绝对控制——Vista家长控制功能探究
技术与开发
在Vista操作系统中,微软添加了一个名为“家长控制”的功能模块。从表面上看,该功能只是提供给家长用的,能让家长对孩子使用电脑进行多方面的限制,防止不良信息对未成年人造成影响。但深入研究之后,我们才发现,家长控制功能实质上并不只限于家长使用,它可以让Vista系统管理员实现强大高效的账户管理及监控功能。下面,我们就来看看它的技术原理与实际效果。
小资料:长控制的前世今生
在以往的Windows操作系统中微软是针对账户对文件夹和文件的读、写、运行权限进行管理的,通过对不同账户设置不同的文件夹访问权限来保证系统安全。这种管理机制在Windows 2000系统中首次诞生。然而,用户很快就发现这种仅仅基于读写运行的权限划分远远不能满足实际需求,在实际使用中非常不灵活。于是很多人都选择了诸如privacy control、NIS、网络爸爸等第三方系统管理软件和网络管理工具等。
Windows是一个庞大的系统,用户的每个操作都有可能对系统安全造成影响,很多时候,病毒和木马等恶意程序入侵也是因系统权限设置不当造成的。因此,究竟该如何管理用户的操作权限就成为系统管理的关键。
正是为了解决传统账户权限管理机制的缺陷,微软在Vista系统中首次引入了家长控制功能,它使系统的权限管理更加细化,它可以限定某个用户只能运行某个程序、只能在某个时间段使用系统、只能访问某个网站等,另外还可以对用户的一举一动进行监视并以数据报表的方式记录下来。
技术点评:实际上早在XP系统中微软就发布过名为Windows Live OneCare的工具,该软件的一项子功能就可以实现防范孩子登录一些不健康网站,只是在实际功能上不如Vista的“家长控制”丰富而已。
一、看清家长控制的本质
按照微软介绍Vista新功能时的说法,家长控制功能是帮助家长来管理孩子账户的。通过家长控制功能,用户可以对儿童使用计算机的方式进行协助管理。例如限制孩子对网站的访问权限、可以登录到计算机的时间、可以玩的游戏以及可以运行的程序等,当孩子运行了被家长限制的东西时家长控制会阻止该程序或页面的执行,与此同时还会显示一个通知,声明已阻止该网页或程序。
然而家长控制功能并不仅仅应用于家长和孩子之间,微软起这个名字只是为了体现出该功能的一种含义,即由一个账户详细管理和监控另外一个受限账户。它的真实意义在于管理和被管理的关系,不光是家长控制孩子,在任何需要详细设置受限账户访问权限的场合都可以使用“家长控制”功能,例如企业网管对员工操作进行限制,机房中限制上机者使用电脑的权限等。
所以,从本质上讲“家长控制”应该叫做“权限控制”,它的应用场合是非常广泛的。
小资料:Vista家长控制功能简介
我们在Vista系统中通过“控制面板→家长控制”来启动该程序。当然要想顺利使用该功能必须具备Vista系统管理员权限。之后,我们就可以选择被控制账户了,家长控制中对控制类型进行了分类,依次包括Windows Vista Web筛选器、时间限制、游戏限制、容许和阻止特定程序以及查看活动报告等监控类型。通过“家长控制”设置界面我们就可以对账户权限进行详细的分类管理(图1)。
二、家长控制能控制什么
那么和传统的权限管理相比,“家长控制”功能能够有哪些作为呢?下面为大家简要介绍一下。
1.Windows Vista Web筛选器——在Web筛选器设置窗口中我们可以针对受限账户访问的网站域名和IP地址进行管理,可以设置容许访问的和禁止访问的站点信息。当受限账户访问这些被禁止访问的站点时就会出现“该访问请求被家长控制禁止”的提示信息。
2.时间限制——在时间限制设置窗口中我们可以对受限账户能否使用Vista系统在一周7天24小时范围内进行划分,划分的时间段支持连续和分散区域,时间段细到一个小时。
3.游戏限制——在游戏限制窗口可以设置容许孩子使用的游戏程序,当然对这些游戏的限定是通过游戏分级来完成的。
4.应用程序限制——用户还可以利用家长控制来规定受限账户只能够运行哪个程序,Vista会自动扫描当前系统安装的所有可执行程序。当然我们也可以通过“浏览”按钮手工添加。
5.活动查看器——当然家长控制的精华还不仅仅体现在上面的四大限制功能上,真正让人震撼的则是它的“活动查看器”,通过“活动查看器”我们可以详细了解到受限账户对系统的使用情况,包括访问的网站、阻止的网站,下载了哪些文件程序、什么时候登录的、运行了哪些程序等,说白了,活动查看器能够监视和记录受限账户的一切活动,使管理者对受限账户的行为心知肚明。
三、家长控制深入探究
家长控制功能是Vista系统的主要功能之一,通过它我们可以实现强大高效的账户权限管理策略。那么它究竟是如何运作的呢?它使用的技术在以前的系统中有没有过呢?
