Win7怎么實(shí)施對(duì)應(yīng)用程序的安全控制

　　應(yīng)用程序是指為了完成某項(xiàng)或某幾項(xiàng)特定任務(wù)而被開發(fā)運(yùn)行于操作系統(tǒng)之上的計(jì)算機(jī)程序,是它直接服務(wù)于用戶,如果說操作系統(tǒng)是平臺(tái)，那么應(yīng)用程序就是是主角.但應(yīng)用程序?yàn)橛脩魩肀憷耐瑫r(shí)，有時(shí)也會(huì)威脅到系統(tǒng)安全,為此,對(duì)應(yīng)用程序?qū)嵤┌踩刂剖遣僮飨到y(tǒng)一項(xiàng)重要安全策略。那么，在Windows 環(huán)境下中如何實(shí)施對(duì)應(yīng)用程序的安全控制呢?這就是今天學(xué)習(xí)啦小編要給大家介紹的內(nèi)容,有興趣的朋友們一起來看看吧.

　　1、配置應(yīng)用程序的運(yùn)行級(jí)別

　　同此前的Vista一樣，微軟是不提倡用戶直接以管理員身份登錄系統(tǒng)實(shí)施操作，因?yàn)檫@樣會(huì)存在很大的風(fēng)險(xiǎn)。我們知道，在Windows 7中如果以管理員用戶登錄系統(tǒng)那么所有運(yùn)行的程序默認(rèn)都是以管理員權(quán)限運(yùn)行的。出于安全我們以非管理員用戶登錄系統(tǒng)，但有時(shí)需要進(jìn)行系統(tǒng)設(shè)置或者維護(hù)，而要執(zhí)行這些操作則必須要有管理員權(quán)限才行，那么是不是要注銷當(dāng)前用戶而重新以管理員身份登錄系統(tǒng)呢?其實(shí)不用，在Windows 7中我們可以通過兩種方式來說實(shí)現(xiàn)應(yīng)用程序在提升模式下運(yùn)行。

　　(1).以管理員權(quán)限運(yùn)行一次。一般情況下，我們只需就當(dāng)前的操作在管理員權(quán)限下運(yùn)行，那么就選擇以管理員權(quán)限運(yùn)行一次的權(quán)限提升策略。具體實(shí)現(xiàn)方式是，用鼠標(biāo)右鍵單擊應(yīng)用程序的快捷方式或者其主程序，在菜單列表中選擇“以管理員權(quán)限運(yùn)行”即可。此時(shí)會(huì)彈出用戶賬戶控制即UAC對(duì)話框，對(duì)話框中列出了系統(tǒng)所有的管理員用讓用戶選擇，我們從中選擇一個(gè)管理員用戶并輸入相應(yīng)的密碼就可以管理員身份運(yùn)行程序。對(duì)此，我們可以打開Widnows 7的任務(wù)管理器進(jìn)行確認(rèn)，可以看到雖然當(dāng)前是以普通用戶登錄系統(tǒng)，但該程序是以管理員身份運(yùn)行的。

　　(2).始終以管理員身份運(yùn)行程序。我們除了可以臨時(shí)性地以管理員權(quán)限運(yùn)行程序外，還可以使程序始終以管理員權(quán)限運(yùn)行。這樣做的好處是，省去了每次進(jìn)行權(quán)限提升的麻煩，而且對(duì)于某些只能運(yùn)行在管理員權(quán)限中的程序進(jìn)行了這樣的設(shè)置后，就能夠杜絕其在使用中因權(quán)限問題而造成的故障。當(dāng)然這樣做的弊端是非常明顯的，如果將應(yīng)用程序始終以管理員權(quán)限運(yùn)行會(huì)帶來一定的安全隱患，何況這樣設(shè)置以后我們以普通用戶登錄系統(tǒng)也將失去意義。筆者建議的做法是，只將必須以管理員權(quán)限運(yùn)行的程序設(shè)置為始終以管理員身份運(yùn)行即可。

