精华内容
下载资源
问答
  • <br />  转自:http://hi.baidu.com/wpclub/blog/item/0cca36c23cb91231e4dd3b1f.html<br />  IE浏览器是一个颇具争议的组件,不少用户一想到IE,恐怕脑子里就会浮现起曾经遭遇过的惨状:主页被...

     

    转自:http://hi.baidu.com/wpclub/blog/item/0cca36c23cb91231e4dd3b1f.html

     

    IE浏览器是一个颇具争议的组件,不少用户一想到IE,恐怕脑子里就会浮现起曾经遭遇过的惨状:主页被恶意修改,IE动辄无缘无故关闭,注册表被改得乱七八糟,莫名其妙跳出网页……

    也难怪, IE是连接Internet的门户,难免会受病毒蠕虫等的“骚扰”。想让IE练就 “金刚不坏”之体,那就得首先分析一下恶意网页为什么可以为所欲为:大多数用户都是用管理员身份登录系统,IE默认获得管理员的访问令牌,这样网页中的恶意代码就会以最高的特权对系统进行篡改。只有让IE运行在更低的特权级别,才能防止恶意网页破坏系统。

    怎样才能让IE以更低的特权运行?Windows Vista可以满足要求,其UAC功能可以让所有用户进程运行在Standard User的特权级别,但是Vista还“犹抱琵琶半遮面”,其实我们的XP一样可以达到类似的目的!

    提示 为了讲述的方便,这里假设以管理员帐户Admin登录系统。

    一、“运行方式”给IE穿上铁布衫

    右键单击IE的快捷方式,选择“运行方式”命令,在打开对话框上,确保勾选“保护我的计算机和数据不受未授权程序的活动影响”复选框,如下图所示。

     

     

    用这种方法启动IE,对几个“臭名卓著”的恶意网站进行测试,结果非常安全。同时还能用来对付DuDu加速器、3721等流氓插件!

    为什么?原来这时的IE浏览器会获得一个受限的访问令牌(Restricted Token),无法对系统目录和注册表进行写操作,网页中的恶意代码也就没办法破坏系统。

    当然,还得让实验来说话:

    分别在“运行方式”和正常模式下打开IE浏览器,然后用Process Explorer双击打开这两个IE进程的属性对话框,切换到“Security”标签页,即可查看这两个进程所获得的访问令牌,如下图所示。

     

     

     

    很显然,相对于正常模式,“运行方式”打开IE进程所获得的受限令牌,其内容发生了以下两大变化:

    u       用户和组的SID

    1AdministratorsPower Users组帐户的SID被标记为拒绝(Deny)。

    如果某个资源拒绝AdministratorsPower Users访问,则进程无法访问该资源;而且进程会忽略除Deny之外的其他访问权限。

    2)除了AdminAdministratorsPower Users组帐户外,其他帐户的SID都加入受限(Restricted)列表:当进程访问资源时,必须经过两次安全检查:一次是检查令牌中启用的SID,另一次是检查受限列表里的SID,只有两次检查都通过,才能访问成功。

    u       特权(Privilege

    仅保留SeChangeNotificatonPrivilege(跳过遍历检查)特权。

    难怪这时的IE特别安全,尽管是以管理员帐户Admin登录系统,但是IE进程不能访问用户的配置文件夹(%USERPROFILE%),连收藏夹、我的文档都不能访问!

    IE也不能在分区根目录写入文件,对注册表没有写的权限。同时只有SeChangeNotificatonPrivilege(跳过遍历检查)特权,可以防止病毒滥用特权做坏事。

    提示 配置文件夹ACL包括AdminAdministratorsSYSTEM,由于Administrators被标记为Deny,而Admin帐户没有对应的Restricted SID(在第二次安全检查时失败),所以无法访问。

    二、“基本用户”类型帮助IE强身健体

    用“运行方式”运行IE浏览器,虽然非常安全,但是有以下两个缺陷:

    u       限制太严格,例如IE浏览器无法加载收藏夹。

    u       每次运行IE浏览器,还需要增加额外的步骤,很不方便。

    本文将介绍如何给XP系统启用一个“基本用户”(Basic User)类型,这个“基本用户”(Basic User)类似于Windows Vista的“标准用户”(Standard User),只是默认没有启用。

    1.启用基本用户类型

    1)打开注册表编辑器,定位到以下注册表项:

    HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Safer/CodeIdentifiers

    2)新建一个名为LevelsDOWRD键值,其数据数值为0x20000

    2Runas命令

    打开命令提示符窗口,运行以下命令:

