合理设置账户权限 从此不再为系统漏洞担惊受怕

合理设置账户权限 从此不再为系统漏洞担惊受怕

作者：黎黎      阅读： 499人

常听起别人说漏洞不及时补，电脑一联网就中毒；也常听起别人抱怨Windows安全性差，Linux有多好，其实这些问题并没有这么严重，如果我们能善用系统自身的权限管理，那么受到的威胁会减少很多。著名企业管理软件商BeyondTrust的首席执行官John Moyer称，当用户不使用管理员权限时，微软92%的危急漏洞的危害会有不同程度的减轻，“这提醒了广大企业用户，显然关闭管理员权限可以减少受攻击的几率。”那么我们就来看看如何设置权限躲避这些系统漏洞的危害。

Part1 权力越大越危险 并非所有时候都需要高权

如果使用Windows，如果不做设置，初始创建的用户都是拥有最高管理权限的，这个特性一直从Windows9x延续到了现在，直到Vista新引入的UAC才对这个现象作出了一些限制。作为一项有不少年头的“优良传统”，我们也被这一特性惯坏了；由于天生的权力欲望，大家都希望自己拥有对电脑的绝对控制权，甚至大家还想直接使用System级别的权限。其实权力越大，破坏也就越大。

虽然Vista的UAC让很多喜欢无拘无束的人不高兴，不过一个不争的事实却是Vista开启了UAC之后，只要用户不胡乱确认，那么中毒的概率很低，UAC深得裸奔一族的喜爱。虽然Vista的UAC设计并非很完善，提示还是有点繁琐，不过它还是开启了一扇通往安全的大门。

图1、Vista的UAC提示

也别听一些所谓“高手都是裸奔的、高手不用UAC”这种说法，据我所知，不少微软的MVP一样使用安全防护软件，一样开启UAC，这并不能说明什么问题。而且本文也绝对没有提倡大家不安装额外的安全软件，只是说如果对权力做一些限制，可以在更少的防护的情况下，提供更高的安全性。杀毒软件、防火墙还是少不了的。

小提示:UAC是什么

UAC全称User Account Control，翻译过来是用户帐户控制；它是微软为了提高Windows的安全而在Vista中引入的一项技术，如果用户需要执行可能会影响系统正常运行的操作的时候，Vista将要求用户进行确认。由于大家已经习惯了那种无拘无束的感觉，Vista引入的UAC一开始恶评如潮，但是这并没有阻挡UAC前进的步伐。即使到下一代的Windows7，也依然拥有UAC，只是这个UAC会比Vista有些进步，至少不会那么烦人了。

Part2 拿得起放得下 创建一个普通权限的账户

由于大家基本都使用XP Pro版本，本文以XP Pro版为例子进行介绍。如果系统只有一个用户Administrator，那么请创建一个新的用户。如果已经拥有了多个用户，可以把当前非Administator用户降级为普通用户。

小提示:Power Users和Users组的区别

Power Users 组的成员拥有的权限比 Users 组的成员多，但比 Administrators 组的成员少。这个组可以执行除了管理员保留任务外的系统任务。而USER组相对安全多了，系统为USER 组提供了一个安全的程序环境，用户不能修改系统注册表、不能修改操作系统文件，但是可以运行经过认证的程序，对自己的数据文件和注册表有关自己的部分拥有完全控制权。所以从安全起见，应该使用USER用户组。

图2、系统预设了多个用户组

创建一个USER用户

Step1、桌面“我的电脑”图标上面点击右键→选择“管理”→本地用户和组→用户。

Step2、在这里点击右键选择“新用户”，输入用户名和密码，去掉“用户下次登录时必须更改密码”前面的钩。

Step3、在新建的用户如图中的“333”那里点击右键→选择“属性”→查看“隶属于”选项卡。看看是否有且只有一个用户组“Users”，如果不是请执行添加删除操作。