1.基于NTFS权限管理的技术
家长控制功能是建立在传统权限管理体系基础上的,因为当我们在执行限定设置时系统提示该功能只对NTFS分区格式有效,如果是FAT32分区会出现“检测到FAT驱动器,家长控制对其不起作用,请转换成NTFS”的提示(图2)。由此可见,家长控制的原理还是由传统NTFS权限管理发展而来的,这点也与NTFS的高安全性相吻合。
2.基于组策略的程序运行管理技术
在以往的系统中,管理员是可以通过组策略对某账户执行程序的权限进行设置的,只不过不能够设定具体的执行程序信息。而在家长控制中我们可以针对可执行程序的名称和类别进行设定,并且家长控制让管理和限制更加图形化简单化,所以换个角度来看家长控制都是由幕后的组策略发展而走向前台的,并且在管理和控制执行程序种类与数量方面更进了一步。
3.基于日志查看器的活动查看器技术
有系统故障排查经验的读者都知道,出现系统问题后第一件事就是去浏览系统的日志查看器,在日志查看器中记录着系统启动和运行的一举一动,而家长控制中的“活动查看器”功能也是基于此发展而来的,只不过对其显示信息进行了改进,将传统的事件查看器针对系统安全信息的记录转变为活动查看器中针对用户操作的记录。
4.基于ISA的时间限制技术
ISA是由微软在2000年发布的一款网络管理软件,他的全称为Internet Security and Acceleration,主要用于网络管理方面。不过笔者发现ISA中针对时间限制的界面与家长控制中的如出一辙,所以家长控制中的时间限制功能应该也是基于微软的ISA产品发展而来的(图3)。
5.定位于非企业用户的家长控制
正因为上面提到了ISA主要应用于企业网络管理和网络维护方面,所以在应用场合上它和家长控制是有所区分的。从微软的定位上可以看出家长控制应该是定位于家庭用户以及个人用户的。如果企业用户想要实现权限账户管理和限制的功能可以通过ISA来完成。这也是为什么家长控制功能并不在所有Vista版本中存在的原因,笔者调查发现,家长控制功能仅在Vista Home basic、Home premium和Ultimate中存在, Bussiness、Enterprise版Vista中都不包含此功能。
6.基于UAC验证的家长控制授权
当受限账户进行某些越权操作而被家长控制功能禁止时,家长控制都会提示“如果要解除限制此操作请输入管理者密码”,这种基于操作的授权方式也是和Vista系统中的UAC验证机制不谋而合的。只有管理账户授权才能够临时解除该限制。
小知识:什么是UAC验证机制?
所谓UAC验证机制就是在Vista系统中引入的新型用户账户控制机制。在正常情况下受限账户的操作权限很低,如果要进行越权操作就需要具备相应权限的用户账户给予授权。这在一定程度上减少了感染病毒的机会和安全隐患的发生。
四、家长控制之不能
笔者通过深入研究和反复测试发现Vista系统中的家长控制有两大不能。
1.游戏限制之不能
虽然在家长控制中可以针对游戏做限制,但是我们发现游戏限制是基于级别的,这是与国外的所有游戏都划分了级别分不开的,然而国内游戏却没有这么做,任何一款游戏都没有设定使用级别。这就造成此功能在国内无用武之地。
2.邮件监控、IM监控之不能
家长控制中的邮件监控只能够对Outlook中信件收发起作用,如果受限账户使用了基于页面的邮件查看或者使用诸如Foxmail等其他邮件客户端收发工具的话,在家长控制中是无法显示出任何监控信息的。同理的还有IM监控,笔者通过受限用户使用QQ和绿色版MSN都能顺利躲避家长控制的监视,只有正式版MSN的使用情况才会显示在“活动查看器”中。
五、总结
家长控制让系统管理员可以轻松实现对某账户的限制和监控,一方面避免了因为权限设置不当带来的安全问题,另一方面也可以很好地约束被限制账户对系统进行的任何操作。相信家长控制不仅仅是家长的好帮手,也一定可以得到更多机房管理者,企业网络维护者的青睐。
编后:从实际应用来看,家长控制功能固然是好,但是还不够完善,相信在以后的更新中将得到加强。另外,在功能方面,微软一定会在未来进一步加强活动查看器,必要时会结合指纹认定等其他验证方式。