降低瀏覽器的執行權力(Reducing browser privileges)。
概述: 近年來資訊安全公司或是研究中心都致力於修正Internet Explorer所產生的安全性漏洞。原先認為Firefox瀏覽器更安全的使用環境。但近半年來Firefox方面也出現了重大的安全性漏洞,導致他竄紅的速度明顯趨緩,因為使用者認為沒有必要另外去使用一個跟IE一樣不安全的瀏覽器,而微軟工程師認為降低使用瀏覽器的權力,可以讓使用上更加安全。
文摘內容: 近年來資訊安全公司或是研究中心都致力於修正Internet Explorer所產生的安全性漏洞。相較於微軟仍舊對於本身瀏覽器的安全問題沒有做出適當處理的態度,Firefox方面卻是持續的增加新功能以及往提供更安全的使用環境的方向努力。然而近半年來Firefox方面也出現了重大的安全性漏洞,導致他竄紅的速度明顯趨緩,因為使用者認為沒有必要另外去使用一個跟IE一樣不安全的瀏覽器。
事實上還有一個簡單但不為人知的方法可以避免現存瀏覽器中的許多漏洞,是由一位微軟工程師Micheal Howard所研發的一個工具:”Drop My Rights” ,可以用來降低使用瀏覽器的權力,他並且呼籲所有的電腦使用者:”以系統管理員的身份操作電腦,對於個人電腦的系統安全和資料安全都是非常危險的!”,熟悉網路安全的使用者都知道這一點。不過在IE、Firefox等瀏覽器的安全性漏洞頻頻爆發之後,這套工具並沒有獲得廣大的注意以及使用。Drop My Rights可至以下網站下載:
http://download.microsoft.com/download/f/2/e/f2e494...476ed4/DropMyRights.msi『系統權限降低器』(Drop My Rights)是一個能夠把其他程式的使用路徑作為參數(見下列指令)的一個工具。例如,一個系統管理者身份的使用者想要以更加安全的方式操作Internet Explorer,他可以使用以下指令:
C:\path\to\dropmyrights.exe "C:\Program Files\Internet Explorer \iexplore.exe" C
這樣就能讓IE以較低的權限(Level C)來運行,即“受限的使用者(Constrained user)”。在這種情況下,若是IE或者Firefox出現任何的安全性漏洞,其影響都會降低至可控制的情況。Drop My Rights共有以上三種參數:
N 代表著一般使用者 (Normal User)
C 代表著受限使用者 (Constrained User)
U 代表著不受信任用戶 (Untrusted Use,將導致大多數網路應用軟體的無法運作) 。
值得注意的是當其他程式經由瀏覽器使用時,也相對的會降低了的使用權限。例如:當Windows Media Player, Adobe Acrobat, WinZip等經由瀏覽器啟動時,它們就會相同的權限開始執行。當然,僅僅這種效果本身並不能提供絕對的安全。不過較低的使用者權限有時也會影響正常的功能。例如,當我們以最嚴格的『U』參數執行IE時,IE的功能就完全喪失了。在使用『C』參數時,也會造成某些網站也無法瀏覽,甚至在正常模式『N』下,仍然有一些限制。以及SSL協定在模式『C』下不能正常作用,但是在『N』模式下就很正常。事實上,我們發現有大量的軟體都不能直接地在『C』下正常工作。所以這個工具最好是使用於控制各種的網路應用軟體(例如:即時通、電子郵件、媒體播放器等)。你可以在各個模式下測試某個軟體的功能是否正常來找到最適用你的操作權限。
對一個系統管理者(Administrator)來說,”使用最低權限”是很重要的,對於普通的使用者以能滿足其操作需求所需的最小權限來運作程式對於系統會避免掉很多不必要的麻煩。不過許多使用者為了方便寧願一直處於系統管理員的操作狀態,因而帶來許多安全性問題。
許多公司行號中都禁止公司內的桌上型電腦使用管理員的身份操作,在分散式的網路中,這個方式無疑是一種好的處理辦法。以系統管理員的身份在網路上漫遊會存在著有安全性的隱憂,降低網路應用程式的操作權限,就能有效的減少網路資訊安全方面的風險。如果不想一次降低所有應用程式的操作權限,最高權限使用者(Power users)也可以僅降低有關網路應用方面軟體的權限,例如IE,Firefox,即時通,Outlook,Outlook Express,Notes,Thunderbird等等。
總而言之,如果所有的網路用戶都能以非系統管理員的身份登錄電腦,將會大大的增加系統以及網路安全。病毒、間諜軟體、木馬等程式往往是透過各種網路應用軟體的安全漏洞而進入系統,或是滲透於網頁之中以及電子郵件的附加檔案內。然而,由於安裝軟體需要重新進入系統管理員狀態,一般用戶往往嫌這樣做太麻煩。還有另一套軟體“DropMyAdmin”(將系統管理員身分轉成普通用戶身分)能夠在一定程度上解決基於瀏覽器的安全漏洞和系統漏洞所帶來的安全問題,這也屬於實現“使用最低權限”原則的實例之一。
參考資料:
http://msdn.microsoft.com/library/?url=/libr...l/secure11152004.asp
