将最小特权原则应用到Windows XP用户帐户

　　引言

　　联网技术的最新发展(如与 Internet 间的永久连接)给各种规模的组织带来了极大的机遇。不幸的是，计算机与网络(尤其是 Internet)之间的连接增加了遭到恶意软件和外部攻击者攻击的风险，各种风险此伏彼起。

　　Sophos 是一家 Internet 安全公司，它发现，检测到的恶意程序的数量由 1999 年 11 月的 45,879 个上升到 2005 年 11 月的 114,082 个，在过去六年中以每年至少 10% 的速度增长。2005 年 11 月，Sophos 发现了 1,900 多个新的恶意软件，如病毒、特洛伊木马和间谍软件程序。其他防病毒供应商所报告的恶意软件的数量和类型方面的增长情况与此类似。

　　赋予用户对客户端计算机的管理权利的倾向，是造成恶意软件的风险不断增加的重要因素。如果用户或管理员使用管理权利登录，他们运行的所有程序，如浏览器、电子邮件客户端和即时消息程序等，也同样具有管理权利。如果这些程序激活了恶意软件，恶意软件就可以进行自安装，操纵诸如防病毒程序之类的服务，甚至隐藏在操作系统中。用户可能在无意识且不知情的情况下，访问一个其安全性已受到破坏的网站或单击电子邮件中的链接或执行其他操作，进而导致恶意软件运行。

　　恶意软件会给组织带来许多威胁，包括利用击键记录程序截获用户的登录凭据以及使用木马程序套件完全控制计算机或整个网络等等。恶意软件可以导致网站无法访问、损坏或破坏数据以及重新格式化硬盘。所造成的后果中可能还包括增加成本，如清除计算机病毒感染、还原文件、重新输入或重新创建丢失的数据等所需的成本。病毒攻击还可能导致项目组无法按时完成任务，从而导致违反合同或失去客户的信任。受某种规章制约的组织可能会面临被起诉和罚款的尴尬局面。

　　最小特权用户帐户方法

　　采用一种包含相互复叠的多个安全层的纵深防御策略，是应对这些威胁的最佳方法，而最小特权用户帐户 (LUA) 方法是该防御策略的重要组成部分。LUA 方法可确保用户遵守最小特权原则并始终以受限用户帐户登录。此策略还有一个目的，就是将管理凭据限制为仅供管理员使用，而且只能用来执行管理任务。

　　LUA 方法可显著降低恶意软件和意外错误配置所带来的风险。但是，由于 LUA 方法需要组织规划、测试并支持受限访问配置，因此，实现此方法需要付出很高的成本，而且需要处理很多棘手的问题。这些成本可能包括重新开发自定义程序、更改运作流程以及部署其他工具等所需的成本。

　　Microsoft 不就这些工具或指导对您的环境的适用性做任何担保。您应该首先对这些指令或程序进行测试，然后再进行部署。所有安全问题都没有完美的答案，本软件和指导也不例外。

　　与管理特权相关的风险

　　许多组织通常都会赋予用户对其计算机的管理特权。这种情况对于便携式计算机尤其普遍，且通常是基于以下原因：

　　•为使某些程序能够正常运行。某些程序只有在用户具有管理权限时才能运行。通常，如果程序将用户数据存储在注册表或文件系统中，而且非管理帐户无法访问这些位置，就会出现这种情况。

　　•为使用户能够执行管理操作，如更改计算机的时区。

　　•为使移动用户能够安装与工作相关的硬件或软件，如打印设备或 DVD 刻录机及相关程序。

　　尽管可能还有其他为用户提供管理权利的正当理由，但这种做法会显著增加计算机遭到破坏和采用不当配置的风险。这些风险可能会影响组织运营中的诸多方面。

　　试考虑以下情况：高级主管定期到客户的办公地点，用便携式计算机进行演示。因为是高级主管，所以他坚持要求获得他的计算机的本地管理权利。他刚要向重要客户演示一个关键的销售演示文稿，这时，一条攻击性消息出现在他的便携式计算机的屏幕上，随后他的计算机被锁定了。在慌忙重新启动计算机后，该主管发现他的硬盘已经被重新格式化了。结果是，未能向客户展示销售演示文稿，订单拱手让给了竞争对手。

