認識權限審查

一般來說，Windows系統(tǒng)中的各個對象都屬于客體，訪問這些對象的每個系統(tǒng)進程，甚至是其下的每個線程都屬于主體。每個線程都可以共享每個進程的基本令牌，但有些特殊的線程，它自己擁有一個獨立的模擬令牌，能模擬特定客戶端的身份，所以模擬令牌就是這些線程的有效令牌，而其他普通線程的有效令牌只能是其所屬進程的基本令牌了。

在主體訪問客體的過程中，Windows系統(tǒng)會進行權限審查操作，也就是檢查比對客體的安全描述符與主體的有效令牌，以便判斷主體的訪問是否合法可信。為了改善審查效率，Windows系統(tǒng)的權限審查機制允許使用緩存功能來進行訪問權限審查，審查結果會被自動緩存到進程的句柄表中，日后通過調閱緩存內容就能確認訪問的合法性，而不需要每次打開或創(chuàng)建一個對象或一個進程，而且這也能節(jié)省更大的系統(tǒng)開銷?？紤]到系統(tǒng)對象和系統(tǒng)進程都有對應的繼承層次，所以系統(tǒng)進程的令牌和系統(tǒng)對象的安全描述符從邏輯上講也是能夠繼承的。

例如文件系統(tǒng)中的文件能將其所在文件夾的安全描述符繼承過來，子進程能將父進程的有效令牌繼承過來，這種繼承機制可讓系統(tǒng)對象和系統(tǒng)進程擁有了默認的權限屬性。所以在特定環(huán)境下，系統(tǒng)進程的令牌和對象的安全描述符實例數(shù)目相當有限，很多時候都是從父輩們繼承過來的默認值。

系統(tǒng)對象的安全描述符規(guī)定了何種身份的主體，申請的哪種類型訪問權限會被允許或者拒絕。Windows在對系統(tǒng)對象或系統(tǒng)進程的權限執(zhí)行審查操作時，如果發(fā)現(xiàn)系統(tǒng)對象的安全描述符為空，意味著目標對象沒有受到權限保護，允許任何主體進行訪問。

當權限審查機制發(fā)現(xiàn)目標系統(tǒng)對象存在非空的安全描述符時，會自動比對權限規(guī)定和主體的身份標識，直到對應主體所請求的訪問權限被部分或全部允許，也可以是某一訪問請求的權限被拒絕，這樣權限審查操作就會結束。

除普通權限審查外，還有特權和超級特權審查、強制策略和完整性級別審查、可信級別審查、受限令牌審查等。

按需授予權限

為了保護系統(tǒng)對象訪問安全，很多人會下意識想到利用各種外力工具，實際上巧妙通過Windows系統(tǒng)自帶的權限配置功能，對計算機系統(tǒng)中的重要對象加以安全防范，能夠達到意想不到的效果。

靈活授予上網(wǎng)權限

大家知道，通過IE瀏覽器程序上網(wǎng)訪問時，該程序先天性的安全漏洞，常常會被網(wǎng)上的病毒木馬利用，從而給終端系統(tǒng)的安全運行帶來麻煩。如果強行以較低權限運行IE瀏覽器程序，日后病毒木馬即使悄悄利用了IE瀏覽器程序，不過因為操作權限有限，也不能對終端系統(tǒng)發(fā)起多大威脅的惡意攻擊，那么終端系統(tǒng)的運行安全性就不容易受到影響了。更重要的是，用戶進行其他操作，權限一點也不會受到影響。

要實現(xiàn)上述安全防范目的，只要正確設置Windows系統(tǒng)軟件限制策略，讓用戶僅以“基本用戶”級別的權限運行IE瀏覽器程序，具體實施步驟為：首先為軟件限制策略添加“基本用戶”安全等級。Windows系統(tǒng)在默認狀態(tài)只支持“不允許的”、“不受限的”這幾個權限級別，要增加一個介于受限用戶賬號和系統(tǒng)管理員權限之間的權限級別時，不妨按下“Win+R”快捷鍵，打開系統(tǒng)運行文本框，輸入“regedit”命令并回車，展開系統(tǒng)注冊表編輯界面，依次展開“HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers”注冊表分支選項，在指定注冊表分支下手工生成“Levels”雙字節(jié)鍵值，將其數(shù)值輸入為十六進制的“20000”，單擊“確定”按鈕后軟件限制策略就能支持“基本用戶”權限級別了。

