用Runas命令从容变换您的角色

    情境一：以管理员账户登陆系统后，使用Runas命令运行某些高危程序以降低其风险

    这种情境就好比将身为企业高管的您暂时打扮成最底层工人来执行某项特定任务，对您进行一次暂时的角色变换。在您执行此任务时您看起来就是工人，而对于除此以外的事情，您仍旧是高管，掌控多项大权。我的《让您的IE浏览器抵御网络威胁(图文详解)》一文其实就是这种情境下的一个典型的高级应用实例。您可以打开命令提示符，输入以下命令并执行来查看您的“衣柜”(信任级别列表)里一共有几个“角色”(信任级别)可供您乔装变换：

     runas /showtrustlevels

    您可能会返回以下两种结果中的一种： 

    很明显，图中的第二种情况比第一种情况多提供了一种角色，即“基本用户”。何为“基本用户”？其实它就是默认在XP中隐藏、类似于Vista中执行保护功能的“标准用户”的一个信任级别，用它来执行您的高危程序，那么该程序的一些对敏感文件夹或者注册表项目的写操作请求将遭到系统的拒绝，从而保护了您的系统安全，正如《让您的IE浏览器抵御网络威胁)》一文中的用基本用户运行IE浏览器安装众多流氓软件却纷纷遭到系统拒绝一幕。因此这个命令是您高危程序的金钟罩铁布衫：

     runas /trustlevel:<信任级别> <程序路径>

    例如，要以基本用户身份运行Windows Live Mail桌面邮件客户端以免遭到其收到的恶意附件的侵害，执行以下命令即可：

     runas /trustlevel:基本用户 "C:\Program Files\Windows Live\Mail\wlmail.exe"

    当然，我们的系统默认没有“基本用户”，必须手动向系统添加一个才行。添加的方法请参见《让您的IE浏览器抵御网络威胁》一文，为了方便起见，我将其核心操作贴在下面，至于原理阐述就请见原文了。

    1、点击“开始”->“运行”，或者按Win+R快捷键，打开“运行”对话框，输入“regedit.exe”并且执行，此时您将会打开“注册表编辑器”窗口；

    2、在注册表编辑器内的左栏，依次双击鼠标左键展开“HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer”,单击Safer下展开的“CodeIdentifiers”项，然后转到右边的窗格里，在空白处单击鼠标右键，选择“新建->DWORD 值(D)”；

    3、立即将新建的注册表项命名为“Levels”（请注意大小写以及拼写的正确性），双击该键值，在打开的“编辑 DWORD 值”对话框里“基数”下选择“十六进制(H)”，然后在“数值数据(V):”一栏填入“20000”(也就是十进制的两万)，点“确定”后关闭注册表编辑器；