引言： 為了確保系統(tǒng)運(yùn)行的安全性，有時(shí)不得不采取一系列的安全技術(shù)，其中數(shù)字簽名技術(shù)是保護(hù)網(wǎng)絡(luò)傳輸安全的重要技術(shù)之一，它既能識(shí)別計(jì)算機(jī)系統(tǒng)中的一些核心程序究竟有沒有受到惡意破壞或攻擊，又能確保數(shù)據(jù)傳輸?shù)耐暾院桶l(fā)送數(shù)據(jù)的不可否認(rèn)性等。

為了確保系統(tǒng)運(yùn)行的安全性，有時(shí)不得不采取一系列的安全技術(shù)，比如密鑰管理、加密保護(hù)、安全協(xié)議、身份認(rèn)證、防火墻等技術(shù)。其中數(shù)字簽名技術(shù)是保護(hù)網(wǎng)絡(luò)傳輸安全的重要技術(shù)之一，它既能識(shí)別計(jì)算機(jī)系統(tǒng)中的一些核心程序究竟有沒有受到惡意破壞或攻擊，又能確保數(shù)據(jù)傳輸?shù)耐暾院桶l(fā)送數(shù)據(jù)的不可否認(rèn)性等。

留下數(shù)字簽名程序

正常情況下，那些經(jīng)過數(shù)字簽名認(rèn)證的程序是安全、可靠的，沒有經(jīng)過數(shù)字簽名的程序存在這樣或那樣的問題，將其下載安裝到計(jì)算機(jī)系統(tǒng)中，或許會(huì)給系統(tǒng)的安全運(yùn)行帶來影響。所以，建議只留下數(shù)字簽名程序，盡可能趕走所有沒有數(shù)字簽名的程序，真正杜絕一切安全隱患。

圖1 文件簽名驗(yàn)證

圖2 驅(qū)動(dòng)程序驗(yàn)證程序管理器

留下數(shù)字簽名程序，必須先弄清楚本地系統(tǒng)中，究竟有哪些程序是數(shù)字簽名程序，還有哪些程序沒有經(jīng)過數(shù)字簽名。在Windows 7系統(tǒng)環(huán)境下，使用系統(tǒng)自帶的“Verifier”命令，就能快速找到未經(jīng)數(shù)字簽名的程序，具體操作為：逐一點(diǎn)選“開始”、“運(yùn)行”命令，展開系統(tǒng)運(yùn)行對(duì)話框，輸 入“Sigverif”命令，進(jìn)入如圖1所示的設(shè)置界面。單擊“開始”按 鈕，Windows 7系統(tǒng)就會(huì)智能掃描分析系統(tǒng)中的所有程序文件，掃描操作結(jié)束后，從對(duì)應(yīng)命令返回的結(jié)果界面中，可以直觀地看到所有未經(jīng)數(shù)字簽名的程序。

如果只想尋找本地系統(tǒng)中未經(jīng)數(shù)字簽名的設(shè)備驅(qū)動(dòng)程序時(shí)，也能通過“Verifier”命令來完成對(duì)設(shè)備驅(qū)動(dòng)程序的快速識(shí)別，只要在系統(tǒng)運(yùn)行對(duì)話框中，執(zhí)行“Verifier”字符串命令，在其后彈出的設(shè)置窗口中，勾選“創(chuàng)建標(biāo)準(zhǔn)設(shè)置”選項(xiàng)，同時(shí)點(diǎn)擊“下一步”按鈕，切換到如圖2所示的設(shè)置界面，在這里會(huì)看到該命令為用戶提供了不少功能選項(xiàng)。在默認(rèn)狀態(tài)下，目標(biāo)命令會(huì)勾選“自動(dòng)選擇未經(jīng)簽名的驅(qū)動(dòng)程序”選項(xiàng)，來搜索識(shí)別本地系統(tǒng)中的所有設(shè)備驅(qū)動(dòng)程序有沒有經(jīng)過數(shù)字簽名認(rèn)證。

識(shí)別數(shù)字簽名真假

為了不讓各種安全工具輕易識(shí)別到，很多狡猾的病毒、木馬程序，常常會(huì)通過假冒數(shù)字簽名的方式，躲避安全工具的掃描搜索操作。如何才能有效識(shí)別出數(shù)字簽名的真假情況呢？在“SREng”安全工具的配合下，通過在本地系統(tǒng)中安裝“文件數(shù)字簽名驗(yàn)證程序”插件，就能輕松掃描分析出本地系統(tǒng)中所有程序的數(shù)字簽名內(nèi)容，同時(shí)能有效識(shí)別出其真假。

