广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 2574 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x1
降低浏览器的执行权力(Reducing browser privileges)
降低浏览器的执行权力(Reducing browser privileges)。

概述: 近年来资讯安全公司或是研究中心都致力于修正Internet Explorer所产生的安全性漏洞。原先认为Firefox浏览器更安全的使用环境。但近半年来Firefox方面也出现了重大的安全性漏洞,导致他窜红的速度明显趋缓,因为使用者认为没有必要另外去使用一个跟IE一样不安全的浏览器,而微软工程师认为降低使用浏览器的权力,可以让使用上更加安全。

文摘内容: 近年来资讯安全公司或是研究中心都致力于修正Internet Explorer所产生的安全性漏洞。相较于微软仍旧对于本身浏览器的安全问题没有做出适当处理的态度,Firefox方面却是持续的增加新功能以及往提供更安全的使用环境的方向努力。然而近半年来Firefox方面也出现了重大的安全性漏洞,导致他窜红的速度明显趋缓,因为使用者认为没有必要另外去使用一个跟IE一样不安全的浏览器。

事实上还有一个简单但不为人知的方法可以避免现存浏览器中的许多漏洞,是由一位微软工程师Micheal Howard所研发的一个工具:”Drop My Rights” ,可以用来降低使用浏览器的权力,他并且呼吁所有的电脑使用者:”以系统管理员的身份操作电脑,对于个人电脑的系统安全和资料安全都是非常危险的!”,熟悉网路安全的使用者都知道这一点。不过在IE、Firefox等浏览器的安全性漏洞频频爆发之后,这套工具并没有获得广大的注意以及使用。Drop My Rights可至以下网站下载:
http://download.microsoft.com/download/f/2/e/f2e494...476ed4/DropMyRights.msi


『系统权限降低器』(Drop My Rights)是一个能够把其他程式的使用路径作为参数(见下列指令)的一个工具。例如,一个系统管理者身份的使用者想要以更加安全的方式操作Internet Explorer,他可以使用以下指令:
C:\path\to\dropmyrights.exe "C:\Program Files\Internet Explorer \iexplore.exe" C


这样就能让IE以较低的权限(Level C)来运行,即“受限的使用者(Constrained user)”。在这种情况下,若是IE或者Firefox出现任何的安全性漏洞,其影响都会降低至可控制的情况。Drop My Rights共有以上三种参数:
N 代表着一般使用者 (Normal User)
C 代表着受限使用者 (Constrained User)
U 代表着不受信任用户 (Untrusted Use,将导致大多数网路应用软体的无法运作) 。


值得注意的是当其他程式经由浏览器使用时,也相对的会降低了的使用权限。例如:当Windows Media Player, Adobe Acrobat, WinZip等经由浏览器启动时,它们就会相同的权限开始执行。当然,仅仅这种效果本身并不能提供绝对的安全。不过较低的使用者权限有时也会影响正常的功能。例如,当我们以最严格的『U』参数执行IE时,IE的功能就完全丧失了。在使用『C』参数时,也会造成某些网站也无法浏览,甚至在正常模式『N』下,仍然有一些限制。以及SSL协定在模式『C』下不能正常作用,但是在『N』模式下就很正常。事实上,我们发现有大量的软体都不能直接地在『C』下正常工作。所以这个工具最好是使用于控制各种的网路应用软体(例如:即时通、电子邮件、媒体播放器等)。你可以在各个模式下测试某个软体的功能是否正常来找到最适用你的操作权限。


对一个系统管理者(Administrator)来说,”使用最低权限”是很重要的,对于普通的使用者以能满足其操作需求所需的最小权限来运作程式对于系统会避免掉很多不必要的麻烦。不过许多使用者为了方便宁愿一直处于系统管理员的操作状态,因而带来许多安全性问题。


许多公司行号中都禁止公司内的桌上型电脑使用管理员的身份操作,在分散式的网路中,这个方式无疑是一种好的处理办法。以系统管理员的身份在网路上漫游会存在着有安全性的隐忧,降低网路应用程式的操作权限,就能有效的减少网路资讯安全方面的风险。如果不想一次降低所有应用程式的操作权限,最高权限使用者(Power users)也可以仅降低有关网路应用方面软体的权限,例如IE,Firefox,即时通,Outlook,Outlook Express,Notes,Thunderbird等等。


总而言之,如果所有的网路用户都能以非系统管理员的身份登录电脑,将会大大的增加系统以及网路安全。病毒、间谍软体、木马等程式往往是透过各种网路应用软体的安全漏洞而进入系统,或是渗透于网页之中以及电子邮件的附加档案内。然而,由于安装软体需要重新进入系统管理员状态,一般用户往往嫌这样做太麻烦。还有另一套软体“DropMyAdmin”(将系统管理员身分转成普通用户身分)能够在一定程度上解决基于浏览器的安全漏洞和系统漏洞所带来的安全问题,这也属于实现“使用最低权限”原则的实例之一。



参考资料:
http://msdn.microsoft.com/library/?url=/libr...l/secure11152004.asp



爸爸 你一路好走
献花 x1 回到顶端 [楼 主] From:台湾和信超媒体宽带网 | Posted:2007-11-27 20:18 |
JK-LIN 会员卡
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 创作大师奖 贴图大师奖 优秀管理员勋章 创作大师奖-2 人类贡献奖
头衔:人生无常之珍惜所有人生无常之珍惜所有
分类版主
级别: 分类版主 该用户目前不上站
版区: 兴趣嗜好, 宠物园地
推文 x161 鲜花 x5038
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

有机会试试看~

一般都是开管理者权限,除非公司要求降,
但使用者又会哇哇叫.... 表情


献花 x0 回到顶端 [1 楼] From:台湾数位联合 | Posted:2007-11-28 20:34 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.014894 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言