论文部分内容阅读
2007年第20期上,发表了我的文章《系统自带的软件“防火墙”》,承蒙读者厚爱,被评为了三等奖。这让我有点诚惶诚恐,于是翻出原先的文章重新研读,发现还有一些需要完善和补充之处,这里再列出来与大家共同探讨。
2007年第20期上,发表了我的文章《系统自带的软件“防火墙”》,承蒙读者厚爱,被评为了三等奖。这让我有点诚惶诚恐,于是翻出原先的文章重新研读,发现还有一些需要完善和补充之处,这里再列出来与大家共同探讨。
安全级别惊现“基本用户”
如图1所示,Windows XP的软件限制策略默认有两个。但事实上,微软还隐藏了一个安全级别——基本用户。什么是基本用户呢?它是一种介于系统管理员和受限账户之间的用户权限,类似Vista中的标准用户,拥有大部分权限,可以读写注册表的[HKEY_CURRENT_USER]字段,但却无法修改[HKEY_LOCAL_MACHINE]字段。微软官方的解释是它“允许程序访问一般用户可以访问的资源,但没有管理员或Power User的访问权。”
图1
启用这个“基本用户”的方法实际上也很简单,打开注册表编辑器,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers],新建一个名为“Levels”的DWORD值,数值设置为十进制的131072(见图2)。关闭注册表编辑器,重新打开本地安全设置就能看到新添加的“基本用户”安全级别了。
图2
给IE浏览器加把保护伞
那么这个“基本用户”有什么作用呢?正如它所拥有的权限是介于管理员与受限用户之间的,我们可以用这个安全级别来加载IE浏览器,以杜绝恶意网站通过IE强行修改系统设置,因为即使此时用户为管理员权限,但IE依然工作在“基本用户”权限下。添加规则的方法与以前介绍的相似:
第1步:在“其他规则”上点击鼠标右键,选择“新路径规则”,在打开的窗口中的路径栏里输入“%ProgramFiles%\Internet Explorer\iexplore.exe”(IE浏览器软件的位置,也可通过右侧的“浏览”按钮来设置),然后在“安全级别”中选择“基本用户”(见图3)。
图3
第2步:点击“确定”保存退出。然后单击“开始→运行”打开运行对话框,输入“gpupdate /force”(不含引号),按回车键执行,即可刷新刚刚设置的策略。下次不论以何种方式打开IE浏览器,它都工作在“基本用户”下,当然上网就安全多了。其他软件(或者第三方浏览器软件)要在基本用户权限下运行,设置方法与上相同。
小提示
★用“基本用户”方式启动IE浏览器和使用“受限”账户启动IE浏览器的区别就在于,受限账户无法访问收藏夹等用户的个性化设置,而“基本用户”则没有这些限制,这就在用户方便和安全防护之间达成了很好的平衡。对于普通家庭用户而言,无疑“基本用户”更有现实意义。
莫让临时文件夹成病毒温床
系统的临时文件夹,可以说是病毒和木马的溫床。如果我们霸道地直接禁止运行临时文件夹中的程序,则可能导致大量的安装程序或者使用自解压方式制作的绿色软件无法正常运行。所以,我们可以对临时文件夹及其子文件夹也使用“基本用户”安全等级,这样就可以保证大多数的程序能正常运行,而需要修改系统设置的病毒却无法正常工作。要实现这个目的,我们需要添加两条策略:
%USERPROFILE%\Local Settings\Temp\*.* 基本用户
%USERPROFILE%\Local Settings\Temp\**\*.*基本用户
修改了软件限制策略后,在运行对话框执行“gpupdate /force”命令刷新策略使其生效即可。
有些人在运行这条命令时发现刷新策略的对话框一闪而过,很快就结束了,而且策略也并没有生效。这时,我们可以通过以下方法解决:打开本地安全设置,切换到软件限制策略的安全级别页,即图1所示界面,在“不允许的”上点击鼠标右键,“设置为默认”,在弹出的警告对话框中点“确定”,然后再如法炮制把默认安全级别改回“不受限的”,这时再运行“gpupdate /force”(见图4)就正常了。刷新策略时系统资源占用率会暂时升高,持续时间一般在几秒钟,由策略的多少而定,正常刷新后策略便真正的生效了。来吧,让我们尽情享受微软送给你的这款免费“防火墙”吧!