首先下載安裝好“SREng”工具，進(jìn)入該工具的安裝路徑窗口，用鼠標(biāo)雙擊其中的“plugins”子目錄，之后對(duì)“文件數(shù)字簽名驗(yàn)證程序”插件程序進(jìn)行解壓，并將解壓內(nèi)容釋放到對(duì)應(yīng)子目錄中。接著啟動(dòng)運(yùn)行“SREng”工具，單擊主操作界面中的“擴(kuò)展”按鈕，找到并雙擊“文件數(shù)字簽名驗(yàn)證程序”，啟動(dòng)運(yùn)行對(duì)應(yīng)插件程序。這時(shí)會(huì)彈出特定插件對(duì)話框，點(diǎn)擊“選擇目標(biāo)”按鈕，切換到文件夾瀏覽對(duì)話框，將保存各類程序的文件夾導(dǎo)入進(jìn)來，比方說，要識(shí)別系統(tǒng)文件夾中的各個(gè)程序數(shù)字簽名是否為真時(shí)，只要導(dǎo)入添加“C:Windowssystem”、“C:Windowssystem32”等特定文件夾，再點(diǎn)擊“開始掃描”按鈕，那么目標(biāo)插件程序就能一邊搜索分析，一邊識(shí)別顯示掃描結(jié)果了。

如果是特定系統(tǒng)程序的數(shù)字簽名搜索分析結(jié)果返回為“0x00000000”時(shí)，意味著對(duì)應(yīng)程序的數(shù)字簽名是真實(shí)有效的。反之，當(dāng)返回結(jié)果為“0x800b0100”時(shí)，那就表示對(duì)應(yīng)系統(tǒng)程序的數(shù)字簽名不是真實(shí)有效的，發(fā)生這種問題的原因：一是特定系統(tǒng)程序根本就沒有數(shù)字簽名，二是對(duì)應(yīng)數(shù)字簽名雖然存在但明顯狀態(tài)異常。如果某個(gè)程序的數(shù)字簽名，被“文件數(shù)字簽名驗(yàn)證程序”插件智能識(shí)別為“0x800b0100”時(shí)，那多半是系統(tǒng)程序已經(jīng)受到惡意程序的破壞，或者特定程序文件本身就是惡意程序，為了安全考慮，建議立即刪除它們，避免它們威脅系統(tǒng)安全運(yùn)行。

當(dāng)然，如果手頭沒有“文件數(shù)字簽名驗(yàn)證程序”之類的外力工具時(shí)，也能通過Microsoft MVP設(shè) 計(jì)的“FileDigitalSignVerify”程序，快速識(shí)別特定程序的數(shù)字簽名真假情況。例如，要識(shí)別本地系統(tǒng)中的注冊(cè)表編輯程序數(shù)字簽名是否真實(shí)有效時(shí)，只要先將“FileDigitalSignVerify”程序安裝到計(jì)算機(jī)系統(tǒng)中，接著以系統(tǒng)管理員權(quán)限打開DOS命令行窗口，在該窗口中輸入“FileDigitalSignverify.EXE%SystemRoot%system32 egedit.exe -p”命令，要是命令返回“0x00000000”結(jié)果信息，那就意味著注冊(cè)表編輯程序的數(shù)字簽名是真實(shí)的，要是返回“0x800b0100”結(jié)果信息，那就表示對(duì)應(yīng)程序數(shù)字簽名是假冒的。

強(qiáng)制使用數(shù)字簽名

在低版本W(wǎng)indows系統(tǒng)環(huán)境中，將一些未經(jīng)數(shù)字簽名的舊設(shè)備驅(qū)動(dòng)程序安裝到計(jì)算機(jī)中，系統(tǒng)不會(huì)出現(xiàn)任何安全警告提示，也不會(huì)強(qiáng)行終止驅(qū)動(dòng)安裝操作，這樣一來這些未經(jīng)數(shù)字簽名的驅(qū)動(dòng)程序，日后能成為系統(tǒng)安全運(yùn)行的“定時(shí)炸彈”。為了排除這類安全隱患，可以對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行如下設(shè)置操作，強(qiáng)制安裝到系統(tǒng)中的各類應(yīng)用程序，必須使用數(shù)字簽名技術(shù)：

