在多用戶賬號工作環(huán)境下，如果允許惡意軟件自由在計算機(jī)中安裝“落戶”，顯然是一件讓人感到十分麻煩的事情，畢竟這既不方便管理，又容易給計算機(jī)的安全運(yùn)行帶來潛在威脅。有鑒于此，我們需要采取措施，對軟件或程序的安裝操作進(jìn)行嚴(yán)格控制，堅決不讓可能存在安全隱患的惡意軟件或陌生程序，在本地計算機(jī)中隨意“落戶”，以確保Windows系統(tǒng)的運(yùn)行，不會受到惡意軟件的干擾！

限制惡意插件自動“落戶”

通過Windows系統(tǒng)內(nèi)置的IE瀏覽器，上網(wǎng)沖浪瀏覽信息時，我們或許會經(jīng)?？吹綖g覽器彈出提示，要求用戶是否下載安裝某個陌生組件或插件，甚至有的惡意插件不經(jīng)過用戶同意，會自動下載“落戶”到本地計算機(jī)硬盤中。那些強(qiáng)行自動“落戶”到計算機(jī)中的惡意插件，大多都是潛藏在網(wǎng)頁背后的網(wǎng)絡(luò)病毒和木馬程序，如果允許它們自由“落戶”，將會給本地系統(tǒng)引起不必要的安全麻煩。為了遠(yuǎn)離惡意插件的攻擊，我們可以進(jìn)行如下設(shè)置操作，拒絕惡意插件程序通過IE瀏覽器窗口，自動下載“落戶”到本地硬盤中：

首先按下“Win+R”快捷功能鍵，調(diào)用系統(tǒng)運(yùn)行文本框，輸入“gpedit.msc”字符串命令，單擊“確定”按鈕后，切換到系統(tǒng)組策略控制臺窗口。在該窗口左側(cè)樹形圖中，依次跳轉(zhuǎn)到“本地計算機(jī)策略”|“計算機(jī)配置”|“管理模板”|“Windows組件”|“Internet Explorer”組策略節(jié)點上。

其次找到目標(biāo)節(jié)點下面的“禁用Internet Explorer組件的自動安裝”組策略選項，用鼠標(biāo)雙擊該選項，彈出如圖1所示的組策略選項設(shè)置框，檢查“已啟用”選項是否處于選中狀態(tài)，如果發(fā)現(xiàn)其沒有被選中時，應(yīng)該及時將其重新選中，確認(rèn)后退出設(shè)置對話框。這樣日后潛藏在網(wǎng)頁背后的一些惡意組件或插件程序，就不能偷偷在本地硬盤中自由“落戶”了，那么Windows系統(tǒng)的運(yùn)行安全就能得到改善了。

監(jiān)控攔截惡意軟件“落戶”

在公共場合下，一些不自覺的用戶為了達(dá)到測試目的，往往會偷偷下載安裝一些未知安全的軟件，這樣的安裝操作很容易造成系統(tǒng)死機(jī)或癱瘓。為了確保公用計算機(jī)的運(yùn)行穩(wěn)定性，我們需要對陌生軟件的安裝操作進(jìn)行監(jiān)控，一旦探測到存在安裝行為時，必須在第一時間進(jìn)行攔截。要做到這一點，不妨請“Stop Installation Tool”這款外力工具來幫忙，只要對它進(jìn)行合適配置，就能輕松對所有未知軟件的安裝動作進(jìn)行智能監(jiān)控和攔截，甚至還能對卸載動作進(jìn)行攔截，謹(jǐn)防惡意用戶隨意安裝和卸載程序。

打開“Stop Installation Tool”程序的主操作窗口，從左側(cè)功能按鈕列表中（如圖2所示），按下“Program Options”功能按鈕，在對應(yīng)功能選項設(shè)置區(qū)域，單擊“Password”按鈕，設(shè)置好目標(biāo)工具的關(guān)閉或激活密碼。為提高操作效率，也可以在“Define the Hot Keys to activate application”位置處，為目標(biāo)工具設(shè)置一個合適的激活快捷鍵，程序默認(rèn)使用的快捷鍵為“Ctrl+Alt+C”，日后無論在關(guān)閉程序還是激活程序時，都要輸入管理密碼。

在缺省狀態(tài)下，“Stop Installation Tool”程序一旦探測到本地計算機(jī)中存在軟件安裝動作時，會自動出現(xiàn)攔截對話框，只要輸入之前設(shè)置的管理密碼，才能繼續(xù)進(jìn)行軟件安裝操作，不然的話目標(biāo)程序會強(qiáng)行停止軟件安裝操作。如果不希望別人知道軟件安裝攔截行為時，可以在上面的程序選項設(shè)置區(qū)域中，將“Show the password window to allow software installation”選項取消選中，這樣目標(biāo)工具日后探測到計算機(jī)中存在軟件安裝動作時，會直接停止軟件安裝操作，而不會彈出攔截提示框。在關(guān)閉攔截提示框的情況下，我們可以定期按下“Log File”按鈕，來查看目標(biāo)工具的攔截日志信息，在日志記錄中能了解到它究竟攔截了哪些軟件的安裝操作。

