情境一:以管理员账户登陆系统后,使用Runas命令运行某些高危程序以降低其风险
这种情境就好比将身为企业高管的您暂时打扮成最底层工人来执行某项特定任务,对您进行一次暂时的角色变换。在您执行此任务时您看起来就是工人,而对于除此以外的事情,您仍旧是高管,掌控多项大权。我的《让您的IE浏览器抵御网络威胁(图文详解)》一文其实就是这种情境下的一个典型的高级应用实例。您可以打开命令提示符,输入以下命令并执行来查看您的“衣柜”(信任级别列表)里一共有几个“角色”(信任级别)可供您乔装变换:
runas /showtrustlevels |
您可能会返回以下两种结果中的一种:
很明显,图中的第二种情况比第一种情况多提供了一种角色,即“基本用户”。何为“基本用户”?其实它就是默认在XP中隐藏、类似于Vista中执行保护功能的“标准用户”的一个信任级别,用它来执行您的高危程序,那么该程序的一些对敏感文件夹或者注册表项目的写操作请求将遭到系统的拒绝,从而保护了您的系统安全,正如《让您的IE浏览器抵御网络威胁)》一文中的用基本用户运行IE浏览器安装众多流氓软件却纷纷遭到系统拒绝一幕。因此这个命令是您高危程序的金钟罩铁布衫:
runas /trustlevel:<信任级别> <程序路径> |
例如,要以基本用户身份运行Windows Live Mail桌面邮件客户端以免遭到其收到的恶意附件的侵害,执行以下命令即可:
runas /trustlevel:基本用户 "C:\Program Files\Windows Live\Mail\wlmail.exe" |
当然,我们的系统默认没有“基本用户”,必须手动向系统添加一个才行。添加的方法请参见《让您的IE浏览器抵御网络威胁》一文,为了方便起见,我将其核心操作贴在下面,至于原理阐述就请见原文了。
1、点击“开始”->“运行”,或者按Win+R快捷键,打开“运行”对话框,输入“regedit.exe”并且执行,此时您将会打开“注册表编辑器”窗口;
2、在注册表编辑器内的左栏,依次双击鼠标左键展开“HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer”,单击Safer下展开的“CodeIdentifiers”项,然后转到右边的窗格里,在空白处单击鼠标右键,选择“新建->DWORD 值(D)”;
3、立即将新建的注册表项命名为“Levels”(请注意大小写以及拼写的正确性),双击该键值,在打开的“编辑 DWORD 值”对话框里“基数”下选择“十六进制(H)”,然后在“数值数据(V):”一栏填入“20000”(也就是十进制的两万),点“确定”后关闭注册表编辑器;
在本情境中,您好比是一个普通底层工人,但是有几项任务必须得到高管的许可才能进行,在您向高管请示之后,得到了其许可,于是您暂时切换为高一层级的身份来执行特殊的任务。
为实现这一愿望,只需一个简单的命令并执行:
runas /user:<隶属于Administrators组的账户名> <程序路径> |
例如,你要执行Windows优化大师来管理系统,可是当前是以受限账户Jack登录系统的,而Windows优化大师需要管理员身份来执行,于是你以管理员Eric的身份来执行操作,其中,Eric是隶属于系统管理组(Administrators组)的一个账户的名称。若是域账户,则要将<隶属于Administrators组的账户名>改为<隶属于Administrators组的账户名>@<域主机名称>。命令如下:
runas /user:Eric "C:\Program Files\Wopti\WoptiUtilities.exe" |
关于情境二,我的新浪Windows XP技术专区圈子里有一位名叫『电脑基地』的圈友发布了一篇关于它文章,原文名为《另类方法转换Windows操作系统身份》,有兴趣的朋友可以去欣赏一下。
对于以上两种情境,相信大家有了初步的认识。当然,Runas命令还有更多的语法及参数,感兴趣钻研的朋友可以在命令提示符下输入“Runas /?”来获得系统给与的帮助。我们这里所讲的三个runas系列命令,可以说涵盖了日常操作应用中最常用的一些功能,大家不仅要多加练习,而且还要动一些脑筋、善于联想其他的知识才能更好地将其扩展。比如,为了长久地使用同一命令,就可以用组策略编辑器的“软件限制策略”将某一程序定义为长期使用某一信任级别来运行;为了更简单地来执行某一程序的Runas变换角色命令,可以建立含有Runas命令的快捷方式……
在此,我仅先提供以上两种扩展思路,大家可以在《让您的IE浏览器抵御网络威胁》一文中找到具体实现办法,其他更多的扩展思路就请各位来启发我了,呵呵。