腾讯QQ终于支持多用户配置隔离,使得以普通用户权限运行QQ程序成为可能。这给具有安全意识的用户和IT管理人员而言,提供了方便。我不太清楚使用“多用户配置隔离”这个词是否准确,我所说的“多用户配置隔离”是指操作系统下用户将自己运行某个程序需要的个性化信息,比如账号密码等,保存在用户自己的主目录下。
简单说,在Windows NT系统里,用户的主目录指的就是C:Documents and SettingsUser目录。而C:Program Files目录存放的仅仅是程序的文件。这样处理的好处就是配合NTFS权限,将程序目录设置为只读且只有管理员权限可写,普通用户就无法修改程序目录。 这样一来,以普通用户权限登陆的用户,即使中毒,操作系统也能保证病毒无法修改或感染程序目录的文件,因为普通用户触发的病毒也仅仅具有普通用户权限,无法修改程序目录。
以一台WindowsNT操作系统上安装了QQ为例,QQ程序目录为C:Program FilesQQ,而该系统上用户A的账户和好友列表保存于C:Documents and SettingsA下,用户B的类似信息保存于C:Documents and SettingsB。QQ程序目录C:Program FilesQQ不保存任何具体用户的个性化信息。
QQ软件和其前身OICQ,从Windows 95时代一直是将用户的个性化信息保存在程序目录的,这种做法是无可指责的,因为Win95、Win98并没有NTFS文件系统,也就无法实现根本意义上 的多用户配置隔离。Windows 2000使用了NTFS文件系统,但腾讯未能遵从微软系统的程序开发规范,仍然将用户个性化信息写在程序目录里,于是C:Program FilesQQ目录下会出现诸如235423或412359这样的目录。腾讯这样做的前提假设是用户登陆操作系统的账号都是管理员组的,具有系统最高权 限,总是可以修改程序目录C:Program FilesQQ。
直到Vista系统的推出,腾讯QQ这种做法才得到改变。因为Vista引入UAC,加强了账户安全。用户账户默认为普通权限,用户进行影响系统的 操作的时候,会弹出对话窗口要求用户确认,这个过程是临时提权,将用户的账号临时提升到管理员的权限来完成某种操作,操作结束后,用户权限会恢复到普通权 限水平。这就是Vista比XP安全的原因,Vista显式的将用户权限通过UAC进行了约束,不像XP那样,系统安装结束后,默认用户即是管理员组。知 道为什么很多人的XP经常中毒崩溃吗?因为他们总是用管理员账户Administrator登陆XP,一旦触发病毒,病毒也具有了管理员权限,可以感染、 修改、删除系统文件,系统不崩溃才怪。熊猫烧香的流行就是因为大部分电脑用户都是以管理员进行操作,点击病毒文件后,病毒文件自然的拥有管理员权限,而管 理员权限是可以修改删除C:Program Files目录的文件的,这样C:Program Files下每个二进制EXE文件都开始烧香了。
接着说Vista和QQ。Vista对账户权限约束的加强,要求应用软件发布者必须考虑修改程序以遵守Vista的多用户配置隔离要求,否则程序无 法正常工作。试想,QQ安装后,用户权限为普通权限,启动的QQ程序要求将用户的账号密码保存,这个时候QQ程序无法对C:Program FilesQQ进行写操作,于是程序僵死。解决的唯一的出路就是将用户个性化信息写到C:Documents and SettingsUser目录去。
QQ2009终于实现了多用户配置隔离,对具有安全意识的用户和IT管理人员而言,这是个好消息,比如我可以用管理员权限给家里的电脑安装必要的软件,然后让家人使用普通权限用户,这样,除操作系统因漏洞被攻击外,病毒对系统核心和程序不会造成影响。
令人遗憾的是,这种改变是在Vista系统的UAC强制要求和Vista系统的推广下发生的,如果没有Vista的推广,不知道腾讯什么时候才能意 识到不符合规范的软件给多少用户带来了烦恼,不知道腾讯什么时候才有动力去修改那乱糟糟的C:Program Files目录.
网友评论