　　在上述情况中，当该主管浏览遭到破坏的网站时，恶意软件感染了他的计算机，导致了该攻击性消息的出现以及随后的数据破坏。该主管在访问网络时，是以本地 Administrators 组成员的身份登录到他的便携式计算机的。此组成员身份所具有的权利和特权使恶意软件能够禁用防病毒软件、进行自安装、操纵注册表以及在 Windows 系统目录中放置文件。该主管的计算机现在已经遭到破坏，随时可以执行恶意软件的命令。

　　其他可以利用管理帐户的较高特权的情形包括用户单击电子邮件中的链接或播放包含数字权利管理软件的音乐 CD 的情况。与使用受限用户帐户的用户相比，具有管理权利的用户的计算机可能更容易受到破坏，这是一个常见的因素。

　　最小特权原则的定义

　　《国防部可信计算机系统评估标准 (DOD-5200.28-STD)》(Department of Defense Trusted Computer System Evaluation Criteria)，又称《橙皮书》，是广为接受的计算机安全标准。此出版物中将最小特权定义为以下原则：要求赋予系统中每个使用者执行授权任务所需的限制性最强的一组特权(即最低许可)。本原则的应用将限制因意外、错误或未经授权使用而造成的损害。

　　LUA 方法的定义

　　本白皮书中将 LUA 方法定义为在运行 Windows XP 的计算机上实际实现最小特权原则。具体来说，Windows XP 上的用户、程序和服务应该只具有执行分配给他们/它们的任务所需的最小权利和权限。

　　注意 一定要了解权利和权限之间的区别。权利定义用户可以在计算机上执行的任务，而权限定义用户可以对计算机上的对象执行的操作。因此，用户需要“权利”来关闭计算机，需要“权限”来访问文件。

　　LUA 方法是建议、工具及最佳做法的组合，使组织能够使用非管理帐户操作运行 Windows XP 的计算机。LUA 方法需要组织重新评估计算机的角色和用户对其设备应具有的访问级别。它还给出了使用受限用户帐户进行操作的策略性以及日常注意事项，以及如何解决出现的问题。这些问题包括如远程用户需要对他们的计算机进行配置更改等多个方面。

　　LUA 方法还适用于应用程序开发和测试。开发人员(有时包括测试人员)通常使用具有管理权利的帐户登录到他们的计算机。此配置可导致开发人员公开那些需要类似的高级特权才能运行的已编译程序。开发人员会建议采用“安全变通方法”，如将用户帐户放入本地 Administrators 组或授予用户对 Windows 系统文件夹的完全控制权限，而非通过重新设计应用程序来使其正常工作。

　　LUA 方法就是要抵制这种将管理权利和权限赋予需要访问资源的每个用户或程序的倾向。遵守最小特权原则的程序不会尝试拒绝对资源的合法请求，而是根据合理的安全指南授予访问权限。

　　Windows XP 帐户

　　若要了解 LUA 方法的工作原理，应了解 Windows XP 中管理帐户和非管理帐户之间的区别，并了解 Windows 如何启动和运行程序。还有必要简单了解基于工作组和基于域的网络中的组。

　　运行 Windows XP 的计算机在本地安全帐户管理器 (SAM) 中维护有一个独立的安全数据库。SAM 负责存储本地用户和组信息，并包含数个默认组，如：

　　•Administrators。具有计算机的完全且无限制的访问权限。

　　•Power Users。具有较为受限的管理权利，如共享文件、安装本地打印机以及更改系统时间等。Power users 还具有访问 Windows 系统文件夹中文件的扩展权限。

　　•Users。具有受限的用户权利，以防意外或故意更改系统范围的设置。“仅”属于此组的用户帐户被称为“受限用户帐户”。

　　•Guests。比受限用户具有的权限还要少。

　　用户帐户所具有的权利是根据他们在这些组(一个或多个)中的成员身份来授予的。例如，内置管理员帐户具有管理权利，是因为它是 Administrators 组的成员。此组成员身份赋予管理员帐户提升的权限，例如从远程计算机强制系统关闭的权限。

　　基于工作组的计算机完全自我管理，只验证其自己的 SAM 中的组和用户。在工作组计算机加入域时，本地组成员身份会发生变化。除现有组之外，Domain Use