关于安全测试的10个重要技巧2简介本文提供关于使用安全的方式测试MicrosoftWindows家族操作系统应用程序的信息
这些主题分为10个技巧,任何开发人员或测试人员都可以在测试应用程序或硬件设备驱动程序时应用它们
要访问本文中提及的工具和资源,请参见本文末尾的“资源”
返回页首21
不要以管理员身份运行测试
开发人员和测试人员经常以本地管理员身份进行操作,因为这是最不会引起系统拒绝执行的方法
这种行为会给人一种虚假的稳定感觉,因为管理员实际上可以在系统上进行任何操作,所以大部分情况都很正常
一旦当前用户不是管理员,操作系统安全功能就开始生效了,这时事情就可能就不会那么顺利
幸运的是,有一个容易的解决方法:除非完全必要,不要以管理员身份运行任何测试
使用RUNAS命令Microsoft为最近的Windows版本添加了一项出色的功能,允许当前登录的用户以不同的帐户运行另一个程序
从Windows资源管理器界面或从命令行使用RUNAS命令能够快速简单地指定非管理员帐户
使用辅助本地计算机或域帐户在本地计算机上创建一个只具有本地用户权限的用户
这样,运行测试的人员可以很快看到是否有功能由于为文件系统或网络访问假设了某种权限级别而无法工作
安装程序之后,在运行测试之前注销并以本地用户身份重新登录
如果需要网络权限,那么请在测试系统上使用只具有用户特权的第二个域帐户
这样,网络权限就不会影响到测试,而管理员权限也不会引起虚假的安全感觉
一些例外……下面是一些例外,这些例外需要管理员访问权限可以接受:•设置和安装需要能够以一种稳固的方式更改系统状态
•维护和配置工具可能必需管理员权限
在这些情况下,最好的编程实践是应用程序检查其启动时可用的权限,然后如果需要管理员权限才能使用所有功能,则对用户发出警告
返回页首22
在安全的文件系统(NTFS)上进行测试如果文件系统不安全,以管理员