SEC312以最少权限运行Windows的技巧5.pptVIP

SEC 312以最少权限运行Windows的技巧 陈宇 软件设计工程师 Windows核心安全测试组 Microsoft yuchen@ 提要 为什么要以最少权限用户运行 如何以最少权限用户运行 演示 一些概念 管理员用户/非管理员用户 LUA 最少权限用户 “最少权限”原则 管理员能做, LUA不能做: 安装rootkit 安装keylogger 安装ActiveX控件,包括IE插件 安装/启动系统服务 停止系统服务(例如放火墙) 读取其它用户的文件 可以让任何人登录时运行某一特定程序 用“木马”程序替换系统程序 停止/卸载防毒软件 创建/修改用户帐号 重设用户口令 修改系统的配置文件(例如hosts) 删除系统的安全日志 使机器无法启动 …. 日常软件 互联网浏览器 (IE, FireFox) eMail软件 (Outlook Express) 即时消息(MSN Messenger, QQ) 网络游戏 媒体播放器 不只是Microsoft的问题, 也包括其它软件开发商 “但我需要管理我的机器…” 管理员权限　＝　双刃剑 平时以普通用户的身份运行 只在必要时提升成管理员身份 企业用户：不需管理员权限 给软件开发者的一个建议 以 “LUA”用户身份运行 更好的软件 及早发现bug 降低开发成本 养成好的使用习惯 LUA缺陷(bug) 只在管理员身份下才能运行 原因: 软