利用'近零权限' 最大限度提升个人电脑上网安全系数

我们知道，电脑中毒在%95(为什么不说100%，是因为还有U盘等移动存储设备有病毒的话也可能感染计算机)的情况下是由于上网[及下载]造成的。要想提高电脑安全系数，对上网进行入手是很有必要的。也许某些同志说，如果我想上网安全，用虚拟机装个系统进行上网不是也很安全吗？我想说的是：安全是安全，但虚拟机是比较吃内存的。而且不方便数据交换，也就是下载了某些资源后不方便自己利用。所以，在这里，本人特别向大家介绍一种鲜为人知的'近零权限'的概念，从而能够在上网过程中起到"暗渡陈仓"的作用！！！

相信用过一段时间电脑的人，都应该对操作系统的用户机制有一定程度的了解。我们知道，系统默认有三种权限组身份，级别从高到低排列下来则分别为：
管理员组(Administrators)、
用户组(Users)、
游客组(Guests)

或许看到这里，你就会想当然地以为游客组成员身份的用户是系统最低的权限用户了。

但是我想告诉你，事实上你错了。还有一种比Guests游客身份更低的权限：那就是“近零权限”。为什么叫“近零权限”？这是因为以这种权限级别设定的用户只能以一种间接的方式(注意：共享的那种方式在此也不算是间接)访问磁盘空间!!而正是这种间接方式的存在，使得我们可以最大限度地提高我们的计算机的上网安全系数。

为了减少篇幅，本文不对其他安全设置(如：打系统补丁，关闭默认共享、关闭不必要的端口和服务等)进行赘述，如需进一步了解，请自行搜查相关资料。

众所周知，在安装完操作系统之后系统默认有一个Administrator用户，对于大多数电脑新手来说，往往就是用这个默认的管理员用户，更致命的是，他为了方便，连密码也不设置一个，或者只设置一个相当简单的密码(如123456之类，我们常常称之为'弱口令')，殊不知，简单的密码给了自己方便的同时，也便利了网络黑客的攻击。换一句话说就是：你的管理员密码越简单，你被黑客攻击或被其提升权限的可能性就越大。一旦被黑客窃取了最高权限，后果是什么就不用再多介绍了吧？？？
那么，如何使用'近零权限'呢？其实也很简单，你只需要以管理员身份新建一个用户，并把其默认的所在权限组users也删除，让这个用户不隶属于任何一个权限组。为了方便大家理解，本人将结合一个实例并以其操作步骤进行详细说明，操作步骤如下：

1.将默认的Administrator用户更名并为其设置一个相对强壮的密码(由大小写字母、数字及各种符号所混合而成并不少于七位字符)；
2.以管理员身份再新建一个管理员用户并也为其设置一个强壮的密码[注意：之所以要两个管理员用户，是为了加强保险，以增加安全冗余度]；
3.以新管理员的身份创建两个用户user1和user2，其中user1属于默认的Users权限组，把user2设为'近零权限'的用户(让其不隶属于任何权限组，甚至Guests权限组也不要添加)；
4.退出新管理员用户，再以user1身份登录计算机。找到IE浏览器安装所在路径，将其主程序发送到桌面快捷方式。然后在桌面右击IE主程序的快捷方式图标，选择"运行方式(A)..."/"下列用户(F)"，输入用户名user2及其密码点击"确定"，此时我们便是在user2的身份下浏览网页了。顺便说一句：永远不要以近零权限user2的身份进行本机登录。

或许介绍到这里，有些同志还是有点不太理解，为什么这样就能提高上网安全系数了呢？这是因为基于Windows NT技术的操作系统(如：2K3、XP等)都能支持NTFS格式分区，同时有一个更重要的因素就是，在NTFS格式分区的默认权限下，除了管理员权限的用户，任何一个普通用户权限及其之下权限的用户都无法访问除了自己的用户文件夹之外的用户文件夹[比如说：用户user1登录系统后，在C盘(系统盘)Document and Setting目录中就会建立一个名为user1的文件夹，但是用户user1无权访问Administrator文件夹，其它用户情况类似]。还有要指出的就是：当我们以某个用户打开一个应用程序(如IE)时，在使用过程中都会产生一些临时数据，而这些临时数据一般都是存放于C盘(系统盘)Document and Setting目录中并以此用户名命名的文件夹的相关子文件夹目录中。
当我们在user1用户登录的环境中使用user2的身份进行IE浏览时，我们可以发现C盘(系统盘)Document and Setting目录中会出现user1和user2两个用户文件夹，但此时，你是无法去访问user2文件夹的。也就是说，当你上网浏览网页时，就算遇到恶意程序、代码或病毒要执行时，它们都会以为你当前的用户是user2，所以它们产生的临时数据都会存放于C盘(系统盘)/Document and Setting/user2的用户文件夹中的相关子文件夹中，从而等待着某一时刻被激活。但是，我们在默认权限下是无法访问user2的用户文件夹的，同时我们也永远不以user2的身份进行本机登录，这就等于不给病毒激活的机会。如果你还是不放心，那你完全可以再以管理员身份登录系统把user2的相关用户文件夹彻底删除(记住：只做删除操作，别去打开它)。如果你是一个更加谨慎的人，那你完全可以在重启计算机后以管理员身份登录系统把user1和user2两个用户及其相关文件夹删除后再进行操作步骤中的第3步和第4步!!!

近零权限的概念及使用方法基本上介绍完了，顺便再谈谈在此情况(利用了'近零权限')下的下载问题和杀毒软件的问题。大家都知道，很多单机版的杀毒软件(比如瑞星个人版或下载版)只能用管理员身份进行病毒库升级、漏洞扫描、完全扫毒杀毒的操作。但我想,前面已经介绍了这么多，你一定有办法让这些操作在user1用户登录环境下来完成(提示：找瑞星主程序下手)。撇开了杀毒软件的问题，我再介绍下下载问题。

假如我们的下载工具是迅雷。那么我们仍然可以以user1用户登录环境却以user2身份来运行它。但会有一个小问题：我们下载任何东西，除了user2的相关文件夹及其子文件夹下的目录，我们都无权存放于除此之外的任何盘符下的任何目录中。然而，为了得到下载后的资源，去打开user2的用户文件夹是有风险的。如何解决这一矛盾呢？如果有一定经验的用户一定想出来了。没错，那就是我们自己用管理员身份，在某个位置中建立一个文件夹(如在D盘中建立一个名为bridge的文件夹)，并为其修改访问权限。在默认访问权限下的基础上，我们可以先提升Users组的权限(为其添加'修改'权限即可)，然后再添加user2，并把其访问权限设置为和Users组的访问权限一样即可(同时注意：Users组和user2的权限都不必勾选"完全控制"一栏)，别的用户或用户组权限都不必修改，应用后退出即可。(提示：要想正常分配权限，请确保分区格式为NTFS格式)后面的操作还用我再废话吗？？

总结：使用普通用户user1登录系统，利用近零权限用户user2进行网页游览及下载[浏览网页建议使用多页面的浏览工具(如IE7.0,腾讯TT等)]用新管理员进行防毒的相关操作。除了实在是万不得已的情况要进行某些操作(如删除、创建用户，设置权限等)，绝不利用新管理员身份的用户进行系统登录(如果新管理员的身份用户不幸被破坏了，再利用默认管理员帐户进行系统维护)。顺便再说一下：如果你能确定某些不存在变数的应用程序(如千千静听等)，那就直接用user1的身份来执行吧！！

来源：http://hi.baidu.com/paullbm/blog/item/e257a0c7f326cad8d10060dc.html