之后強行以“基本用戶”權限級別啟動IE瀏覽器程序。依次點擊“開始”、“運行”命令，在系統(tǒng)運行框中輸入“secpol.msc”命令，打開本地安全設置窗口，將鼠標定位于該窗口左側的“安全設置”、“軟件限制策略”、“其他規(guī)則”節(jié)點上，打開該節(jié)點的右鍵菜單，選擇“新路徑規(guī)則”命令，點擊新路徑規(guī)則設置框中的“瀏覽”按鈕，從彈出的文件選擇框中導入IE瀏覽器可執(zhí)行文件，同時從“安全級別”位置處，選中“基本用戶”權限級別，單擊“確定”按鈕后退出設置對話框。重新啟動終端系統(tǒng)后，用戶不管以何種方式運行IE瀏覽程序，它都處于基本用戶權限狀態(tài)，在該權限狀態(tài)下上網(wǎng)時，IE瀏覽器是不容易受到攻擊的。但是，用戶在本地計算機系統(tǒng)中進行其他操作時，權限不會受到任何限制。

謹慎開啟服務權限

Windows系統(tǒng)服務實際上也屬于一種進程或程序，只是在系統(tǒng)后臺悄悄運行而已，它的啟動運行，可以保證系統(tǒng)實現(xiàn)某種功能或達到某種目的。與普通的應用程序相比，系統(tǒng)服務在運行過程中，不會彈出設置對話框或窗口，用戶很難直觀地看到它們的“影子”，所以黑客程序經(jīng)常喜歡以此為攻擊目標，通過替換或劫持正常系統(tǒng)服務方式實現(xiàn)攻擊系統(tǒng)目的。所以，對終端系統(tǒng)中的一些重要服務，謹慎開啟它們的運行權限十分有必要。

比如說，對于終端上網(wǎng)用戶來說，“Remote Registry”系統(tǒng)服務一般沒有多大作用，不過黑客很喜歡它的強控制力和破壞力，常常會利用該系統(tǒng)服務，偷偷遠程調整局域網(wǎng)中重要終端系統(tǒng)的注冊表鍵值，來達到攻擊或破壞目的。黑客一旦獲取到遠程計算機系統(tǒng)的管理員賬號，同時在注冊表編輯器窗口中點擊“連接網(wǎng)絡注冊表”命令，輸入遠程計算機系統(tǒng)的IP地址或名稱，連接成功后就能非法調整其所有鍵值了。要是不想讓終端系統(tǒng)遭遇這種遠程攻擊時，為“Remote Registry”系統(tǒng)服務配置嚴格的權限是很有必要的。當為該危險服務授予了嚴格權限時，注冊表編輯界面中的“連接網(wǎng)絡計算機”命令，對一些用戶來說就會自動失效，那么這些用戶就不能遠程修改注冊表鍵值了。

要為特定服務授權，可以請“Process explorer” 這款工具幫忙。只要開啟該工具的運行狀態(tài)，在其主操作窗口中，點擊“Services”標簽，進入系統(tǒng)服務列表頁面。選中“Remote Registry”系統(tǒng)服務，按下“Permissions”按鈕，切換到權限編輯對話框。選中并刪除這里的所有普通用戶賬號，同時為“administrators”組賬 號設置“讀取”權限，確認后保存設置操作。這樣，“Remote Registry”系統(tǒng)服務就會自動處于安全保護之中，非法用戶日后就不能隨意通過該服務，遠程修改注冊表鍵值了。

