引言
联网技术的发展(如与 Internet 间的永久连接)给各种规模的组织带来了极大的机遇。不幸的是,计算机与网络(尤其是 Internet)之间的连接增加了遭到恶意软件和外部攻击者攻击的风险,各种风险此伏彼起。
此外,就一般办公环境来讲,系统(WINDOWS)被感染病毒更多可能是由于用户使用了“可移动存储设备”,当用户以双击操作进入可移动设备时,恶意软件同时被运行。
赋予用户对客户端计算机的管理权利的倾向,是造成恶意软件的风险不断增加的重要因素。如果用户或管理员使用管理权利登录,他们运行的所有程序,如浏览器、电子邮件客户端和即时消息程序等,也同样具有管理权利。如果这些程序激活了恶意软件,恶意软件就可以进行自安装,操纵诸如防病毒程序之类的服务,甚至隐藏在操作系统中。用户可能在无意识且不知情的情况下,访问一个其安全性已受到破坏的网站或单击电子邮件中的链接或执行其他操作,进而导致恶意软件运行。
恶意软件会给组织带来许多威胁,包括利用击键记录程序截获用户的登录凭据以及使用木马程序套件完全控制计算机或整个网络等等。恶意软件可以导致网站无法访问、损坏或破坏数据以及重新格式化硬盘。所造成的后果中可能还包括增加成本,如清除计算机病毒感染、还原文件、重新输入或重新创建丢失的数据等所需的成本。病毒攻击还可能导致项目组无法按时完成任务,从而导致违反合同或失去客户的信任。受某种规章制约的组织可能会面临被起诉和罚款的尴尬局面。
关于 WINDOWS XP 帐户
Administrators。具有计算机的完全且无限制的访问权限。
Power Users。具有较为受限的管理权利,如共享文件、安装本地打印机以及更改系统时间等。Power users 还具有访问 Windows 系统文件夹中文件的扩展权限。
Users。具有受限的用户权利,以防意外或故意更改系统范围的设置。“仅”属于此组的用户帐户被称为“受限用户帐户”。
基于工作组的计算机完全自我管理,只验证其本机的 SAM 中的组和用户。在工作组计算机加入域时,本地组成员身份会发生变化。除现有组之外,Domain Users 组会成为本地 Users 组的成员,Domain Admins 组会成为 Administrators 组的成员。这种变化使 Domain Admins 组中的所有成员都可以使用管理权利登录到计算机,使 Domain Users 组中的所有成员都可以使用受限的用户权利登录到计算机。
域结构下病毒的传播途径
没有记错,应该是在前年,维金(Worm.Viking.m)病毒大面积爆发,笔者所在公司的所有电脑无一幸免,WINDOWS系统下几乎所有应用程序均被感染,杀毒软件也被恶意关闭,数天后,公司数十台电脑被逐一修复,其过程不在此处叙述,在此只说一下其间操作上所犯的错误。
由于是域结构,IT员工所使用的帐户既是本地管理员,同时也是域管理员,而WINDOWS系统默认存在数个为管理功能而设置的共享资源,分别为:Admin$ 、C$ 、 D$...,管理帐户对这些共享资源具有读写及修改权限。
同样的,如果恶意软件以管理员身份被运行,其会通过上述共享资源将自身传播到所有可能访问到的远端电脑中,这样极易造成本地网络内病毒爆发,导致客户机上应用软件不可用,用户数据安全受到威胁,网络资源被大量占用等等。
最初,公司只有几台电脑被感染了“维金”病毒,笔者用域管理帐户登入系统,运行专杀工具,在做了几台电脑后发现原先正常的电脑也被感染了病毒,并且扩散速度极快,当时百思不得其解,虽然意识到肯定是操作上出了问题,但具体出在哪个环节一时却没有想出,随后才意识到自己犯了一个很低级的错误—我一直在使用域管理帐号登入系统作操作。
在此也不得不说一下当时公司使用的防毒软件,病毒库虽每日更新,但在病毒爆发数天后,其依然不能识别,这就造成被修复过的电脑极易反复感染,导致用户无法顺畅的进行工作。
在日常工作中,IT员工应尽量减少对域管理帐户的使用。尽量避免以管理帐户登入系统,如果需要使用某些管理功能,可以在当前用户(低权限用户)下,通过“运行方式”将某些管理功能或程序以管理员身份运行。
作为公司,应回收所有以员工个人命名的域管理帐户,可以单独建立域管理帐户,仅供系统管理维护时使用。
使用受限用户帐户对系统的保护
WINDOWS 其实并不是那么的弱不禁风
在受限用户(Users)权限下,用户无法对WINDOWS进行有意或无意修改,若硬盘分驱(C:)同时为NTFS格式,此时也可对C:\WINDOWS及C:\WINDOWS\SYSTEM32等关键目录起到保护作用,Users权限无法对这些目录进行修改。
Internet极大丰富了人们对网络的应用体验,同时恶意软件的泛滥程度也是前所未有的,就算电脑中的反病毒软件升级了最新的病毒库,甚至安装了个人防火墙,这些举措的效果依然显得不足,系统很多设置还是会被恶意修改,比如在使用U盘时,用户可能会不经意的运行了恶意软件(主要是双击进入U盘这一操作),再比如人们在浏览网页时,一些恶意程序可能会被下载并运行,防毒软件对恶意软件的抵御能力是有限的。
数周前,笔者的电脑中毒,由于本人一直使用Users权限,所以病毒这回只影响到了当前帐户,而没有对WINDOWS系统本身造成影响,症状表现为当前个人配置文件中出现奇怪文件,资源管理器中无法显示隐藏文件,任务管理器中出现奇怪进程,在病毒库为最新的情况下,依然无法将其查杀,随后我采取了如下操作:
1、在当前登录用户下,将“计算机管理”以管理员权限运行。
2、为自己新建了一个帐户,隶属于Users组。
3、重起电脑后以新帐户登入WINDOWS,大概检察了一下,一切正常。随后将数据迁移出并删除原帐户及其在C:\Documents and Settings下的用户配置文件。这样就免去了重作系统的工作,当然个人的一些个性设置还是需要重新设定的,比如邮件,IE默认首页等。
以管理帐户使用电脑虽然非常方便,但同时也存在很大风险,对于一般公司来说,电脑主要还是用于处理文档、收发邮件、或运行一些与公司业务相关的软件,基本上用不到管理权限,而对于一般家庭用户,可能只是用电脑浏览网页、下载软件、运行游戏、播放电影等,也同样用不到管理权限。使用受限帐户(Users)既不会带来不便,反而能使系统安全稳定很多。
