使用Windows的ACL机制隔离限制毒瘤应用
|
4
|
114
|
技术

1579 字
|
6 分钟

随着互联网被“畸形”控制的发展,各种威胁和病毒程序也日益猖獗。

这给用户的信息安全带来了巨大的隐患。为了有效地防范这些威胁,我们需要对操作系统进行必要的隔离和限制。Windows系统提供了一个有效的安全隔离机制——ACL(An access control list)。利用ACL,我们可以针对特定的程序进行访问控制,从而遏制病毒或是不受信任的应用对系统的破坏。

本文将简单介绍如何通过ACL的配置,在Windows系统中隔离和限制这些“毒瘤”应用的行为。

少数派里有位作者写过一篇介绍ACL隔离的文章,详细的介绍了ACL的配置,但是配置过程有些过于繁琐。

少数派文章👉新建一个账户就能隔离毒瘤应用:Windows 自带权限工具妙用 – 少数派 (sspai.com)

相比之下,Windows 11的开发者模式提供了一个更简便的方法来使用指定用户启动应用程序,对其进行隔离。

打开这个开关之后,在开始菜单里面对应用右键,可以发现有以下新增选项

点击之后可以直接输入低权限用户的用户名密码,然后启动这个应用

创建用户

在使用之前,我们需要新建一个低权限用户,参考sspai用户@SunsetYe提供的方法

  1. 使用 Win+R 快捷键调出「运行」窗口,输入 netplwiz 并按回车运行。
  2. 点击「添加」按钮,在新出现的蓝色对话框中点击「不使用 Microsoft 账户登录 > 本地账户」
  3. 输入用户名、密码(可以是你容易输入的密码或是随机强密码)、密码提示,点击完成。

确保你的低权限用户只属于User组

修改快捷方式

每次右键以指定用户启动应用程序确实会有些麻烦,更别提如果忘记的话就又会以当前用户身份启动。

为避免这种情况,我们可以直接修改应用程序的快捷方式,使其以指定用户启动。

对于开始菜单中的应用,可以右键打开文件位置找到其快捷方式。桌面上的应用快捷方式也可以直接修改。

在快捷方式属性中,将“目标”修改为下面的格式,并将“运行方式”设置为“最小化”,避免弹出命令行窗口:

C:\Windows\System32\runas.exe /savecred /user:shit C:\Users\wuuuu\scoop\apps\wechat\current\WeChat.exe

这样就会使用 runas 这个工具以 shit 用户身份启动微信。/user:shit 指定了用户,/savecred 参数可以保存账户信息,避免每次运行都输入密码。

通过修改快捷方式,可以方便地设置应用程序以指定用户身份启动,省去每次手动设置的繁琐过程。

创建完成之后,然后双击快捷方式第一次启动需要输入密码,之后就会记住不用再次输入。

任务管理器打开详细信息可以看到当前应用正在低权限用户中运行:

安装应用

有时在安装应用的时候需要管理员权限,否则无法完成安装,这也是某些应用较为令人困扰的地方。

对此,一种解决方案是选择绿色版的应用程序。但是要手动找到绿色版会非常耗时耗力。

这时,可以使用 Windows 应用包管理器 Scoop 来轻松解决这个问题。

Scoop 可以实现无需管理员权限就能安装 Windows 应用,还可以进行卸载、更新版本、管理等操作。

通过配置 Scoop buckets,可以添加更多的应用列表。例如,添加一个国内加速的 buckets:

scoop bucket add spc https://ghproxy.com/github.com/lzwme/scoop-proxy-cn

这样就可以享受到快速安装应用的乐趣,而无需管理员权限之苦。

Scoop 使 Windows 应用管理变得简单方便。

比如说我们要安装微信(如果buckets里面有):scoop install wechat

记得把scoop安装的wechat目录的权限设置成允许shit用户读取,否则会无法启动。

禁止读取目录

只需要在相应的目录加上这个用户,然后这个用户的相关权限设置为拒绝。

从微信里面打开选择文件的窗口

当然,可能你会问一个问题,如果我想要微信读取D盘里面的一个位置怎么办?

完全可以,只需要把那个目录的权限设置成用户shit 允许即可,然后复制那个目录下面的文件就可以粘贴到微信。

如果聊天记录放在了D盘,可以使用mklink建立符号链接的方式来访问那个目录

mklink /d "C:\Users\shit\Documents\WeChat Files" "D:\WeChat Files"

这样直接使用shit用户来启动微信就能读取到聊天记录。

但是聊天记录存在OneDrive的话,使用符号链接来访问可能会存在一些问题。

关于注册表权限

注册表同理,只需要添加这个用户,然后拒绝相关的权限。

测试禁用掉HKEY_LOCAL_MACHINE是对微信没有影响的。

方案存在的问题

剪贴板读取权限对于使用低权限用户运行的应用还是不被禁止的,仍然可以被读取到。

鼠标拖动文件好像不太好用。

参考

https://learn.microsoft.com/zh-cn/windows/security/threat-protection/security-policy-settings/user-rights-assignment

https://learn.microsoft.com/zh-cn/windows/security/identity-protection/access-control/access-control

新建一个账户就能隔离毒瘤应用:Windows 自带权限工具妙用

知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议
笑话

评论

  1. 丹尼尔
    7 月前
    2023-10-15 21:44:14

    谢谢大佬的分享,工作的好,王者荣耀,爱来自我们!

    • wh
      博主
      丹尼尔
      7 月前
      2023-10-15 21:44:54

      英雄联盟

  4. 123
    4 月前
    2024-1-11 2:49:44

    不错

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																

							
							
						

																

							
							
						

										
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇
下一篇 

                    

                    
			        推荐文章
		            

		            

							
CDN启用QUIC导致网站重定向死循环的问题

							
							

							
服务器内存爆满,强制重启,废了