降低浏览器的执行权力(Reducing browser privileges)。
概述: 近年来资讯安全公司或是研究中心都致力于修正Internet Explorer所产生的安全性漏洞。原先认为Firefox浏览器更安全的使用环境。但近半年来Firefox方面也出现了重大的安全性漏洞,导致他窜红的速度明显趋缓,因为使用者认为没有必要另外去使用一个跟IE一样不安全的浏览器,而微软工程师认为降低使用浏览器的权力,可以让使用上更加安全。
文摘内容: 近年来资讯安全公司或是研究中心都致力于修正Internet Explorer所产生的安全性漏洞。相较于微软仍旧对于本身浏览器的安全问题没有做出适当处理的态度,Firefox方面却是持续的增加新功能以及往提供更安全的使用环境的方向努力。然而近半年来Firefox方面也出现了重大的安全性漏洞,导致他窜红的速度明显趋缓,因为使用者认为没有必要另外去使用一个跟IE一样不安全的浏览器。
事实上还有一个简单但不为人知的方法可以避免现存浏览器中的许多漏洞,是由一位微软工程师Micheal Howard所研发的一个工具:”Drop My Rights” ,可以用来降低使用浏览器的权力,他并且呼吁所有的电脑使用者:”以系统管理员的身份操作电脑,对于个人电脑的系统安全和资料安全都是非常危险的!”,熟悉网路安全的使用者都知道这一点。不过在IE、Firefox等浏览器的安全性漏洞频频爆发之后,这套工具并没有获得广大的注意以及使用。Drop My Rights可至以下网站下载:
http://download.microsoft.com/download/f/2/e/f2e494...476ed4/DropMyRights.msi『系统权限降低器』(Drop My Rights)是一个能够把其他程式的使用路径作为参数(见下列指令)的一个工具。例如,一个系统管理者身份的使用者想要以更加安全的方式操作Internet Explorer,他可以使用以下指令:
C:\path\to\dropmyrights.exe "C:\Program Files\Internet Explorer \iexplore.exe" C
这样就能让IE以较低的权限(Level C)来运行,即“受限的使用者(Constrained user)”。在这种情况下,若是IE或者Firefox出现任何的安全性漏洞,其影响都会降低至可控制的情况。Drop My Rights共有以上三种参数:
N 代表着一般使用者 (Normal User)
C 代表着受限使用者 (Constrained User)
U 代表着不受信任用户 (Untrusted Use,将导致大多数网路应用软体的无法运作) 。
值得注意的是当其他程式经由浏览器使用时,也相对的会降低了的使用权限。例如:当Windows Media Player, Adobe Acrobat, WinZip等经由浏览器启动时,它们就会相同的权限开始执行。当然,仅仅这种效果本身并不能提供绝对的安全。不过较低的使用者权限有时也会影响正常的功能。例如,当我们以最严格的『U』参数执行IE时,IE的功能就完全丧失了。在使用『C』参数时,也会造成某些网站也无法浏览,甚至在正常模式『N』下,仍然有一些限制。以及SSL协定在模式『C』下不能正常作用,但是在『N』模式下就很正常。事实上,我们发现有大量的软体都不能直接地在『C』下正常工作。所以这个工具最好是使用于控制各种的网路应用软体(例如:即时通、电子邮件、媒体播放器等)。你可以在各个模式下测试某个软体的功能是否正常来找到最适用你的操作权限。
对一个系统管理者(Administrator)来说,”使用最低权限”是很重要的,对于普通的使用者以能满足其操作需求所需的最小权限来运作程式对于系统会避免掉很多不必要的麻烦。不过许多使用者为了方便宁愿一直处于系统管理员的操作状态,因而带来许多安全性问题。
许多公司行号中都禁止公司内的桌上型电脑使用管理员的身份操作,在分散式的网路中,这个方式无疑是一种好的处理办法。以系统管理员的身份在网路上漫游会存在着有安全性的隐忧,降低网路应用程式的操作权限,就能有效的减少网路资讯安全方面的风险。如果不想一次降低所有应用程式的操作权限,最高权限使用者(Power users)也可以仅降低有关网路应用方面软体的权限,例如IE,Firefox,即时通,Outlook,Outlook Express,Notes,Thunderbird等等。
总而言之,如果所有的网路用户都能以非系统管理员的身份登录电脑,将会大大的增加系统以及网路安全。病毒、间谍软体、木马等程式往往是透过各种网路应用软体的安全漏洞而进入系统,或是渗透于网页之中以及电子邮件的附加档案内。然而,由于安装软体需要重新进入系统管理员状态,一般用户往往嫌这样做太麻烦。还有另一套软体“DropMyAdmin”(将系统管理员身分转成普通用户身分)能够在一定程度上解决基于浏览器的安全漏洞和系统漏洞所带来的安全问题,这也属于实现“使用最低权限”原则的实例之一。
参考资料:
http://msdn.microsoft.com/library/?url=/libr...l/secure11152004.asp
