Win7怎么實施對應用程序的安全控制

　　應用程序是指為了完成某項或某幾項特定任務而被開發(fā)運行于操作系統(tǒng)之上的計算機程序,是它直接服務于用戶,如果說操作系統(tǒng)是平臺，那么應用程序就是是主角.但應用程序為用戶帶來便利的同時，有時也會威脅到系統(tǒng)安全,為此,對應用程序實施安全控制是操作系統(tǒng)一項重要安全策略。那么，在Windows 環(huán)境下中如何實施對應用程序的安全控制呢?這就是今天學習啦小編要給大家介紹的內容,有興趣的朋友們一起來看看吧.

　　1、配置應用程序的運行級別

　　同此前的Vista一樣，微軟是不提倡用戶直接以管理員身份登錄系統(tǒng)實施操作，因為這樣會存在很大的風險。我們知道，在Windows 7中如果以管理員用戶登錄系統(tǒng)那么所有運行的程序默認都是以管理員權限運行的。出于安全我們以非管理員用戶登錄系統(tǒng)，但有時需要進行系統(tǒng)設置或者維護，而要執(zhí)行這些操作則必須要有管理員權限才行，那么是不是要注銷當前用戶而重新以管理員身份登錄系統(tǒng)呢?其實不用，在Windows 7中我們可以通過兩種方式來說實現應用程序在提升模式下運行。

　　(1).以管理員權限運行一次。一般情況下，我們只需就當前的操作在管理員權限下運行，那么就選擇以管理員權限運行一次的權限提升策略。具體實現方式是，用鼠標右鍵單擊應用程序的快捷方式或者其主程序，在菜單列表中選擇“以管理員權限運行”即可。此時會彈出用戶賬戶控制即UAC對話框，對話框中列出了系統(tǒng)所有的管理員用讓用戶選擇，我們從中選擇一個管理員用戶并輸入相應的密碼就可以管理員身份運行程序。對此，我們可以打開Widnows 7的任務管理器進行確認，可以看到雖然當前是以普通用戶登錄系統(tǒng)，但該程序是以管理員身份運行的。

　　(2).始終以管理員身份運行程序。我們除了可以臨時性地以管理員權限運行程序外，還可以使程序始終以管理員權限運行。這樣做的好處是，省去了每次進行權限提升的麻煩，而且對于某些只能運行在管理員權限中的程序進行了這樣的設置后，就能夠杜絕其在使用中因權限問題而造成的故障。當然這樣做的弊端是非常明顯的，如果將應用程序始終以管理員權限運行會帶來一定的安全隱患，何況這樣設置以后我們以普通用戶登錄系統(tǒng)也將失去意義。筆者建議的做法是，只將必須以管理員權限運行的程序設置為始終以管理員身份運行即可。

　　在Windows 7中，我們可以這樣進行設置：右鍵單擊應用程序或者其圖標，選擇“屬性”，在其屬性對話框中定位到“兼容性”標簽頁，在特權等級下勾選“以管理員身份運行此程序”即可。如果要使該設置對所有的用戶有效，那么需要點擊“更改所有用戶的設置”按鈕，然后會一個應用程序屬性對話框，在“所有用戶的兼容性”標簽頁的特權等級下再次勾選“以管理員身份運行此程序”復選框即可。需要注意的是，我們不能設置系統(tǒng)應用程序或者進程總是以管理員身份運行。有的時候，我們會發(fā)現“以管理員身份隱匿性此程序”復選框不可選，這通常是因為該程序是系統(tǒng)程序或者該程序被禁止提升權限。另外，如果當前用戶不是管理員或者該程序的運行并不需要管理員憑據時該復選框也會是不可選的。

　　2、控制應用程序的安裝和運行行為

　　對于一般用戶或者系統(tǒng)管理員來說，除了要控制系統(tǒng)中已經安裝的應用程序的運行權限外，還要對應用程序的安裝行為進行控制。那么，這些在Windows 7中是如何實現的呢?我們可以通過Windows 7的相關組策略項實現我們的目標。

　　(1).安裝控制

　　運行secpol.msc打開Windows 7的本地安全策略控制臺，定位到“安全設置”→“本地策略”→“安全選項”節(jié)點，在右側可以看到很多組策略項。這其中與應用程序安裝相關的項目主要有4項，下面分別進行說明。