图4
小知识
★软件策略不可使用嵌套环境变量
上面为什么会有两条策略?为什么不直接用“%Temp%”环境变量?原来,软件限制策略支持系统环境变量,但却不支持嵌套的环境变量,比如“%Temp%”本身即环境变量,而它在系统中的定义为“%USERPROFILE%\Local Settings\Temp”,其中的“%USERPROFILE%”则又是一个环境变量。如果在软件限制策略中添加了使用“%Temp%”的策略,这条策略将不会生效,这就是上面不使用“%Temp%”的原因。但我们可以直接用“%USERPROFILE%\Local Settings\Temp”来取代“%Temp%”,效果是一样的。
★软件策略中的通配符
软件限制策略支持通配符,即“?”和“*”,分别用来匹配任意单个字符和任意个字符。实际上,软件限制策略还支持“**”这个通配符,表示任意层的子文件夹,但不包括父目录本身。如上文中的“%USERPROFILE%\Local Settings\Temp\**\*.*”这条规则就使用了**这个通配符,表示Temp目录下任意层的子文件夹,但不包括Temp目录本身,所以我们还需要“%USERPROFILE%\Local Settings\Temp\*.*”这条命令来限制Temp目录下的程序。
2007年第20期上,发表了我的文章《系统自带的软件“防火墙”》,承蒙读者厚爱,被评为了三等奖。这让我有点诚惶诚恐,于是翻出原先的文章重新研读,发现还有一些需要完善和补充之处,这里再列出来与大家共同探讨。
安全级别惊现“基本用户”
如图1所示,Windows XP的软件限制策略默认有两个。但事实上,微软还隐藏了一个安全级别——基本用户。什么是基本用户呢?它是一种介于系统管理员和受限账户之间的用户权限,类似Vista中的标准用户,拥有大部分权限,可以读写注册表的[HKEY_CURRENT_USER]字段,但却无法修改[HKEY_LOCAL_MACHINE]字段。微软官方的解释是它“允许程序访问一般用户可以访问的资源,但没有管理员或Power User的访问权。”
图1
启用这个“基本用户”的方法实际上也很简单,打开注册表编辑器,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers],新建一个名为“Levels”的DWORD值,数值设置为十进制的131072(见图2)。关闭注册表编辑器,重新打开本地安全设置就能看到新添加的“基本用户”安全级别了。
图2
给IE浏览器加把保护伞
那么这个“基本用户”有什么作用呢?正如它所拥有的权限是介于管理员与受限用户之间的,我们可以用这个安全级别来加载IE浏览器,以杜绝恶意网站通过IE强行修改系统设置,因为即使此时用户为管理员权限,但IE依然工作在“基本用户”权限下。添加规则的方法与以前介绍的相似:
第1步:在“其他规则”上点击鼠标右键,选择“新路径规则”,在打开的窗口中的路径栏里输入“%ProgramFiles%\Internet Explorer\iexplore.exe”(IE浏览器软件的位置,也可通过右侧的“浏览”按钮来设置),然后在“安全级别”中选择“基本用户”(见图3)。
图3
第2步:点击“确定”保存退出。然后单击“开始→运行”打开运行对话框,输入“gpupdate /force”(不含引号),按回车键执行,即可刷新刚刚设置的策略。下次不论以何种方式打开IE浏览器,它都工作在“基本用户”下,当然上网就安全多了。其他软件(或者第三方浏览器软件)要在基本用户权限下运行,设置方法与上相同。
小提示
★用“基本用户”方式启动IE浏览器和使用“受限”账户启动IE浏览器的区别就在于,受限账户无法访问收藏夹等用户的个性化设置,而“基本用户”则没有这些限制,这就在用户方便和安全防护之间达成了很好的平衡。对于普通家庭用户而言,无疑“基本用户”更有现实意义。
莫让临时文件夹成病毒温床
系统的临时文件夹,可以说是病毒和木马的溫床。如果我们霸道地直接禁止运行临时文件夹中的程序,则可能导致大量的安装程序或者使用自解压方式制作的绿色软件无法正常运行。所以,我们可以对临时文件夹及其子文件夹也使用“基本用户”安全等级,这样就可以保证大多数的程序能正常运行,而需要修改系统设置的病毒却无法正常工作。要实现这个目的,我们需要添加两条策略:
%USERPROFILE%\Local Settings\Temp\*.* 基本用户
%USERPROFILE%\Local Settings\Temp\**\*.*基本用户
修改了软件限制策略后,在运行对话框执行“gpupdate /force”命令刷新策略使其生效即可。
有些人在运行这条命令时发现刷新策略的对话框一闪而过,很快就结束了,而且策略也并没有生效。这时,我们可以通过以下方法解决:打开本地安全设置,切换到软件限制策略的安全级别页,即图1所示界面,在“不允许的”上点击鼠标右键,“设置为默认”,在弹出的警告对话框中点“确定”,然后再如法炮制把默认安全级别改回“不受限的”,这时再运行“gpupdate /force”(见图4)就正常了。刷新策略时系统资源占用率会暂时升高,持续时间一般在几秒钟,由策略的多少而定,正常刷新后策略便真正的生效了。来吧,让我们尽情享受微软送给你的这款免费“防火墙”吧!
图4
小知识
★软件策略不可使用嵌套环境变量
上面为什么会有两条策略?为什么不直接用“%Temp%”环境变量?原来,软件限制策略支持系统环境变量,但却不支持嵌套的环境变量,比如“%Temp%”本身即环境变量,而它在系统中的定义为“%USERPROFILE%\Local Settings\Temp”,其中的“%USERPROFILE%”则又是一个环境变量。如果在软件限制策略中添加了使用“%Temp%”的策略,这条策略将不会生效,这就是上面不使用“%Temp%”的原因。但我们可以直接用“%USERPROFILE%\Local Settings\Temp”来取代“%Temp%”,效果是一样的。
★软件策略中的通配符
软件限制策略支持通配符,即“?”和“*”,分别用来匹配任意单个字符和任意个字符。实际上,软件限制策略还支持“**”这个通配符,表示任意层的子文件夹,但不包括父目录本身。如上文中的“%USERPROFILE%\Local Settings\Temp\**\*.*”这条规则就使用了**这个通配符,表示Temp目录下任意层的子文件夹,但不包括Temp目录本身,所以我们还需要“%USERPROFILE%\Local Settings\Temp\*.*”这条命令来限制Temp目录下的程序。