修改用户组

如果需要对当前某个用户的用户组进行变更，可以按照如下步骤进行操作。

Step1、点击“隶属于”里面的用户组，删除掉更高权限的用户组。

Step2、点击“添加”→高级→立即查找→点击需要添加的用户组→点击确定。

在以后使用过程中，有时需要管理员权限的时候，可以进入具有管理员权限的帐户，临时把用户提升为管理员。

图3、修改用户组

小提示: 创建完用户之后，别禁用Administrator和所有系统管理员权限的帐户，否则需要系统管理员操作的时候将会非常被动。如果真的没有系统管理员账号可以使用，那么还有一个可以补救的方法，使用PE工具盘启动，运行其中的NT系统用户密码恢复工具，可以创建一个管理员用户，也可以提升现有用户为管理员。而且如果没有 PE启动盘也不用担心，administrator即使被禁用也能在安全模式下登录，所以一定要给Administrator设置一个强壮的密码。

Part3 掌握这些技巧 低权限账户使用也很自在

降低了权限，有的操作就做不了了。虽然这些限制并不会影响一般的使用，诸如看网页之类的肯定没有问题的。但是如果碰到想临时修改一下注册表、有些程序无法运行咋办呢？非要切换到具有管理员权限的账号么？不一定的，请往下看。

小提示: 默认情况下，按下Win+L快捷键可以快速切换用户，切换用户并不影响程序的正常运行。

程序无法运行咋办

如果开始菜单中没有对应的程序，那么可以用管理员权限的用户到C:Documents and Settings用户名「开始」菜单中提取快捷方式，复制到对应用户的开始菜单文件夹中。

如果确实是程序无法运行，那么可以试试看把当前用户提升为管理员，然后安装软件，安装完毕软件之后再把用户降为普通权限。除了安装权限的问题，还得注意NTFS权限的问题。如果使用NTFS分区，那么请确保Users的用户拥有足够的权力。修改文件或者文件夹的权限可以这样操作：

Step1、以管理员权限登录，进入“文件夹选项”→查看→去掉“使用简单文件共享（推荐）”前面的钩。

Step2、找到需要修改权限的文件，点击右键选择属性→安全，在里面可以直接修改权限。

如果有时候看不到“安全”，请重启试试看。

使用Run As命令临时以管理员身份运行

相对于Vista的UAC、Linux的sudo命令，XP一样也有RunAs命令，可以以管理员命令运行某个程序。举个例子如下：QQ2009无法在User权限下面安装，如果我们不想切换到管理员账户，则可以用Runas命令安装QQ2009 B2。

图4、使用Runas命令运行程序

Step1、在开始菜单的“运行”中输入CMD并回车，之后打开命令提示符窗口。

Step2、假设QQ安装包保存在F盘，名称为：QQ2009Beta2.exe；那么输入命令：

runas /env /user:A-63F005C7A5184Administrator f: QQ2009Beta2.exe

参数的含义可以通过直接运行runas命令查看。本例子中的/env参数代表使用当前的环境；而且/user：表示以哪个用户的名义运行，参数后面跟着计算机名/用户这样的形式，例如：A-63F005C7A5184Administrator。提醒一下，如果管理员用户使用空密码，那么将无法执行Runas命令。此外，如果程序路径很长或者夹有空格，那么需要用""英文半角双引号把完整路径标记一下，而且路径对大小写敏感，例如本例子中如果写成qq2009b2.exe，那么将会无法运行。

Step3、系统会提示你输入所需要调用的用户的密码，输入密码之后按回车，QQ2009B2就开始安装了。

除了Run As还可以使用图形化界面操作

命令行方式有命令行方式方便的地方，例如做成批处理就很方便。但是如果你天生对命令行比较反感，觉得有图形界面不用就是“犯罪”，那也有图形界面操作的方法。

Step1、依然用上面QQ2009B2的安装包为例子进行介绍。在QQ2009B2.exe上面点下右键（有的系统需要按下Shift+右键），之后选择“运行方式”。

Step2、选择一个需要使用的帐户，点击“运行”即可。

两种方法的差别在于命令行的方式可以指定用户配置文件，而图形界面就做不到了。

图5、图形方式以其他用户身份运行