    Runas /ShowTrustLevels

    即可看到系统当前的信任级别,如附图所示,其中有一个“基本用户”,对应新增加的注册表键值(Levels:0x20000)。

     

     

    运行以下命令,即可以“基本用户”的身份启动IE浏览器:

    runas /trustlevel:基本用户 "C:/Program Files/Internet Explorer/IEXPLORE.EXE"

    可以新建一个快捷方式,在项目位置里输入以上的命令,这样每次双击该快捷方式,就能够以“基本用户”的身份启动IE浏览器。

    3.软件限制策略

    打开“本地安全策略”管理单元(如果第一次设置软件限制策略,请右键单击“软件限制策略”,选择“创建新的策略”菜单项),展开软件限制策略→安全级别,在右侧的详细窗格里可以看到“基本用户”,如附图所示,这和“Runas /ShowTrustLevels”命令看到的信任级别是一致的。

     

    可以新建一个路径规则,如附图所示,指定安全级别为“基本用户”,这样每次运行IE浏览器,都可以运行在更安全的级别。

     

    每次新建的一条“基本用户”的软件限制策略,都会在HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Safer/CodeIdentifiers/131072注册表项下新增一个子项。如果是路径策略,则会新增一个Path子项;如果是散列策略,这会新增一个Hash子项。注册表项里的131072是什么?实际上就是前面增加的那个Levels:0x20000,0x20000正好就是131072。

    4.查看基本用户的访问令牌

    Process Explorer查看此时的IE浏览器属性,发现其访问令牌和Windows Vista的“标准用户”功能所获得访问令牌相似,如附图所示。

     

     

     

    Windows Vista的标准用户、Windows XP的基本用户、和运行方式之间的区别如下:

    (1)Vista的“标准用户”比XP的“基本用户”多出了几个特权(Privilege),只是默认禁用。

    (2)XP的“基本用户”所获得的访问令牌相对于“运行方式”(Restricted Token)来说,限制相对少一些,只是将AdministratorsPower Users组标志为Deny,而并没有将其他帐户放入Restricted SID列表,这样IE进程可以访问配置文件夹等其他资源(包括收藏夹和我的文档),可以读写HKEY_CURRENT_USER下的绝大多数注册表键值,但是仍然不能写HKEY_LOCAL_MACHINE下的注册表键值。

    三、命令工具

    这里推荐Michael Howard所写的命令行工具DropMyRights

    DropMyRights的使用语法如下:

    DropMyRights {path} [N|C|U]

    这里的path是指应用程序的路径,N指代基本用户(Basic User)C指代受限用户(Restricted User)U是指不信任用户。

    如果要以基本用户身份运行IE浏览器,可以创建一个快捷方式,将项目位置设置为:

    DropMyRights "C:/Program Files/Internet Explorer/IEXPLORE.exe" N

    这样就可以在需要时双击该快捷方式,以更加的安全环境下运行IE浏览器。

    四、注意

    如果确实需要安装某些IE插件、或者要运行Windows更新等需要管理员权限的任务,请暂时禁用“软件限制策略”,否则这些管理任务将无法顺利完成,例如笔者曾经死活安装不上MSN Space的上传图片控件,系统也不报错,原因就是IE浏览器运行在Basic User特权级别下。这里特别期待Vista,因为Vista的UAC可以自动识别是否需要管理员特权。

    展开全文
  • 需在计算机管理->配置->本地用户和组->Remote Desktop Users 添加 所要配置的标准用户

        需在计算机管理->配置->本地用户和组->Remote Desktop Users 添加 所要配置的标准用户。

    展开全文
  • 问题描述如图:解决:1.win+R 输入 regedit,打开注册表编辑器2.对上图区域右键->权限3.选定你的用户,点添加->高级->立即查找4.找到SYSTEM,点击确定5.然后注册框中出现,点确定,然后重启!

    问题描述如图:

    这里写图片描述

    解决:

    1.win+R 输入 regedit,打开注册表编辑器

    这里写图片描述

    2.对上图区域右键->权限

    这里写图片描述

    3.选定你的用户,点添加->高级->立即查找

    这里写图片描述

    4.找到SYSTEM,点击确定

    这里写图片描述

    5.然后注册框中出现,点确定,然后重启!

    这里写图片描述

    展开全文
  • 前一篇博文介绍了VDI 标准部署之创建虚拟机集合,本篇来介绍一下对之前配置的测试步骤。 1、打开IE浏览器,输入网址:https://hyperv1.sc.com/rdweb(hyperv1.sc.com是VDI物理服务器),打开登录界面,如下图: ...