同樣地，“Server”、“Clip Book”、“Shell Hardware Detection”、“Task Scheduler”、“DNS Client”等系統(tǒng)服務，都可能會帶來一系列安全麻煩，都需要經(jīng)過嚴格的授權，確保普通用戶不能隨意訪問這些系統(tǒng)服務。

嚴控控制賬號權限

惡意用戶經(jīng)常會利用系統(tǒng)漏洞，偷偷與特定終端系統(tǒng)建立遠程連接，再利用一些特殊技術竊取系統(tǒng)管理員權限，開啟遠程桌面窗口，對特定系統(tǒng)進行惡意攻擊。為了避免這種危險現(xiàn)象，不妨嚴格控制用戶賬號的遠程桌面使用權限，讓合法可信的管理員賬號才可以創(chuàng)建遠程桌面連接，其他用戶賬號無權擁有遠程桌面權限。考慮到遠程桌面窗口打開操作和“explorer.exe”程序文件訪問權限有關，要是將該程序文件的讀取權限授權合法可信用戶賬號，就能達到之前的控制目的。在進行這種操作時，先打開系統(tǒng)資源管理器窗口，在“C:Windows”系統(tǒng)文件夾中選中“explorer.exe”程序文件，點選它右鍵菜單中的“屬性”命令，切換到對應文件屬性對話框，單擊“安全”選項卡，刪除該選項設置頁面中的所有用戶賬號。單擊“添加”按鈕，彈出賬號選擇設置框，導入合法可信用戶賬號，將其相關操作權限都修改為“允許”，確認后保存設置操作。

當然，之前的設置操作，只適用于還未開啟的“explorer.exe”程序，要是該程序已被調入系統(tǒng)內存時，那一定要通過微軟自行開發(fā)的“Process Explorer”程序來設置。進入該程序主操作窗口，點選“explorer.exe”程 序，點選其右鍵菜單中的“Properties”命令，展開“Security”面板，按下“Permissions”按鈕，將“explorer.exe”程序操作權限授予特定用戶賬號。日后，只有特定用戶賬號才可以擁有遠程桌面權限，其他用戶賬號即使已創(chuàng)建好遠程桌面連接，也無法打開桌面窗口進行惡意攻擊。

為了避免一些用戶賬號從低版本系統(tǒng)中，隨意遠程登錄局域網(wǎng)服務器系統(tǒng)，建議為它們賦予帶網(wǎng)絡驗證的遠程桌面權限。比如說，在Windows 7系統(tǒng)中進行這種操作時，可以打開系統(tǒng)桌面上“計算機”圖標的右鍵菜單，單擊“屬性”命令，打開系統(tǒng)屬性對話框，按下“遠程設置”按鈕，切換到如圖1所示的遠程設置對話框，選中“只允許運行帶網(wǎng)絡級身份驗證的遠程桌面的計算機連接”，確認后退出即可。

圖1 遠程設置對話框

圖2 使用空白密碼的本地賬號權限設置

日后，當一些用戶賬號從低版本系統(tǒng)中，遠程連接到局域網(wǎng)服務器時，將不能取得成功，那么服務器系統(tǒng)的安全性就能得到保障了，這可以有效防止低版本系統(tǒng)中的病毒任意傳播。

此外，如果允許空白密碼用戶賬號隨意登錄Windows系統(tǒng)，也容易給惡意用戶帶來攻擊機會。為了避免這種現(xiàn)象，建議在重要計算機系統(tǒng)中，僅能授予空白密碼用戶賬號控制臺登錄權限，不能授予其他操作權限：使用“Win+R”快捷鍵，調出系統(tǒng)運行設置框，輸入“gpedit.msc”命令并回車，打開系統(tǒng)組策略編輯窗口。依次跳轉到“本地計算機策略”、“計算機配置”、“Windows設置”、“安全設置”、“本地策略”、“安全選項”節(jié)點上，找到特定節(jié)點下的“賬戶：使用空白密碼的本地賬號只允許進行控制臺登錄”選項，通過雙擊鼠標方式，打開如圖2所示的選項設置對話框。選中“已啟用”選項， 確認后保存設置即可。

