1、用好windowsXP“防火墙”
建立安全策略中隐藏的“基本用户”
图1
如图所示,XP软件限制策略默认有2个。但事实上微软还隐藏了一个安全级别——基本用户。什么是基本用户呢?它是一种介于系统管理员和受限帐户之间的的用户权限,类似于Vista中的标准用户,拥有大部分权限,可以读写注册表的HKEY����_CURRENT��_USER字段,但无法修改HKEY_LOCAL_MACHINE字段。微软的解释是它:允许程序访问一般用户可以访问的资源,但没有管理员或Power User的访问权。
怎么启用“基本用户”呢?很简单,打开Regedit,定位到[HKEY_LOCAL_MACHIN
2、E\SOFTWARE\Policies\Microsoft\Windows\Safer\Codeldentifiets]。新建一个名为“Levels”的DWORD值,数值设为十进制的131072。
图2
关闭注册表编辑器,重新打开本地安全策略就能看到新添加的“基本用户”安全级别了。
给IE加把保护伞
那么加这个“基本用户”有什么作用呢?正如他所拥有的权限介于管理员和受限用户之间的,我们可以用这个安全级别来加载IE浏览器,以杜绝恶意网站通过强行修改系统设置,因为即使此时用户为管理员权限,但IE依然工作在“基本用户”权限下。添加规则方法如下:
第一步:在“其他规则”上点击鼠标右键,选择
3、新路径规则”,在打开的窗口中的路径栏里输入“%ProgramFiles%\InternetExplorer\iexplore.exe”(IE的位置,也可以用“浏览”按钮来设置),然后在“安全级别”中选择“基本用户”(见下图)
图3
第二步:点击确定保存退出,然后单击“开始——运行”,输入“gpupdate /force”,回车,即可刷新刚刚设置的策略。下次不论以何种方式打开IE,它都会工作在“基本用户”下,上网就安全多了。其他浏览器或软件要在基本用户权限下运行,设置方法相同。
★“基本用户”和受限帐户权限使用IE的区别在于:受限帐户无法访问收藏夹等用户个性化设置,而“基本用户”则没有这
4、个限制。这就在用户方便性和安全防护之间达成了很好的平衡,对于普通家庭用户而言,无疑“基本用户”更有现实意义。
限制系统临时文件夹
系统的临时文件夹,可以说是病毒和木马的温床,如果我们霸道地直接禁止运行临时文件夹中的程序,则可能导致大量的安装程序或者使用自解压方式制作的绿色软件无法正常运行。所以,我们可以对临时文件夹及其子文件夹也使用“基本用户”安全等级,这样就可以保证大多数程序能正常运行。而需要修改系统设置的病毒却无法正常工作。要实现这个目的,我们要添加2条策略:
%USERPROFILE%LocalSettings\Temp\*.* 基本用户
% USERPR
5、OFILE%LocalSettings\Temp\**\*.* 基本用户
修改了软件限制策略后,然后单击“开始——运行”,输入“gpupdate /force”命令刷新策略时起生效即可。
有些人发现在运行这条命令后,刷新策略的对话框一闪而过,很快就结束了,而且新策略并没有生效。呵呵^__^嘿嘿,别着急,我们可以通过以下方式解决:打开本地安全策略的安全级别界面(图1),在“不允许的”上点击鼠标右键,单击“设置为默认”,在弹出的警告对话框中点击“确定”,然后再把默认安全级别改回“不受限的”。这时再运行“gpupdate /force”就正常了。刷新策略时系统资源占用率会暂时升高,持续时间一般几秒钟,由策略的多少而定,正常刷新后策略便真正生效了。来吧,让我们尽情享受微软送给你的免费“防火墙”吧。
图4
★命令解释:
软件限制策略不支持嵌套环境变量,否则不会生效。
软件限制策略支持通配符 ?任意单个字符;*任意个字符;**任意层的子文件夹。
2008-4-14禅语
3
浙ICP备2021020529号-1 | 浙B2-20240490 