“Stop Installation Tool”程序之所以能夠在默認(rèn)狀態(tài)下，成功攔截一些軟件的安裝操作，主要是它已經(jīng)針對所有可能使用的安裝軟件名稱，定義了對應(yīng)的安全監(jiān)控規(guī)則。如果希望該工具可以攔截特殊軟件的安裝操作時，必須要修改它的文件類型設(shè)置。點擊主操作界面中的“File Masks”功能按鈕，在該功能選項設(shè)置區(qū)域，選擇“Disabled Files”標(biāo)簽，切換到禁止安裝文件類型列表，在這里，我們看到目標(biāo)工具已經(jīng)定義了幾種常見的軟件安裝文件類型名稱，例如*.msi、*install*.exe、*setup*.exe、*update*.exe等類型。如果希望目標(biāo)工具能自動攔截其他特殊類型的安裝軟件時，可以點擊這里的“Add”按鈕，彈出添加文件類型對話框，將新格式的文件類型名稱和說明信息設(shè)置好即可。值得注意的是，該軟件還支持對軟件卸載操作的規(guī)則進(jìn)行設(shè)置，以防止惡意用戶自由卸載本地計算機(jī)中的應(yīng)用軟件。比方說，手工添加“*uninstall*.exe”文件類型時，目標(biāo)工具日后就能對所有軟件名稱中存在“uninstall.exe”關(guān)鍵字的軟件卸載動作，執(zhí)行監(jiān)控和攔截。

為了讓上述配置適用于特定用戶賬號，我們還要點擊主操作界面中的“Users Control”功能按鈕，切換到“PC Users”列表中，通過“Add”或“Remove”按鈕，添加或刪除合適的用戶賬號，之后在“Apply restrictions for users”位置處，將“All PC users”選項選中，這樣“Stop Installation Tool”程序的安全配置信息將會對本地計算機(jī)中的所有用戶適用。如果將“Only for users in the list”選項選中，那么目標(biāo)工具的安全規(guī)則僅對列表中的用戶賬號適用，如果將“For all except in the list”選項選中，那么安全規(guī)則僅對列表之外的用戶賬號適用。

不讓未知驅(qū)動軟件“落戶”

為了保證系統(tǒng)運(yùn)行穩(wěn)定，Windows系統(tǒng)可能會對設(shè)備的驅(qū)動軟件進(jìn)行徽標(biāo)測試，只有通過徽標(biāo)測試的驅(qū)動軟件，才能正常安裝到本地計算機(jī)中。對于那些沒有通過徽標(biāo)測試的未知驅(qū)動軟件，必須想辦法拒絕它們在本地系統(tǒng)安裝“落戶”，因為它們可能會破壞計算機(jī)系統(tǒng)的運(yùn)行穩(wěn)定性。在Windows 2008系統(tǒng)環(huán)境下，要想禁止那些沒有通過徽標(biāo)測試的未知驅(qū)動軟件“落戶”，可以按照如下步驟，來開啟Windows系統(tǒng)的徽標(biāo)測試功能：

首先以系統(tǒng)管理員權(quán)限登錄Windows 2008系統(tǒng)，逐一選擇“開始”|“運(yùn)行”選項，彈出系統(tǒng)運(yùn)行對話框，輸入字符串命令“services.msc”，單擊“確定”按鈕后，切換到系統(tǒng)服務(wù)列表界面。

從中找到“Cryptographic Services”服務(wù)選項，并用鼠標(biāo)雙擊之，彈出對應(yīng)服務(wù)選項設(shè)置框，在常規(guī)標(biāo)簽頁面中（如圖3所示），我們能直觀地看到目標(biāo)系統(tǒng)服務(wù)的開啟狀態(tài)是否正常。如果發(fā)現(xiàn)該服務(wù)沒有啟動運(yùn)行時，必須先點擊“啟動”按鈕，重新開啟“Cryptographic Services”服務(wù)的運(yùn)行狀態(tài)，以強(qiáng)制Windows系統(tǒng)對安裝在計算機(jī)中的驅(qū)動軟件，執(zhí)行徽標(biāo)測試操作。接著，為了保證該系統(tǒng)服務(wù)日后能自動啟動運(yùn)行，我們還需要將它的啟動類型設(shè)置為“自動”，確認(rèn)后退出設(shè)置對話框，這樣那些沒有通過徽標(biāo)測試的驅(qū)動軟件，嘗試安裝到本地計算機(jī)時，系統(tǒng)會自動彈出“無法通過系統(tǒng)徽標(biāo)測試”之類的提示信息，來阻止它們“落戶”到Windows 2008系統(tǒng)中。

