Windows 7中对应用程序的安全控制方法.docx

Windows 7中对应用程序的安全控制方法操作系统是平台，应用程序才是主角，它直接服务于用户应 用程序为用户带来便利的同时，有时也会威胁系统安全所以， 对应用程序实施安全控制是操作系统一项重要安全策略那么， 在Windows 7中如何实施对应用程序的安全控制呢？下面笔者 结合自己的使用体验和大家进行一番交流1、配置应用程序的运行级别同此前的Vista 一样，微软是不提倡用户直接以管理员身份 登录系统实施操作，因为这样会存在很大的风险我们知道，在 Windows 7中如果以管理员用户登录系统那么所有运行的程序 默认都是以管理员权限运行的出于安全我们以非管理员用户登 录系统，但有时需要进行系统设置或者维护，而要执行这些操作 则必须要有管理员权限才行，那么是不是要注销当前用户而重新 以管理员身份登录系统呢？其实不用，在Windows 7中我们可 以通过两种方式来说实现应用程序在提升模式下运行以管理员权限运行一次一般情况下，我们只需就当 前的操作在管理员权限下运行，那么就选择以管理员权限运行一 次的权限提升策略具体实现方式是，用鼠标右键单击应用程序 的快捷方式或者其主程序，在菜单列表中选择“以管理员权限运行”即可。

此时会弹出用户账户控制即UAC对话框，对话框中 列出了系统所有的管理员用让用户选择，我们从中选择一个管理 员用户并输入相应的密码就可以管理员身份运行程序对此，我 们可以打开Widnows 7的任务管理器进行确认，可以看到虽然 当前是以普通用户登录系统，但该程序是以管理员身份运行的始终以管理员身份运行程序我们除了可以临时性地 以管理员权限运行程序外，还可以使程序始终以管理员权限运行这样做的好处是，省去了每次进行权限提升的麻烦，而且对于某 些只能运行在管理员权限中的程序进行了这样的设置后，就能够 杜绝其在使用中因权限问题而造成的故障当然这样做的弊端是 非常明显的，如果将应用程序始终以管理员权限运行会带来一定 的安全隐患，何况这样设置以后我们以普通用户登录系统也将失 去意义笔者建议的做法是，只将必须以管理员权限运行的程序 设置为始终以管理员身份运行即可在Windows 7中，我们可以这样进行设置：右键单击应用 程序或者其图标，选择“属性”，在其属性对话框中定位到“兼 容性”标签页，在特权等级下勾选“以管理员身份运行此程序” 即可如果要使该设置对所有的用户有效，那么需要点击“更改 所有用户的设置”按钮，然后会一个应用程序属性对话框，在“所 有用户的兼容性”标签页的特权等级下再次勾选“以管理员身份运行此程序”复选框即可。

需要注意的是，我们不能设置系统应 用程序或者进程总是以管理员身份运行有的时候，我们会发现 “以管理员身份隐匿性此程序”复选框不可选，这通常是因为该 程序是系统程序或者该程序被禁止提升权限另外，如果当前用 户不是管理员或者该程序的运行并不需要管理员凭据时该复选 框也会是不可选的2、控制应用程序的安装和运行行为对于一般用户或者系统管理员来说，除了要控制系统中巳经 安装的应用程序的运行权限外，还要对应用程序的安装行为进行 控制那么，这些在Windows 7中是如何实现的呢？我们可以 通过Windows 7的相关组策略项实现我们的目标安装控制运行secpol.msc打开Windows 7的本地安全策略控制台， 定位到“安全设置”f“本地策略”f“安全选项”节点，在右 侧可以看到很多组策略项这其中与应用程序安装相关的项目主 要有4项，下面分别进行说明用户账户控制：检测应用程序安装并提示提升该选项默认被启用，它决定着Windows 7是否自动检测应用程序的安装并 提示提升默认情况下，系统会自动检测应用程序的安装，并提 示用户提升或者批准应用程序是否继续安装如果该选项被禁用， 那么使得用户不能够对应用程序的安装进行控制。

用户账户控制：只提升签名并验证的可执行文件该选项决 定了 Windows 7是否只允许运行带有签名并且有效的可执行文 件在默认情况下，该选项是被禁用的，如果启用该选项， Windows就会在可执行文件运行之前，会强制检查文件公钥证 书的有效性用户账户控制：仅提升安装在安全位置的UIAccess应用程 序该选项决定了 Windows 7在允许运行之前是否验证UIAccess 应用程序的安全性，默认情况下该选项是被禁用的用户账户控制：允许UIAccess应用程序在不使用安全桌面 的情况下继续提升这个选项模式是禁用的，它决定了用户界面 辅助程序是否可以绕过安全桌面如果启用该选项应用程序就可 以直接按照应用需求响应提升提示，这样会增加系统的风险，因 为可能会被恶意程序利用比如，我们要进行远程协助，为了避 免出现问题，在创建远程协助邀请时，要确保勾选“允许响应账 户控制提示”选项其实，除了这4个选项外，在该节点下还有其他的一些选项 都与应用程序的安装和运行有关，大家可在理解其含义的基础上 根据需要进行设置软件限制在Windows 7的组策略控制台中还有一个与软件限制相关 的组策略项是“软件限制策略”，在本地安全策略控制台的“安 全设置”下可以看到该组策略节点，通过该策略项我们可以对系 统中安装的软件进行限制。

其“强制”策略我们可帮助我们针对 文件、用户和用户进行限制此外，用户还可选择在应用软件限 制策略时是强制证书还是忽略证书指定的文件类型”项可帮 助我们通过文件类型实施限制，在此我们可以添加或者删除相应 的文件类型受信任的发布者”项可方便我们设置信任策略 在“安全级别”节点下3个级别，默认是“不受限”级别，也就 是软件访问权由用户的访问权来决定基本用户”级别允许程 序访问一般用户可以访问的资源，但没有管理员的访问权其中 “不允许”是最严格的级别，意味着无论用户的访问权如何，软 件都不会运行在“其他规则”节点下，默认有两条注册表路径 规则，它们的安全级别是不受限制的在此，我们可以根据需要 添加其他安全规则，可供选择的规则有证书规则、哈希规则、网络区域规则、路径规则创建方法是右键单击“其他规则”节点然后在右键菜单中选择创建相应的规则即可这个组策略节点 在此前的系统中也存在，但并不为用户所使用，其实，只要灵活 利用它可以帮助我们完成很多系统管理任务3、调整UAC级别控制应用程序除了上面提到的应用程序控制技术之外，下面简要说说 Windows 7中的UAC，因为它与应用程序控制密切相关我们 知道，Windows 7对UAC做了很大的改进，主要表现在划分了 不同的安全等级以适合不同的用户需求。

具体来说，“从不通知” 到“始终通知”分为4个安全等级，默认的安全级别为第2的安 全级别，此时仅在用户对某个程序做出改变时才会弹出UAC提 示，而在改变系统设置时不会弹出提示值得一提的是，Windows 7的UAC提示会因应用程序可信度的不同而呈现不同的颜色， 这些不同的颜色表示应用程序不同的安全等级当我们运行的程 序是某个知名公司的产品时UAC提示是蓝色，当运行程序是不 知名公司的产品时UAC提示是黄色，而当运行一个可疑程序时 UAC提示是红色总结：上面就Windows 7下应用程序运行控制技术的解析和说明，有些不限于Windows 7，同样适用于此前的Windows 系统，这里只是以Windows 7系统为例进行说明另外,Windows 7下的应用程序控制技术也不止这些，有待于进一步的学习和挖 掘。