應用程序是指為了完成某項或某幾項特定任務而被開發運行於操作系統之上的計算機程序,是它直接服務於用戶,如果說操作系統是平台,那麼應用程序就是是主角.但應用程序為用戶帶來便利的同時,有時也會威脅到系統安全,為此,對應用程序實施安全控制是操作系統一項重要安全策略。那麼,在Windows 環境下中如何實施對應用程序的安全控制呢?這就是今天本教程要給大家介紹的內容,有興趣的朋友們一起來看看吧.
1、配置應用程序的運行級別
同此前的Vista一樣,微軟是不提倡用戶直接以管理員身份登錄系統實施操作,因為這樣會存在很大的風險。我們知道,在Windows 7中如果以管理員用戶登錄系統那麼所有運行的程序默認都是以管理員權限運行的。出於安全我們以非管理員用戶登錄系統,但有時需要進行系統設置或者維護,而要執行這些操作則必須要有管理員權限才行,那麼是不是要注銷當前用戶而重新以管理員身份登錄系統呢?其實不用,在Windows 7中我們可以通過兩種方式來說實現應用程序在提升模式下運行。
(1).以管理員權限運行一次。一般情況下,我們只需就當前的操作在管理員權限下運行,那麼就選擇以管理員權限運行一次的權限提升策略。具體實現方式是,用鼠標右鍵單擊應用程序的快捷方式或者其主程序,在菜單列表中選擇“以管理員權限運行”即可。此時會彈出用戶賬戶控制即UAC對話框,對話框中列出了系統所有的管理員用讓用戶選擇,我們從中選擇一個管理員用戶並輸入相應的密碼就可以管理員身份運行程序。對此,我們可以打開Widnows 7的任務管理器進行確認,可以看到雖然當前是以普通用戶登錄系統,但該程序是以管理員身份運行的。
(2).始終以管理員身份運行程序。我們除了可以臨時性地以管理員權限運行程序外,還可以使程序始終以管理員權限運行。這樣做的好處是,省去了每次進行權限提升的麻煩,而且對於某些只能運行在管理員權限中的程序進行了這樣的設置後,就能夠杜絕其在使用中因權限問題而造成的故障。當然這樣做的弊端是非常明顯的,如果將應用程序始終以管理員權限運行會帶來一定的安全隱患,何況這樣設置以後我們以普通用戶登錄系統也將失去意義。筆者建議的做法是,只將必須以管理員權限運行的程序設置為始終以管理員身份運行即可。
在Windows 7中,我們可以這樣進行設置:右鍵單擊應用程序或者其圖標,選擇“屬性”,在其屬性對話框中定位到“兼容性”標簽頁,在特權等級下勾選“以管理員身份運行此程序”即可。如果要使該設置對所有的用戶有效,那麼需要點擊“更改所有用戶的設置”按鈕,然後會一個應用程序屬性對話框,在“所有用戶的兼容性”標簽頁的特權等級下再次勾選“以管理員身份運行此程序”復選框即可。需要注意的是,我們不能設置系統應用程序或者進程總是以管理員身份運行。有的時候,我們會發現“以管理員身份隱匿性此程序”復選框不可選,這通常是因為該程序是系統程序或者該程序被禁止提升權限。另外,如果當前用戶不是管理員或者該程序的運行並不需要管理員憑據時該復選框也會是不可選的。來源:考試大
2、控制應用程序的安裝和運行行為
對於一般用戶或者系統管理員來說,除了要控制系統中已經安裝的應用程序的運行權限外,還要對應用程序的安裝行為進行控制。那麼,這些在Windows 7中是如何實現的呢?我們可以通過Windows 7的相關組策略項實現我們的目標。
(1).安裝控制
運行secpol.msc打開Windows 7的本地安全策略控制台,定位到“安全設置”→“本地策略”→“安全選項”節點,在右側可以看到很多組策略項。這其中與應用程序安裝相關的項目主要有4項,下面分別進行說明。
用戶賬戶控制:檢測應用程序安裝並提示提升。該選項默認被啟用,它決定著Windows 7是否自動檢測應用程序的安裝並提示提升。默認情況下,系統會自動檢測應用程序的安裝,並提示用戶提升或者批准應用程序是否繼續安裝。如果該選項被禁用,那麼使得用戶不能夠對應用程序的安裝進行控制。
用戶賬戶控制:只提升簽名並驗證的可執行文件。該選項決定了Windows 7是否只允許運行帶有簽名並且有效的可執行文件。在默認情況下,該選項是被禁用的,如果啟用該選項,Windows就會在可執行文件運行之前,會強制檢查文件公鑰證書的有效性。 上一頁12下一頁共2頁