不讓特定標(biāo)題軟件“落戶”

有些惡意軟件為了躲避用戶的攔截，其安裝文件名稱中可能并不存在“setup”、“install”、“update”等關(guān)鍵字，可是它們的安裝向?qū)Т翱跇?biāo)題欄中，可能會出現(xiàn)一些惡意軟件常有的特征，例如安裝向?qū)Т翱跇?biāo)題中或許會有“攻擊”、“入侵”等字眼。為了不讓特定標(biāo)題軟件安裝“落戶”到本地計算機(jī)硬盤中，我們可以使用“Install-Block”這款外力工具，來追蹤監(jiān)控活動窗口的標(biāo)題名稱，一旦捕捉到關(guān)鍵字眼時，就認(rèn)定它為惡意軟件，并對它的安裝操作進(jìn)行強(qiáng)行攔截。

開啟“Install-Block”工具的運(yùn)行狀態(tài)，打開如圖4所示的主操作界面，單擊該界面左側(cè)列表中的“Black List”選項，在對應(yīng)選項右側(cè)設(shè)置區(qū)域，我們會看到目標(biāo)工具的黑名單信息，只要待安裝軟件窗口標(biāo)題中的關(guān)鍵字出現(xiàn)在這里的黑名單中，那么目標(biāo)工具就會認(rèn)為它是惡意軟件，并會對它的安裝操作進(jìn)行自動攔截。

例如，現(xiàn)在要對安裝窗口標(biāo)題中存在“攻擊”字樣的軟件安裝操作進(jìn)行自動攔截時，可以點擊黑名單設(shè)置區(qū)域中的“Add”按鈕，彈出關(guān)鍵字添加對話框，輸入“攻擊”標(biāo)題名稱并進(jìn)行確認(rèn)即可。倘若同時選中這里的“Must match window title exactly”選項，那么日后待安裝軟件的標(biāo)題名稱必須和這里設(shè)置的黑名單關(guān)鍵字完全匹配，目標(biāo)工具才會認(rèn)為它是惡意軟件，并會對它的安裝操作進(jìn)行自動攔截。

為了不讓軟件安裝攔截操作被人發(fā)現(xiàn)，我們可以點擊主操作界面左側(cè)列表中的“Advanced”選項，在對應(yīng)該選項的右側(cè)設(shè)置區(qū)域，選中“Don't show the prompt when blocking a windows”選項，這樣“Install-Block”工具日后一旦探測到特定標(biāo)題軟件在安裝時，會強(qiáng)行將安裝向?qū)Т翱陉P(guān)閉，而不會出現(xiàn)密碼驗證對話框。此外，還需要進(jìn)入“General”功能設(shè)置區(qū)域，選中“Don't show the Install-Block icon in the notification area”選項，將系統(tǒng)任務(wù)欄右下方的“Install-Block”工具快捷圖標(biāo)隱藏起來。

當(dāng)然，不管怎么小心，軟件安裝攔截行為都有可能被人發(fā)現(xiàn)，為了防止別人通過卸載“Install-Block”工具的方法，來躲避軟件安裝攔截操作，我們也要為目標(biāo)工具設(shè)置好管理密碼，日后只有正確輸入預(yù)先設(shè)定的管理密碼，才能進(jìn)行正常的軟件安裝操作或程序配置操作。“Install-Block”工具默認(rèn)使用的管理密碼為“admin”，如果要修改密碼時，可以點擊主操作界面中的“General”按鈕，在對應(yīng)功能設(shè)置區(qū)域按下“Change Password”按鈕（如圖5所示），切換到密碼修改對話框，選中“Config”選項，就能修改目標(biāo)工具的管理密碼，如果選中“Unblock”選項，那可以修改軟件安裝認(rèn)證密碼，設(shè)置好新的密碼內(nèi)容后，需要再次點擊“Change Password”按鈕，才能讓新的密碼生效。

如果希望計算機(jī)系統(tǒng)在重新啟動之后，“Install-Block”工具仍然可以自動攔截特定標(biāo)題軟件，那么需要點擊主操作界面中的“Startup”按鈕，進(jìn)入到程序啟動設(shè)置區(qū)域（如圖6所示），選中“Load at system start for all users”選項，強(qiáng)制該工具可以跟隨所有用戶賬號一起啟動運(yùn)行。如果只想讓目標(biāo)工具跟隨特定用戶賬號一起啟動運(yùn)行時，可以選中“Load at system start for select users”選項，之后按下“Edit User List”按鈕，將特定的用戶賬號選中并導(dǎo)入進(jìn)來。