　　在Windows 7中，我們可以這樣進(jìn)行設(shè)置：右鍵單擊應(yīng)用程序或者其圖標(biāo)，選擇“屬性”，在其屬性對(duì)話框中定位到“兼容性”標(biāo)簽頁，在特權(quán)等級(jí)下勾選“以管理員身份運(yùn)行此程序”即可。如果要使該設(shè)置對(duì)所有的用戶有效，那么需要點(diǎn)擊“更改所有用戶的設(shè)置”按鈕，然后會(huì)一個(gè)應(yīng)用程序?qū)傩詫?duì)話框，在“所有用戶的兼容性”標(biāo)簽頁的特權(quán)等級(jí)下再次勾選“以管理員身份運(yùn)行此程序”復(fù)選框即可。需要注意的是，我們不能設(shè)置系統(tǒng)應(yīng)用程序或者進(jìn)程總是以管理員身份運(yùn)行。有的時(shí)候，我們會(huì)發(fā)現(xiàn)“以管理員身份隱匿性此程序”復(fù)選框不可選，這通常是因?yàn)樵摮绦蚴窍到y(tǒng)程序或者該程序被禁止提升權(quán)限。另外，如果當(dāng)前用戶不是管理員或者該程序的運(yùn)行并不需要管理員憑據(jù)時(shí)該復(fù)選框也會(huì)是不可選的。

　　2、控制應(yīng)用程序的安裝和運(yùn)行行為

　　對(duì)于一般用戶或者系統(tǒng)管理員來說，除了要控制系統(tǒng)中已經(jīng)安裝的應(yīng)用程序的運(yùn)行權(quán)限外，還要對(duì)應(yīng)用程序的安裝行為進(jìn)行控制。那么，這些在Windows 7中是如何實(shí)現(xiàn)的呢?我們可以通過Windows 7的相關(guān)組策略項(xiàng)實(shí)現(xiàn)我們的目標(biāo)。

　　(1).安裝控制

　　運(yùn)行secpol.msc打開Windows 7的本地安全策略控制臺(tái)，定位到“安全設(shè)置”→“本地策略”→“安全選項(xiàng)”節(jié)點(diǎn)，在右側(cè)可以看到很多組策略項(xiàng)。這其中與應(yīng)用程序安裝相關(guān)的項(xiàng)目主要有4項(xiàng)，下面分別進(jìn)行說明。

　　用戶賬戶控制：檢測(cè)應(yīng)用程序安裝并提示提升。該選項(xiàng)默認(rèn)被啟用，它決定著Windows 7是否自動(dòng)檢測(cè)應(yīng)用程序的安裝并提示提升。默認(rèn)情況下，系統(tǒng)會(huì)自動(dòng)檢測(cè)應(yīng)用程序的安裝，并提示用戶提升或者批準(zhǔn)應(yīng)用程序是否繼續(xù)安裝。如果該選項(xiàng)被禁用，那么使得用戶不能夠?qū)?yīng)用程序的安裝進(jìn)行控制。

　　用戶賬戶控制：只提升簽名并驗(yàn)證的可執(zhí)行文件。該選項(xiàng)決定了Windows 7是否只允許運(yùn)行帶有簽名并且有效的可執(zhí)行文件。在默認(rèn)情況下，該選項(xiàng)是被禁用的，如果啟用該選項(xiàng)，Windows就會(huì)在可執(zhí)行文件運(yùn)行之前，會(huì)強(qiáng)制檢查文件公鑰證書的有效性。

　　用戶賬戶控制：僅提升安裝在安全位置的UIAccess應(yīng)用程序。該選項(xiàng)決定了Windows 7在允許運(yùn)行之前是否驗(yàn)證UIAccess應(yīng)用程序的安全性，默認(rèn)情況下該選項(xiàng)是被禁用的。

　　用戶賬戶控制：允許UIAccess應(yīng)用程序在不使用安全桌面的情況下繼續(xù)提升。這個(gè)選項(xiàng)模式是禁用的，它決定了用戶界面輔助程序是否可以繞過安全桌面。如果啟用該選項(xiàng)應(yīng)用程序就可以直接按照應(yīng)用需求響應(yīng)提升提示，這樣會(huì)增加系統(tǒng)的風(fēng)險(xiǎn)，因?yàn)榭赡軙?huì)被惡意程序利用。比如，我們要進(jìn)行遠(yuǎn)程協(xié)助，為了避免出現(xiàn)問題，在創(chuàng)建遠(yuǎn)程協(xié)助邀請(qǐng)時(shí)，要確保勾選“允許響應(yīng)賬戶控制提示”選項(xiàng)。