　　用戶賬戶控制：檢測應用程序安裝并提示提升。該選項默認被啟用，它決定著Windows 7是否自動檢測應用程序的安裝并提示提升。默認情況下，系統(tǒng)會自動檢測應用程序的安裝，并提示用戶提升或者批準應用程序是否繼續(xù)安裝。如果該選項被禁用，那么使得用戶不能夠對應用程序的安裝進行控制。

　　用戶賬戶控制：只提升簽名并驗證的可執(zhí)行文件。該選項決定了Windows 7是否只允許運行帶有簽名并且有效的可執(zhí)行文件。在默認情況下，該選項是被禁用的，如果啟用該選項，Windows就會在可執(zhí)行文件運行之前，會強制檢查文件公鑰證書的有效性。

　　用戶賬戶控制：僅提升安裝在安全位置的UIAccess應用程序。該選項決定了Windows 7在允許運行之前是否驗證UIAccess應用程序的安全性，默認情況下該選項是被禁用的。

　　用戶賬戶控制：允許UIAccess應用程序在不使用安全桌面的情況下繼續(xù)提升。這個選項模式是禁用的，它決定了用戶界面輔助程序是否可以繞過安全桌面。如果啟用該選項應用程序就可以直接按照應用需求響應提升提示，這樣會增加系統(tǒng)的風險，因為可能會被惡意程序利用。比如，我們要進行遠程協(xié)助，為了避免出現問題，在創(chuàng)建遠程協(xié)助邀請時，要確保勾選“允許響應賬戶控制提示”選項。

　　其實，除了這4個選項外，在該節(jié)點下還有其他的一些選項都與應用程序的安裝和運行有關，大家可在理解其含義的基礎上根據需要進行設置。

　　(2).軟件限制

　　在Windows 7的組策略控制臺中還有一個與軟件限制相關的組策略項是“軟件限制策略”，在本地安全策略控制臺的“安全設置”下可以看到該組策略節(jié)點，通過該策略項我們可以對系統(tǒng)中安裝的軟件進行限制。其“強制”策略我們可幫助我們針對文件、用戶和用戶進行限制。此外，用戶還可選擇在應用軟件限制策略時是強制證書還是忽略證書。“指定的文件類型”項可幫助我們通過文件類型實施限制，在此我們可以添加或者刪除相應的文件類型。“受信任的發(fā)布者”項可方便我們設置信任策略。在“安全級別”節(jié)點下3個級別，默認是“不受限”級別，也就是軟件訪問權由用戶的訪問權來決定。“基本用戶”級別允許程序訪問一般用戶可以訪問的資源，但沒有管理員的訪問權。其中“不允許”是最嚴格的級別，意味著無論用戶的訪問權如何，軟件都不會運行。在“其他規(guī)則”節(jié)點下，默認有兩條注冊表路徑規(guī)則，它們的安全級別是不受限制的。在此，我們可以根據需要添加其他安全規(guī)則，可供選擇的規(guī)則有證書規(guī)則、哈希規(guī)則、網絡區(qū)域規(guī)則、路徑規(guī)則。創(chuàng)建方法是右鍵單擊 “其他規(guī)則”節(jié)點然后在右鍵菜單中選擇創(chuàng)建相應的規(guī)則即可。這個組策略節(jié)點在此前的系統(tǒng)中也存在，但并不為用戶所使用，其實，只要靈活利用它可以幫助我們完成很多系統(tǒng)管理任務。

　　3、調整UAC級別控制應用程序

　　除了上面提到的應用程序控制技術之外，下面簡要說說Windows 7中的UAC，因為它與應用程序控制密切相關。我們知道，Windows 7對UAC做了很大的改進，主要表現在劃分了不同的安全等級以適合不同的用戶需求。具體來說，“從不通知”到“始終通知”分為4個安全等級，默認的安全級別為第2的安全級別，此時僅在用戶對某個程序做出改變時才會彈出UAC提示，而在改變系統(tǒng)設置時不會彈出提示。值得一提的是，Windows 7的UAC提示會因應用程序可信度的不同而呈現不同的顏色，這些不同的顏色表示應用程序不同的安全等級。當我們運行的程序是某個知名公司的產品時UAC提示是藍色，當運行程序是不知名公司的產品時UAC提示是黃色，而當運行一個可疑程序時UAC提示是紅色。

　　本教程就Windows 7下應用程序運行控制技術做了詳細的解析和說明，有些不限于Windows 7，同樣適用于此前的Windows系統(tǒng)，這里只是以Windows 7系統(tǒng)為例進行說明。另外，Windows 7下的應用程序控制技術也不止這些，有待于進一步的學習和挖掘。