机以及更改系统时间等。Power users 还具有访问 Windows 系统文件夹中文件的扩展权限。

　　•Users。具有受限的用户权利，以防意外或故意更改系统范围的设置。“仅”属于此组的用户帐户被称为“受限用户帐户”。

　　•Guests。比受限用户具有的权限还要少。

　　用户帐户所具有的权利是根据他们在这些组(一个或多个)中的成员身份来授予的。例如，内置管理员帐户具有管理权利，是因为它是 Administrators 组的成员。此组成员身份赋予管理员帐户提升的权限，例如从远程计算机强制系统关闭的权限。

　　基于工作组的计算机完全自我管理，只验证其自己的 SAM 中的组和用户。在工作组计算机加入域时，本地组成员身份会发生变化。除现有组之外，Domain Users 组会成为本地 Users 组的成员，Domain Admins 组会成为 Administrators 组的成员。这种变化使 Domain Admins 组中的所有成员都可以使用管理权利登录到计算机，使 Domain Users 组中的所有成员都可以使用受限的用户权利登录到计算机。