　　其實(shí)，除了這4個(gè)選項(xiàng)外，在該節(jié)點(diǎn)下還有其他的一些選項(xiàng)都與應(yīng)用程序的安裝和運(yùn)行有關(guān)，大家可在理解其含義的基礎(chǔ)上根據(jù)需要進(jìn)行設(shè)置。

　　(2).軟件限制

　　在Windows 7的組策略控制臺(tái)中還有一個(gè)與軟件限制相關(guān)的組策略項(xiàng)是“軟件限制策略”，在本地安全策略控制臺(tái)的“安全設(shè)置”下可以看到該組策略節(jié)點(diǎn)，通過該策略項(xiàng)我們可以對(duì)系統(tǒng)中安裝的軟件進(jìn)行限制。其“強(qiáng)制”策略我們可幫助我們針對(duì)文件、用戶和用戶進(jìn)行限制。此外，用戶還可選擇在應(yīng)用軟件限制策略時(shí)是強(qiáng)制證書還是忽略證書。“指定的文件類型”項(xiàng)可幫助我們通過文件類型實(shí)施限制，在此我們可以添加或者刪除相應(yīng)的文件類型。“受信任的發(fā)布者”項(xiàng)可方便我們?cè)O(shè)置信任策略。在“安全級(jí)別”節(jié)點(diǎn)下3個(gè)級(jí)別，默認(rèn)是“不受限”級(jí)別，也就是軟件訪問權(quán)由用戶的訪問權(quán)來決定。“基本用戶”級(jí)別允許程序訪問一般用戶可以訪問的資源，但沒有管理員的訪問權(quán)。其中“不允許”是最嚴(yán)格的級(jí)別，意味著無論用戶的訪問權(quán)如何，軟件都不會(huì)運(yùn)行。在“其他規(guī)則”節(jié)點(diǎn)下，默認(rèn)有兩條注冊(cè)表路徑規(guī)則，它們的安全級(jí)別是不受限制的。在此，我們可以根據(jù)需要添加其他安全規(guī)則，可供選擇的規(guī)則有證書規(guī)則、哈希規(guī)則、網(wǎng)絡(luò)區(qū)域規(guī)則、路徑規(guī)則。創(chuàng)建方法是右鍵單擊 “其他規(guī)則”節(jié)點(diǎn)然后在右鍵菜單中選擇創(chuàng)建相應(yīng)的規(guī)則即可。這個(gè)組策略節(jié)點(diǎn)在此前的系統(tǒng)中也存在，但并不為用戶所使用，其實(shí)，只要靈活利用它可以幫助我們完成很多系統(tǒng)管理任務(wù)。

　　3、調(diào)整UAC級(jí)別控制應(yīng)用程序

　　除了上面提到的應(yīng)用程序控制技術(shù)之外，下面簡(jiǎn)要說說Windows 7中的UAC，因?yàn)樗c應(yīng)用程序控制密切相關(guān)。我們知道，Windows 7對(duì)UAC做了很大的改進(jìn)，主要表現(xiàn)在劃分了不同的安全等級(jí)以適合不同的用戶需求。具體來說，“從不通知”到“始終通知”分為4個(gè)安全等級(jí)，默認(rèn)的安全級(jí)別為第2的安全級(jí)別，此時(shí)僅在用戶對(duì)某個(gè)程序做出改變時(shí)才會(huì)彈出UAC提示，而在改變系統(tǒng)設(shè)置時(shí)不會(huì)彈出提示。值得一提的是，Windows 7的UAC提示會(huì)因應(yīng)用程序可信度的不同而呈現(xiàn)不同的顏色，這些不同的顏色表示應(yīng)用程序不同的安全等級(jí)。當(dāng)我們運(yùn)行的程序是某個(gè)知名公司的產(chǎn)品時(shí)UAC提示是藍(lán)色，當(dāng)運(yùn)行程序是不知名公司的產(chǎn)品時(shí)UAC提示是黃色，而當(dāng)運(yùn)行一個(gè)可疑程序時(shí)UAC提示是紅色。

　　本教程就Windows 7下應(yīng)用程序運(yùn)行控制技術(shù)做了詳細(xì)的解析和說明，有些不限于Windows 7，同樣適用于此前的Windows系統(tǒng)，這里只是以Windows 7系統(tǒng)為例進(jìn)行說明。另外，Windows 7下的應(yīng)用程序控制技術(shù)也不止這些，有待于進(jìn)一步的學(xué)習(xí)和挖掘。