逐一點(diǎn)選“開始”、“運(yùn)行”命令，展開系統(tǒng)運(yùn)行文本框，在其中執(zhí)行“gpedit.msc”命 令，打開系統(tǒng)組策略編輯窗口。在該編輯窗口左側(cè)顯示區(qū)域中，依次選中“本地計(jì)算機(jī)策略”、“用戶配 置”、“管理模板”、“系統(tǒng)”、“驅(qū)動(dòng)程序安裝”節(jié)點(diǎn)選項(xiàng)，找到該節(jié)點(diǎn)下的“設(shè)備驅(qū)動(dòng)程序的代碼簽名”組策略選項(xiàng)，并用鼠標(biāo)雙擊之，彈出對(duì)應(yīng)選項(xiàng)設(shè)置對(duì)話框（如圖3所示），勾選“已啟用”選項(xiàng)，激活“當(dāng)Windows檢測(cè)到一個(gè)沒有數(shù)字簽名的驅(qū)動(dòng)程序文件時(shí)”選項(xiàng)。

接著點(diǎn)擊該選項(xiàng)位置處的下拉按鈕，從下拉列表中大家能看到“忽略”、“警告”、“阻止”等選項(xiàng)，如果選中“警告”選項(xiàng)，那么一旦系統(tǒng)中出現(xiàn)了未經(jīng)數(shù)字簽名的舊設(shè)備驅(qū)動(dòng)程序時(shí)，計(jì)算機(jī)系統(tǒng)會(huì)出現(xiàn)相關(guān)安全警告提示；如果不希望未經(jīng)數(shù)字簽名的舊設(shè)備驅(qū)動(dòng)程序在系統(tǒng)中“落戶”時(shí)，可以選中“阻止”選項(xiàng)，單擊“確定”按鈕后執(zhí)行設(shè)置保存操作即可。

圖3 設(shè)備驅(qū)動(dòng)程序的代碼簽名

圖4 啟動(dòng)設(shè)置

當(dāng)然，在Windows 8系統(tǒng)環(huán)境下，也可以按照如下步驟要求對(duì)驅(qū)動(dòng)程序執(zhí)行強(qiáng)制簽名：首先在Windows 8系統(tǒng)的Metro界面中，調(diào)出系統(tǒng)Charm菜單，按下“設(shè)置”按鈕，切換到系統(tǒng)設(shè)置頁面，點(diǎn)擊“常規(guī)”選項(xiàng)卡，在對(duì)應(yīng)選項(xiàng)設(shè)置頁面勾選最后一項(xiàng)，對(duì)計(jì)算機(jī)進(jìn)行重啟。當(dāng)系統(tǒng)出現(xiàn)啟動(dòng)菜單時(shí)，選擇“疑難解答”選項(xiàng)，點(diǎn)擊高級(jí)選項(xiàng)設(shè)置頁面中“啟動(dòng)設(shè)置”按鈕，將如圖4所示中的“禁用驅(qū)動(dòng)程序強(qiáng)制簽名”選項(xiàng)取消選中即可。

提示數(shù)字簽名安全

用戶賬號(hào)控制功能，也稱為UAC功能，它是新版本系統(tǒng)為增強(qiáng)安全防范水平，而設(shè)計(jì)集成在Windows系統(tǒng)中的一項(xiàng)安全新技術(shù)，該技術(shù)會(huì)對(duì)存在安全風(fēng)險(xiǎn)的一些操作提出警告提示，同時(shí)要求用戶需要擁有相關(guān)權(quán)限。此外，善于使用這項(xiàng)新技術(shù)，也能對(duì)特定程序的數(shù)字簽名是否安全作出有效的判斷。例如，當(dāng)要運(yùn)行的特定程序或進(jìn)程具有安全、可信的數(shù)字簽名信息時(shí)，用戶賬號(hào)控制功能會(huì)以綠色提示框出現(xiàn)；當(dāng)特定程序或進(jìn)程雖然擁有數(shù)字簽名信息，但系統(tǒng)認(rèn)為該數(shù)字簽名是陌生信息時(shí)，用戶賬號(hào)控制功能會(huì)以黃色提示框出現(xiàn)；當(dāng)特定程序或進(jìn)程沒有數(shù)字簽名，或者雖然擁有數(shù)字簽名信息，但系統(tǒng)認(rèn)為該數(shù)字簽名是不安全時(shí)，用戶賬號(hào)控制功能會(huì)以紅色提示框出現(xiàn)。在默認(rèn)狀態(tài)下，用戶賬戶控制功能會(huì)將所有系統(tǒng)文件數(shù)字簽名簽署者識(shí)別為Microsoft Windows，當(dāng)掃描判斷出某個(gè)文件不存在數(shù)字簽名信息時(shí)，那系統(tǒng)會(huì)認(rèn)為對(duì)應(yīng)程序文件可能存在安全威脅，需要用戶及時(shí)采取措施進(jìn)行安全防范。

