最近筆者在Windows 7系統(tǒng)運(yùn)行中發(fā)現(xiàn),以往那些應(yīng)用程序有的能夠正常運(yùn)行,有些則被系統(tǒng)禁運(yùn)了! 這是為什么呢?經(jīng)過(guò)研究學(xué)習(xí)終于明白。
有些應(yīng)用程序在Windows 7下無(wú)法啟動(dòng),這種情形其實(shí)在Windows Vista中已有所表現(xiàn),這是由于Vista系統(tǒng)內(nèi)核采取了名為WFP(Windows File Protection)的文件保護(hù)機(jī)制所致,出于安全考慮系統(tǒng)改動(dòng)了有關(guān)文件的 ACL (允許訪問(wèn)列表),僅僅對(duì)于所謂TrustedInstaller級(jí)別的用戶給予文件的全權(quán)訪問(wèn),而在Windows 7中這種保護(hù)機(jī)制進(jìn)一步加強(qiáng),出現(xiàn)了所謂 WRP(Windows Resource Protection),這種安全機(jī)制導(dǎo)致的后果之一就是讓以往的有些應(yīng)用程序出現(xiàn)與當(dāng)前系統(tǒng)不兼容的癥狀,對(duì)此問(wèn)題能解決嗎?答案是肯定的。
圖1 兼容欄目下拉列表
為此,首先不妨了解清楚哪些應(yīng)用在Windows 7被禁運(yùn),具體查看方式為:打開“控制面板”后點(diǎn)擊“程序”欄目,點(diǎn)擊名為“Run programs made for previous version of Windows”的超鏈接,然后擴(kuò)展“高級(jí)”選項(xiàng)并取消自動(dòng)修復(fù)選項(xiàng),點(diǎn)擊“下一步”;瀏覽所有程序,找到希望運(yùn)行的那個(gè)程序,比如某個(gè)Windows XP系統(tǒng)補(bǔ)丁包,點(diǎn)擊“下一步”按鈕后會(huì)出現(xiàn)系統(tǒng)提示信息,但老實(shí)說(shuō)這些信息對(duì)于我們解決這一問(wèn)題很難有多少幫助,但是為了讓該程序能夠重新啟用,可以將其設(shè)置為兼容模式。其具體操作方式為:右擊該程序后從屬性菜單中切換到兼容欄目,然后從下拉列表中選擇舊的操作系統(tǒng)即可,如圖1所示。
我們?cè)趯?shí)際工作中還會(huì)遇到相反的情形,即:對(duì)于有些應(yīng)用,雖然Windows 7允許它們正常運(yùn)行,但是出于具體工作尤其是安全要求,希望將它們禁運(yùn),此時(shí)我們同樣能夠辦到。實(shí)現(xiàn)方法就是通過(guò)活動(dòng)目錄的軟件約束策略SRP(software restriction policy),需要指出的是SRP針對(duì)的是機(jī)器而并非用戶。為此我們打開組策略編輯器“gpedit.msc”后鎖定以下選項(xiàng):
現(xiàn)在需要新建一個(gè)策略,為此右點(diǎn)上述選項(xiàng)后 選 取“New Software Restriction Policies”選項(xiàng),然后就會(huì)看到以下三級(jí)安全選項(xiàng):
1.Disallowed——默認(rèn)時(shí)不運(yùn)行任何軟件,只有例外軟件可運(yùn)行;
2.No software runs by Basic User——允許所有軟件在沒(méi)有管理員權(quán)限時(shí)也可運(yùn)行;
3.Unrestricted—— 所有軟件都可運(yùn)行,除非指定某個(gè)軟件不許運(yùn)行。
此時(shí)右擊第3個(gè)選項(xiàng),選擇其為默認(rèn)方式。接著,我們需要進(jìn)入規(guī)則設(shè)置環(huán)節(jié)去添加新規(guī)則,此時(shí)可以看到有如下四個(gè)規(guī)則選項(xiàng):
1.Hash——勾選禁止的哈希列表;
2.Certificate——采用數(shù)字認(rèn)證方式阻止應(yīng)用程序運(yùn)行;
3.Path——禁止全路徑應(yīng)用運(yùn)行;
4.Zone——采用數(shù)據(jù)流方式查看文件下載來(lái)源,并禁止其直接顯示相關(guān)信息。
這里我們選擇第一種規(guī)則選項(xiàng),即hash規(guī)則。我們不妨將系統(tǒng)允許正常運(yùn)行的畫圖程序設(shè)置為禁運(yùn),為此點(diǎn)擊瀏覽按鈕找到如下程序:
當(dāng)規(guī)則生效后,我們?cè)俅螄L試運(yùn)行畫圖程序時(shí),就會(huì)遇到以下禁運(yùn)信息,如圖2所示。
圖2 禁運(yùn)信息
文末,筆者想要補(bǔ)充說(shuō)明的是,有些惡意代碼往往在系統(tǒng)啟動(dòng)之初就會(huì)運(yùn)行,為了防止這種陰謀得逞,管理員往往通過(guò)運(yùn)行工具命令“MSConfig”將某些不明程序加以禁用。但魔高一丈的是,有些惡意代碼會(huì)在“MSConfig”啟動(dòng)欄中消失,但是卻無(wú)法躲過(guò)注冊(cè)表,其在注冊(cè)表的具體位置如下所列:
其中,蜂巢HKEY_LOCAL_MACHINE指的是該機(jī)器上所有用戶都會(huì)執(zhí)行,而蜂巢HKEY_CURRENT_USER 表示只限當(dāng)前用戶可執(zhí)行。