当前位置:首页>笔记本反病毒>

Windows自带防火墙中基本用户的利用

来源: 择爱本 2009-05-29 作者:吴升

  Windows XP的软件限制策略默认有两个。但事实上,微软还隐藏了一个安全级别——基本用户。什么是基本用户呢?它是一种介于系统管理员和受限账户之间的用户权限,类似Vista中的标准用户,拥有大部分权限,可以读写注册表的【HKEY_CURRENT_USERl字段,但却无法修改【HKEY_LOCAL_MACHINEl字段。微软官方的解释是它“允许程序访问一般用户可以访问的资源、但没有管理员或Power User的访问权。”

  启用这个“基本用户”的方法实际上也很简单,打开注册表编辑器,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\POlicies\Microsoft\windows\

  Safer\CodeIdentifiers],新建一个名为“Levels”的DWORD值,数值设置为十进制的131072。关闭注册表编辑器,重新打开本地安全设置就能看到新添加的“基本用户”安全级别了。

  用Windows自带防火墙中基本用户保护IE

  那么这个“基本用户”有什么作用呢?正如它所拥有的权限是介于管理员与受限用户之间的,我们可以用这个安全级别来加载IE浏览器,以杜绝恶意网站通过IE强行修改系统设置,因为即使此时用户为管理员权限,但IE依然工作在“基本用户”权限下。添加规则的方法与以前介绍的相似:

  第1步:在“其他规则”上点击鼠标右键。选择“新路径规则”,在打开的窗口中的路径栏里输入“%ProgramFiles%\Internet Explorer\iexplore.exe”(IE浏览器软件的位置,也可通过右侧的“浏览”按钮来设置),然后在“安全级别”中选择“基本用户”。

  第2步:点击“确定”保存退出。然后单击“开始→运行”打开运行对话框,输入“gpupdate/force”(不含引号),按回车键执行,即可刷新刚刚设置的策略。下次不论以何种方式打开IE浏览器,它都工作在“基本用户”下,当然上网就安全多了。其他软件(或者第三方浏览器软件)要在基本用户权限下运行。设置方法与上相同。

  小提示:用“基本用户”方式启动IE浏览器和使用“受限“账户启动IE浏览器的区别就在于,受限账户无法访问收藏夹等用户的个性化设置,而“基本用户“则没有这些限制,这就在用户方便和安全防护之间达成了很好的平衡,对于普通家庭用户而言,无疑“基本用户”更有现实意义。

  莫让临时文件夹成病毒温床

  系统的临时文件夹。可以说是病毒和木马的温床。如果我们霸道地直接禁止运行临时文件夹中的程序。则可能导致大量的安装程序或者使用自解压方式制作的绿色软件无法正常运行。所以,我们可以对临时文件夹及其子文件夹也使用“基本用户”安全等级,这样就可以保证大多数的程序能正常运行,而需要修改系统设置的病毒却无法正常工作。要实现这个目的,我们需要添加两条策略:

  %USERPROFILE%\Local Settings\Temp\*.* 基本用户

  %USERPROFILE%\Local Settings\Temp\**\*.* 基本用户

  修改了软件限制策略后,在运行对话框执行“gpupdate/force”命令刷新策略使其生效即可。

  有些人在运行这条命令时发现刷新策略的对话框一闪而过,很快就结束了,而且策略也并没有生效。这时,我们可以通过以下方法解决:打开本地安全设置,切换到软件限制策略的安全级别页,在“不允许的”上点击鼠标右键,“设置为默认”,在弹出的警告对话框中点“确定”,然后再如法炮制把默认安全级别改回“不受限的”,这时再运行“gpupdate/force”就正常了。刷新策略时系统资源占用率会暂时升高,持续时间一般在几秒钟,由策略的多少而定,正常刷新后策略便真正的生效了。来吧,让我们尽情享受微软送给你的这款免费“防火墙”吧!


 相关信息


 信息搜索

 编辑推荐
Copyright © 2009 ZEINB All rights reserved 择爱本 版权所有