臨時獲取操作權限

在Windows系統(tǒng)環(huán)境下，執(zhí)行一些特定操作時，普通用戶常常會遇到權限不夠的煩惱，例如打開特定系統(tǒng)文件夾，編輯處理某個系統(tǒng)文件，保存文件時或許會出現(xiàn)權限不足提示。即使通過右鍵菜單，執(zhí)行“以管理員身份運行”命令，相關操作有時也無法取得成功。這個時候，有些人為了圖方便，索性會以系統(tǒng)管理員權限賬號重新登錄系統(tǒng)，來執(zhí)行上述特殊操作，不過這可能會給Windows系統(tǒng)帶來不效的安全威脅。

其實，在普通用戶權限狀態(tài)下，用戶能夠進行下面的設置操作，來臨時獲得全局管理員操作權限：首先按下“Ctrl+Alt+Del”快捷鍵，展開Windows任務管理器窗口，選擇“進程”選項卡，在Windows任務管理器中找到并選中“explorer.exe”選項，按下“結束進程”按鈕。

之后逐一點選系統(tǒng)任務管理器窗口菜單欄中的“文件”、“新建任務”選項，切換到系統(tǒng)任務運行對話框中，輸入“explorer.exe”命令，并勾選“利用管理特權創(chuàng)建此任務”選項，單擊“確定”按鈕后就能臨時獲取全局系統(tǒng)管理員操作權限了。

此時，繼續(xù)進行上述特殊操作時，系統(tǒng)就不會彈出權限不夠錯誤提示了。完成特定操作后，將以管理員權限開啟的“explorer.exe”進程關閉掉，就能退出系統(tǒng)管理員權限狀態(tài)了。

當然，要想以系統(tǒng)管理員權限臨時開啟特定程序運行狀態(tài)，普通用戶也能用鼠標右鍵單擊特定程序快捷圖標，點選“以管理員身份運行”命令，來快速獲得臨時運行權限。

定期查看啟動權限

目前一些病毒木馬程序，會將可執(zhí)行文件悄悄隱藏到系統(tǒng)注冊表相關啟動目錄中，例如隱藏到注冊表Winlogon、RunServicesOnce、load、RunOnceEx、Run、RunOnce、RunServices等分支下，以實現(xiàn)與系統(tǒng)同步啟動運行目的。為了避免這種現(xiàn)象，大家可以定期查看上述分支下的鍵值內容，確保立刻刪除陌生鍵值啟動權限。

比如說，要查看系統(tǒng)注冊表Run分支下有無陌生病毒木馬鍵值時，只要進入系統(tǒng)注冊表編輯窗口，將鼠標定位到該編輯窗口左側列表中的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion、HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion兩個分支下，要是發(fā)現(xiàn)有陌生啟動鍵值時，選中并刪除它們即可。

同時，一些病毒木馬程序還相當狡猾，常常會以系統(tǒng)服務形式與系統(tǒng)同步啟動運行，所以大家還必須將鼠標定位到注冊表編輯器窗口的“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”注冊表分支上，將指定分支下的陌生服務選項找出來并刪除掉。在進行該操作時，先打開系統(tǒng)運行對話框，輸入“services.msc”命令并回車，進入系統(tǒng)服務列表窗口，從中找到陌生服務選項并用鼠標雙擊，彈出目標服務屬性對話框，按下常規(guī)設置頁面中的“停止”按鈕，同時將“啟動類型”設置為“已禁用”即可。

為了防止一些狡猾病毒程序卷土重來，用戶還需要對與系統(tǒng)啟動相關的注冊表分支寫入權限進行控制，避免它們重新將惡意啟動鍵值導入到系統(tǒng)注冊表中。比如說，要阻止病毒向注冊表分支HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun下寫入惡意鍵值時，只要先將鼠標定位到注冊表特定分支上，逐一單擊“編輯”、“權限”命令，展開指定分支的權限設置對話框，刪除所有陌生用戶賬號，同時單擊“添加”按鈕導入合法可信用戶賬號，并為它們授予適當操作權限。