    前一篇博文介绍了VDI 标准部署之创建虚拟机集合,本篇来介绍一下对之前配置的测试步骤。


    1、打开IE浏览器,输入网址:https://hyperv1.sc.com/rdweb(hyperv1.sc.com是VDI物理服务器),打开登录界面,如下图:



    2、输入用户名和密码,登录后可以看到我们之前所创建好的集合,点击该集合,



    3、勾选远程计算机访问本地计算机的资源,点击连接:



    4、正在连接……



    5、连接成功后,登录远程桌面计算机,


     


    测试成功!



    原创作品,转载请注明出处:http://blog.csdn.net/xiezuoyong/article/details/18256249


     

    展开全文
  • 此问题阻止标准用户登录系统 。。。,如下图 我首先想到的是从网上找解决方案,当我找到microsoft的网站,发现这个问题他们的回答是:可能用户配置文件有问题,让再重新建个新帐户,我就
  • Windows中的用户和组

    千次阅读 多人点赞 2019-09-03 23:06:17
    用户帐户是对计算机用户身份的标识,本地用户帐户、密码存在本地计算机上,只对本机有效,存储在本地安全帐户数据库 SAM 中,文件路径:C:\Windows\System32\config\SAM ,对应的进程:lsass.exe。通过...
  • Windows 中的 UAC 用户账户控制

    千次阅读 2019-05-05 09:02:07
    阅读本文,你可以初步了解 Windows 上的 UAC 用户账户控制机制。本文不会涉及到 UAC 的底层实现原理和安全边界问题。 本文内容用户账户UAC 通知等级完整性级别(Integrity Level)权限提升 用户账户 在 Windows 中...
  • windows标准控件的介绍与使用

    千次阅读 2014-07-06 16:23:17
    一、 Windows标准控件概述 (一)Windows标准控件 Windows系统提供的标准控件主要包括静态控件、按钮控件、编辑框控件、列表框控件、组合框控件等,如表所示。 Windows标准控件的类型 类别 ...
  • Windows用户账户控制详解

    千次阅读 2019-12-19 20:40:10
    Windows Vista开始,Windows就引入了一个新的安全功能——用户账户控制(UAC),到现今的Win10仍然在沿用。此程序大大降低了系统被恶意程序攻击的可能性,减少了普通用户误操作对系统造成的破坏,但如果对此功能...
  • Windows Azure 云平台收费标准

    千次阅读 2011-03-09 10:51:00
    Windows Azure 云平台收费标准 早在去年11月份的专业开发者大会(PDC 09)上微软宣布其云计算操作系统Windows Azure将在今年1月份上市,根据目前微软提供的消息,本月Windows Azure的付费系统测试及准备工作将...
  • Windows Vista用户帐户控制深度剖析

    千次阅读 2006-12-27 19:41:00
    Windows Vista用户帐户控制深度剖析 文章作者 盆盆 内容简介 本文详细介绍了用户帐户控制(UAC)的应用程序标识、安全桌面和虚拟重定向等深层原理。详细描述了用户帐户控制对用户的价值,并且总结为什么不能禁用UAC的...
  • 如何在Windows中创建新用户

    千次阅读 2018-09-21 09:03:10
    Windows 8和10中创建用户 打开控制面板。 单击“ 用户帐户”。...提示:在帐户创建过程中,您可以选择要创建的帐户类型,无论是标准用户还是管理员用户。 在Windows Vista和7中创建用户 打开控制...
  • 1. 怎么让Windows2012和Windows2008多用户同时远程 2. winserver2008 服务器添加新用户及设置远程桌面管理 3. 引文链接 1.怎么让Windows2012和Windows2008多用户同时远程 Windows2008和Windows2012服务器版本操作...
  • 最近接触微软的VDI项目,在项目实施的过程中,顺便写下VDI标准部署的步骤,下面直接进入主题: 前篇博文已经简单的写了VDI部署的几个前提条件,本篇博文开始要来详细介绍前期的准备工作: 一、首先需要创建AD域,...
  • Windows7用户账户控制(UAC)是什么

    千次阅读 2015-10-08 17:14:31
    用户帐户控制 (User Account Control) 是Windows Vista(及微软更高版本操作系统,比如Win7)中一组新的核心技术,可以帮助阻止恶意程序(有时也称为“恶意软件”)损坏系统,同时也可以帮助组织部署更易于管理的...
  • windows 8 平板用户交互指南