一般Windows系統(tǒng)已默認(rèn)開啟了用戶賬戶控制功能，當(dāng)看到該功能還沒有開啟時(shí)，不妨啟動(dòng)運(yùn)行：首先打開系統(tǒng)控制面板，依次雙擊該窗口中的“用戶賬戶”、“更改用戶賬戶控制設(shè)置”選項(xiàng)，彈出如圖5所示的設(shè)置界面?？纯匆苿?dòng)滑塊位于何處，一旦看到其位于“從不通知”位置處時(shí)，那就意味著用戶賬戶控制功能目前還沒有開啟運(yùn)行，這時(shí)只要將滑塊移動(dòng)到“始終通知”位置處，確認(rèn)后退出設(shè)置界面即可。

巧妙應(yīng)用數(shù)字簽名

相信很多人都會(huì)遇到在安裝了特定應(yīng)用程序后，Windows系統(tǒng)常常會(huì)擅自地智能安裝某些陌生的軟件，這種捆綁安裝的方式讓人煩不勝煩。實(shí)際上，這就是現(xiàn)在所說的流氓行為。怎樣才能拒絕這種流氓安裝行為呢？巧妙應(yīng)用數(shù)字簽名技術(shù)，就能有效拒絕讓人厭煩的流氓程序安裝行為了。

圖5 用戶賬戶控制設(shè)置

圖6本地組策略編輯器

對(duì)于應(yīng)用程序來說，數(shù)字簽名技術(shù)就是其身份證，借助數(shù)字簽名信息就能查看到程序的版本信息、開發(fā)者名稱信息等。對(duì)于特定安全工具來說，將各種非法程序的簽名信息添加到病毒庫中，就能快速有效地發(fā)現(xiàn)和刪除這些惡意程序。對(duì)于自己不想要的應(yīng)用程序，不妨打開其右鍵菜單，選擇“屬性”命令，展開對(duì)應(yīng)程序的屬性對(duì)話框。點(diǎn)選“數(shù)字簽名”選項(xiàng)，在對(duì)應(yīng)選項(xiàng)設(shè)置頁面中，按下“詳細(xì)信息”按鈕，單擊其后界面中的“查看證書”按鈕，之后在詳細(xì)信息標(biāo)簽頁面中按下“復(fù)制到文件”按鈕，依照向?qū)崾緦?dǎo)出數(shù)字簽名信息到特定文件中。

接下來依次單擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“gpedit.msc”命令并回車，打開系統(tǒng)組策略編輯界面。在該編輯界面左側(cè)列表中，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows設(shè)置”、“安全設(shè)置”、“軟件限制策略”節(jié)點(diǎn)上，要是第一次訪問該選項(xiàng)，不妨用鼠標(biāo)右鍵單擊該選項(xiàng)，選擇右鍵菜單中的“創(chuàng)建軟件限制策略”命令，之后選中右側(cè)區(qū)域的“其他規(guī)則”選項(xiàng)（如圖6所示），打開其右鍵菜單，執(zhí)行其中的“創(chuàng)建證書規(guī)則”命令，在彈出界面中選擇“瀏覽”按鈕，選擇先前導(dǎo)出的證書文件，同時(shí)將“安全級(jí)別”參數(shù)選為“不允許”選項(xiàng)，確認(rèn)后保存設(shè)置。日后當(dāng)嘗試運(yùn)行具有上述數(shù)字簽名證書的程序時(shí)，就會(huì)受到該安全策略的攔截，讓其不能正常進(jìn)行安裝操作。