查看: 2436|回复: 25

Windows下运行程序的降权、提权和目录权限

[复制链接]
发表于 2013-2-19 10:24:34 | 显示全部楼层 |阅读模式

Windows下系统防护从三个方面入手,FD目录权限,AD账户权限,RD注册表权限,通过账户对目录、注册表权限进行限制,从而做到立体防护。

Windows账户权限控制已经很细致,运行的程序继承于用户的权限,子进程继承于父进程的权限。以普通用户权限运行的程序能对系统目录、注册表读访问,无写入权限,而大部分用户不愿受控制而使用Administrator登录导致系统安全性大大降低,以下介绍保障系统的易用性上进行提权或降权来保障系统安全。
1.以普通用户登录,需要时再适当提权,Vista后系统加入了UAC控制,用户可轻易以管理员身份执行程序,XP下可使用runas以管理员用户运行提权。


runas /user:administrator "c:\WINDOWS\explorer.exe"

2.以管理员登录,对危险程序降权运行,XP下可使用组策略限制以基本用户运行或使用DropMyRights降权。
XP组策略添加受限用户、基本用户:
1
REG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\ /v Levels /t REG_DWORD /d 0x31000

查看当前系统用户级别:

Runas /ShowTrustLevels

使用Runas以基本用户权限运行IE浏览器:

runas /trustlevel:基本用户 "C:\Program Files\Internet Explorer\Iexplore.exe"

使用DropMyRights降权运行IE浏览器:

DropMyRights.exe "c:\Program Files\Internet Explorer\IEXPLORE.EXE" -N

Windows7下不能正常使用DropMyRights,组策略下以基本用户运行和不允许一样,可使用psexec降权。

psexec -l -d "c:\program files\internet explorer\iexplore.exe"


发表于 2013-2-23 09:29:58 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2013-2-25 02:55:13 | 显示全部楼层
原来这样也可以  
发表于 2013-2-27 19:58:12 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2013-3-1 12:37:00 | 显示全部楼层
呵呵,支持一下哈  
发表于 2013-3-2 08:35:14 | 显示全部楼层
没人理我。。。。  
发表于 2013-3-4 04:37:33 | 显示全部楼层
希望大家都有好运  
发表于 2014-10-3 20:54:34 | 显示全部楼层
希望可以用些时间了~````  
发表于 2015-1-26 08:13:01 | 显示全部楼层
哈哈,看的人少,回一下  
发表于 2015-2-28 09:38:58 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
高级模式
B Color Image Link Quote Code Smilies

本版积分规则