操作系統是平台應用程序才是主角它直接服務於用戶應用程序為用戶帶來便利的同時有時也會威脅系統安全所以對應用程序實施安全控制是操作系統一項重要安全策略那麼在Windows 中如何實施對應用程序的安全控制呢?下面筆者結合自己的使用體驗和大家進行一番交流
配置應用程序的運行級別
同此前的Vista一樣微軟是不提倡用戶直接以管理員身份登錄系統實施操作因為這樣會存在很大的風險我們知道在Windows 中如果以管理員用戶登錄系統那麼所有運行的程序默認都是以管理員權限運行的出於安全我們以非管理員用戶登錄系統但有時需要進行系統設置或者維護而要執行這些操作則必須要有管理員權限才行那麼是不是要注銷當前用戶而重新以管理員身份登錄系統呢?其實不用在Windows 中我們可以通過兩種方式來說實現應用程序在提升模式下運行
()以管理員權限運行一次一般情況下我們只需就當前的操作在管理員權限下運行那麼就選擇以管理員權限運行一次的權限提升策略具體實現方式是用鼠標右鍵單擊應用程序的快捷方式或者其主程序在菜單列表中選擇以管理員權限運行即可此時會彈出用戶賬戶控制即UAC對話框對話框中列出了系統所有的管理員用讓用戶選擇我們從中選擇一個管理員用戶並輸入相應的密碼就可以管理員身份運行程序對此我們可以打開Widnows 的任務管理器進行確認可以看到雖然當前是以普通用戶登錄系統但該程序是以管理員身份運行的(圖)
()始終以管理員身份運行程序我們除了可以臨時性地以管理員權限運行程序外還可以使程序始終以管理員權限運行這樣做的好處是省去了每次進行權限提升的麻煩而且對於某些只能運行在管理員權限中的程序進行了這樣的設置後就能夠杜絕其在使用中因權限問題而造成的故障當然這樣做的弊端是非常明顯的如果將應用程序始終以管理員權限運行會 帶來一定的安全隱患何況這樣設置以後我們以普通用戶登錄系統也將失去意義筆者建議的做法是只將必須以管理員權限運行的程序設置為始終以管理員身份運行即可
在Windows 中我們可以這樣進行設置右鍵單擊應用程序或者其圖標選擇屬性在其屬性對話框中定位到兼容性標簽頁在特權等級下勾選以管理員身份運行此程序即可如果要使該設置對所有的用戶有效那麼需要點擊更改所有用戶的設置按鈕然後會一個應用程序屬性對話框在所有用戶的兼容性標簽頁的特權等級下再次勾選以管理員身份運行此程序復選框即可需要注意的是我們不能設置系統應用程序或者進程總是以管理員身份運行有的時候我們會發現以管理員身份隱匿性此程序復選框不可選這通常是因為該程序是系統程序或者該程序被禁止提升權限另外如果當前用戶不是管理員或者該程序的運行並不需要管理員憑據時該復選框也會是不可選的(圖)
控制應用程序的安裝和運行行為
對於一般用戶或者系統管理員來說除了要控制系統中已經安裝的應用程序的運行權限外還要對應用程序的安裝行為進行控制那麼這些在Windows 中是如何實現的呢?我們可以通過Windows 的相關組策略項實現我們的目標
()安裝控制
運行secpolmsc打開Windows 的本地安全策略控制台定位到安全設置→本地策略→安全選項節點在右側可以看到很多組策略項這其中與應用程序安裝相關的項目主要有項下面分別進行說明
用戶賬戶控制檢測應用程序安裝並提示提升該選項默認被啟用它決定著Windows 是否自動檢測應用程序的安裝並提示提升默認情況下系統會自動檢測應用程序的安裝並提示用戶提升或者批准應用程序是否繼續安裝如果該選項被禁用那麼使得用戶不能夠對應用程序的安裝進行控制
用戶賬戶控制只提升簽名並驗證的可執行文件該選項決定了Windows 是否只允許運行帶有簽名並且有效的可執行文件在默認情況下該選項是被禁用的如果啟用該選項Windows就會在可執行文件運行之前會強制檢查文件公鑰證書的有效性
用戶賬戶控制僅提升安裝在安全位置的UIAccess應用程序該選項決定了Windows 在允許運行之前是否驗證UIAccess應用程序的安全性默認情況下該選項是被禁用的
用戶賬戶控制允許UIAccess應用程序在不使用安全桌面的情況下繼續提升這個選項模式是禁用的它決定了用戶界面輔助程序是否可以繞過安全桌面如果啟用該選項應用程序就可以直接按照應用需求響應提升提示這樣會增加系統的風險因為可能會被惡意程序利用比如我們要進行遠程協助為了避免出現問題在創建遠程協助邀請時要確保勾選允許響應賬戶控制提示選項(圖)
其實除了這個選項外在該節點下還有其他的一些選項都與應用程序的安裝和運行有關大家可在理解其含義的基礎上根據需要進行設置
()軟件限制
在Windows 的組策略控制台中還有一個與軟件限制相關的組策略項是軟件限制策略在本地安全策略控制台的安全設置下可以看到該組策略節點通過該策略項我們可以對系統中安裝的軟件進行限制其強制策略我們可幫助我們針對文件用戶和用戶進行限制此外用戶還可選擇在應用軟件限制策略時是強制證書還是忽略證書指定的文件類型項可幫助我們通過文件類型實施限制在此我們可以添加或者刪除相應的文件類型受信任的發布者項可方便我們設置信任策略在安全級別節點下個級別默認是不受限級別也就是軟件訪問權由用戶的訪問權來決定基本用戶級別允許程序訪問一般用戶可以訪問的資源但沒有管理員的訪問權其中不允許是最嚴格的級別意味著無論用戶的訪問權如何軟件都不會運行在其他規則節點下默認有兩條注冊表路徑規則它們的安全級別是不受限制的在此我們可以根據需要添加其他安全規則可供選擇的規則有證書規則哈希規則網絡區域規則路徑規則創建方法是右鍵單擊其他規則節點然後在右鍵菜單中選擇創建相應的規則即可這個組策略節點在此前的系統中也存在但並不為用戶所使用其實只要靈活利用它可以幫助我們完成很多系統管理任務(圖)
調整UAC級別控制應用程序
除了上面提到的應用程序控制技術之外下面簡要說說Windows 中的UAC因為它與應用程序控制密切相關我們知道Windows 對UAC做了很大的改進主要表現在劃分了不同的安全等級以適合不同的用戶需求具體來說從不通知到始終通知分為個安全等級默認的安全級別為第的安全級別此時僅在用戶對某個程序做出改變時才會彈出UAC提示而在改變系統設置時不會彈出提示值得一提的是Windows 的UAC提示會因應用程序可信度的不同而呈現不同的顏色這些不同的顏色表示應用程序不同的安全等級當我們運行的程序是某個知名公司的產品時UAC提示是藍色當運行程序是不知名公司的產品時UAC提示是黃色而當運行一個可疑程序時UAC提示是紅色(圖)
總結上面就Windows 下應用程序運行控制技術的解析和說明有些不限於Windows 同樣適用於此前的Windows系統這裡只是以Windows 系統為例進行說明另外Windows 下的應用程序控制技術也不止這些有待於進一步的學習和挖掘
From:http://tw.wingwit.com/Article/os/xtgl/201311/8818.html
