為啥俺把這個話題列在頭一條？——因為這是個非常普遍、且遠遠沒有得到重視的問題。根據(jù)俺的經(jīng)驗，如果你能夠養(yǎng)成好習慣，不使用高權(quán)限用戶（尤其是管理員）進行日常操作，就可以大大降低被黑的概率。下面，俺就來具體介紹一下。

★基本概念掃盲

先進行一下名詞解釋:

◇用戶權(quán)限

所謂的“用戶權(quán)限”，通俗地說，就是某個用戶的權(quán)力有多大。權(quán)力越大，能干的事情越多。

◇用戶組

用戶組，顧名思義，就是一組用戶的集合。

在主流的操作系統(tǒng)中，“用戶權(quán)限”通常是和“用戶組”掛鉤滴。針對不同的用戶組，分配了不同的權(quán)限。

為了讓用戶省事兒，Windows系統(tǒng)內(nèi)置了若干用戶組（比如：Users、Power Users、Guests、等）。這些內(nèi)置的用戶組，事先已經(jīng)預(yù)定義好若干用戶權(quán)限。

◇高權(quán)限用戶：

本文提及的“高權(quán)限用戶 ”，主要是指Windows系統(tǒng)中Administrators組的用戶或POSIX系統(tǒng)中root組的用戶。

另外，順便消除一個誤解。很多菜鳥以為：Windows系統(tǒng)中，只有用戶名為“Administrator”的用戶才具有管理員權(quán)限。其實捏，任何一個用戶，即使用戶名不叫“Administrator”，只要是屬于“Administrators組 ”，也同樣具有管理員權(quán)限。

★反面教材

菜鳥的例子就不提了，光說說俺接觸過的很多程序員吧。這幫家伙在使用Linux/Unix系統(tǒng)進行開發(fā)時，都曉得應(yīng)該用普通用戶的帳號進行操作；當需要做某些高級權(quán)限的操作，再切換到管理員帳號（root帳號）。但即便是這些開發(fā)人員，在自己的Windows系統(tǒng)中，卻喜歡用管理員（Administrator）進行日常操作，實在是很諷刺。

如果連IT專業(yè)的開發(fā)人員都這樣，那不懂IT技術(shù)的外行人士，就可想而知了。

★危害性

如果你平時總是用管理員權(quán)限登錄到系統(tǒng)并進行日常工作，那就意味著你所運行的每一個程序，同時也具有了管理員權(quán)限。要知道，管理員權(quán)限的權(quán)力是很大的，幾乎可以干任何事情。

假設(shè)你有上述習慣。某天，你從網(wǎng)上下載了一個軟件，且軟件已經(jīng)感染了病毒。那么，當你運行這個軟件時，這個病毒就會被激活。要命的是，它也同樣具有管理員權(quán)限。這時，病毒就獲得了和殺毒軟件平起平坐的地位。假如這個病毒的作者水平再高一些，甚至可以騙過殺毒軟件或者直接把殺毒軟件干掉。

除了病毒，木馬也是一樣。假設(shè)你上網(wǎng)的時候，一不留神訪問了某個掛馬的網(wǎng)站。一旦木馬被激活，也同樣是以管理員的權(quán)限運行，危害同樣也巨大。

★你該如何做？

考慮到Windows系統(tǒng)的用戶占絕大多數(shù)，俺就光拿Windows系統(tǒng)來說事兒。希望Linux和Max OS的fans不要見怪。

為了盡量少用高權(quán)限用戶。你最好剛裝好系統(tǒng)之后，單獨創(chuàng)建一個非管理員用戶。

你可以讓該用戶僅僅屬于“Power Users組 ”，如下圖：

如果想更安全的話，可以僅僅加入“Users組 ”，如下圖：

今后，就主要通過這個用戶進行日常的操作。

考慮到有些同學不了解這兩個用戶組，在權(quán)限方面與管理員有啥區(qū)別。俺簡單列舉一下。

◇Power Users組與Administrators組的差別

相對于Administrators組，Power Users組缺少了如下幾項權(quán)限（俺只列主要的）：

1、不能添加、刪除、禁用系統(tǒng)中的其它用戶。

2、不能修改其它用戶的屬性（包括口令、所屬的用戶組、等）

3、不能安裝/卸載硬件驅(qū)動程序。

4、不能安裝/卸載某些應(yīng)用軟件。

5、不能查看系統(tǒng)的安全日志。

◇Users組與Administrators組的差別

User組的權(quán)限比Power Users組的更小。除了Power Users組做不到的事情，Users組還缺少 如下權(quán)限（俺只列主要的）：