    万次阅读 热门讨论 2012-10-28 09:50:22
    Windows 8 平板用户交互指南: 标准操作: 点击:等同与鼠标单击 长按:按下手指并保持几秒钟,然后松开,会显示当前操作项目菜单。等同于鼠标右键点击。 双手指捏合:放大缩小当前界面,等同于 Ctrl+鼠标滚轮...
  • Windows XP的用户状态迁移

    千次阅读 2005-01-26 19:53:00
    Windows XP的用户状态迁移1/6:介绍 发布日期: 2001年6月29日 在Windows XP操作系统中,有两个系统工具使得文件和设置的迁移变得更加容易,并分别适用于不同类型的用户和环境。 文件和设置转移向导(Files and ...
  • 机第一次分配给某个用户后,该虚拟机就成为该用户专用的,即使它处于空闲状态,都不会被分配给别的用户使用。 3、非托管共用虚拟桌面集合 所谓 非 托管 ,就是 手动 创建和管理虚拟机,所以需要手动...
  • Windows XP中的用户分为3类。

    千次阅读 2011-06-01 12:59:00
    1.标准用户 该用户可修改大部分计算机设置,安装不修改操作系统文件且不需安装系统服务的应用程序,创建和管理本地用户账户和组,启动或停止默认情况下不启动的服务等,但不可访问NTFS分区上属于其他用户的私有文件...
  • 通常操作系统windows 2008 server系统都被安装到重要的计算机中,为了防止该计算机系统受到安全威胁,我们往往需要想办法限制普通用户在该系统中随意上网访问;但是如果简单关闭该系统的上网访问权限,又会影响特权...
  • 今天在整理文章的时候看到有读者问到他现在的测试环境是用的Windows Server 2016标准版,和我现阶段系列文章的环境是否有区别。其实针对Windows Server 2016 Active Directory这一模块新增功能我们在之前有提到的,...
  • Windows Server 2016-批量新建域用户(二)

    千次阅读 2019-03-08 09:49:29
    前几个章节我们讲到Windows Server 2016-图形化新建域用户(一),本章节我们简单讲解下如何通过命令批量创建域用户,以便高效完成日常工作中实际批量创建用户需求,内容涉及dsadd user、net user、new-aduser,具体...
  • 第一步:开始-右上角用户图片-管理其他账户-创建一个新账户-输入名字–选择权限(标准和管理员)-创建 第二步:单击“普通用户”进入更改帐户设置界面,单击“更改密码”按钮输入密码,然后 单击“更改密码”按钮...
  • 前面博文我们已经介绍了VDI 标准部署之创建托管虚拟机集合的两种常用方式,请参考: http://blog.csdn.net/xiezuoyong/article/details/18220885 , 本篇博文继续来介绍非托管虚拟机集合的两种创建方式,分别为:非...
  • Windows Server、Oracle用户数概念解疑

    千次阅读 2010-06-13 18:13:00
    关于Windows Server、Oracle用户数之前都只是听说,没有确切了解过,今天了解了下。
  • windows2008 没有本地用户和组

    千次阅读 2019-08-14 11:55:47
    本地用户和组的路径下,没有找到本地用户和组。 1.注销用户,看是不是在本地administrator下,注意不要再域的administrator下。1)如若是应将administrator 改成 .\administrator 再次登陆 2)或者将域删除 在登陆 ...
  • 标准和 Datacenter 版本的 Windows Server 2016 的比较SQL Server 2016 Enterprise Edition: MDCJV-3YX8N-WG89M-KV443-G8249SQL Server 2016 Enterprise Core Edition: TBR8B-BXC4Y-298NV-PYTBY-G3BCPSQL Server ...
  • 应该每个人都深有体会,很多大叔大妈级的用户,都经不起各种软件或网页弹窗的诱导,他们很容易在自己不知道的情况下,安装了N个浏览器,N个播放器,N个安全卫士,N个下载软件等等,导致电脑卡、慢、死。我弟弟学校...
  •  我们在有时为了保护自己用户安全性及个人隐私情况下,会建立一个额外的用户,给别人使用,而windows默认新建的标准用户基本上能够满足这种控制,但对于如因工作环境变化需修改IP属性时,该用户则无权修改,...
  • windows下安装apache,默认情况下,apache以本地系统权限启动服务,权限过高,存在安全隐患。以普通用户权限启动apache服务的步骤如下: 添加一个普通用户apache_user 打开服务管理器,在apache服务的属性页的...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 426,745
精华内容 170,698
关键字:

windows标准用户