1、不能修改系統(tǒng)時間。

2、不能修改某些系統(tǒng)目錄（包括：系統(tǒng)盤的 /WINDOWS 目錄、系統(tǒng)盤的 /WINDOWS/SYSTEM32目錄、系統(tǒng)盤的 /Program Files目錄）。

3、不能啟動/停止某些系統(tǒng)服務(wù)。

4、不能修改注冊表“HKEY_LOCAL_MECHINE”下的所有鍵值。

從上述對照，明顯可知，Users組的權(quán)限更小，使用起來更安全。比如說，即使你運行了一個帶病毒的程序，由于病毒和你一樣，也僅有Users組的權(quán)限。所以病毒也就無法修改/破壞重要的系統(tǒng)目錄，掀不起太大風浪。

★可能的麻煩

通常來說，越安全的措施，往往也意味著越麻煩。但是這些麻煩，都有相應(yīng)的解決之道。

◇切換用戶的麻煩

當你以普通用戶身份登錄后，可能由于某些原因，需要用管理員用戶干點事情。但是你（可能是開了很多程序）又不想把當前用戶注銷。

建議：

使用“快速用戶切換”（洋文叫：Fast User Switching）功能來切換用戶。此功能從Windows XP開始提供。簡單地說，就是可以讓幾個不同的用戶同時登錄同一個系統(tǒng)，平滑地切換。有了此功能，這個麻煩就不明顯了。

如果你非常不幸，還在使用比較古老的Windows 2000系統(tǒng)；或者你使用的是Windows的服務(wù)版本（比如Windows Server 2003）。在這些版本的Windows系統(tǒng)中，默認是沒有“快速用戶切換”功能滴。這可咋辦捏？

建議：

可以在不注銷當前用戶的情況下，啟動一個具有高級用戶權(quán)限的程序。

為了說清楚，俺舉例如下：

假設(shè)俺當前處于一個普通用戶的環(huán)境，但是想另外啟動一個具有管理員權(quán)限的程序，比如說命令行程序（cmd.exe）。

1、首先，俺先創(chuàng)建一個指向 cmd.exe 的快捷方式。（該怎樣創(chuàng)建快捷方式，俺就不用再教了吧？）

2、用鼠標選中該快捷方式，在快捷菜單（右鍵菜單）中，選擇“屬性 ”菜單項。出現(xiàn)如下對話框。

3、在該對話框中，點“高級 ”按鈕。出現(xiàn)如下對話框。把“以其他用戶身份運行 ”選項打勾，即可。至此，快捷方式創(chuàng)建完畢。

4、以后，如果俺想在普通用戶環(huán)境中，以管理員身份執(zhí)行命令行，只要運行該快捷方式，然后會彈出如下對話框。你只要在該對話框中輸入管理員的用戶名和口令，就能以管理員的身份，把該命令行啟動起來。

◇安裝軟件/驅(qū)動的麻煩

最主要的問題就是安裝軟件和安裝驅(qū)動。安裝驅(qū)動程序通常需要用管理員權(quán)限才行；另外，很多軟件（比如Office）在安裝時，也要求用管理員權(quán)限的用戶進行安裝。

建議：

在剛裝好系統(tǒng)之后，先用管理員用戶把上述這些軟件/驅(qū)動程序都搞好。然后，就無需再用管理員用戶了。畢竟你經(jīng)常使用的軟件相對固定，不可能三天兩頭安裝軟件或驅(qū)動（除非你是軟/硬件發(fā)燒友）。即便偶爾需要重新裝個軟件或驅(qū)動，也可以用上述介紹的方式，臨時切換到管理員權(quán)限。

◇修改系統(tǒng)時間的麻煩

如果你平時用的是“Users組”而不是“Power Users組”，那你連修改系統(tǒng)時間的權(quán)限也沒有。

建議：

啟用Windows系統(tǒng)自帶的時間同步服務(wù)，讓它幫你自動同步系統(tǒng)時間。

除了上述這幾點，如果還有誰碰到其它的麻煩，也歡迎來信跟俺交流。俺會補充到本文中。本系列的下一個文章，將會介紹攻擊者是如何搞定你的口令/密碼 。