面对朋友借笔记本,害怕本本中一些重要的文件(很多笔者开发的软件系统)被删除,即使用数据恢复软件也不一定能够全部找回来。面对如此情况该如何防范呢?以下是笔者想的几个办法,希望能给遇到相同情况的朋友多一点选择。
一、隐藏文件:
最简单的方法应该是隐藏你需要保护的文件了,我首先想到的就是这个办法,首先在需要隐藏的文件夹上点击右键,选择“属性”,打开文件夹属性窗口,将隐藏属性选中。接着,选择菜单栏中的“工具->文件夹选项”,打开文件夹选项窗口,切换到“查看”,将“不显示隐藏的文件和文件夹”选中。
二、限制访问权限:
比隐藏文件夹更好的一个方法应该算是限制文件夹的访问权限了,WindowsXP是支持多用户的操作系统,我们可以新建一个用户,而限制其中的一些想保护的文件夹或程序。首先需要说明的一点是,你需要保护的文件夹或程序应存放在NTFS格式的文件系统上,下面就以QQ游戏为例,介绍具体设置步骤:
1、首先我们需要关闭系统的“简单文件共享”选项(如果是开启的话),以Administrator帐户登陆操作系统,以获得系统的最高权限,将其关闭。双击桌面“我的电脑”,打开Windows浏览器窗口,选择点击“工具”菜单下的“文件夹选项”,点击“查看”选项页,取消“使用简单文件共享”选项的选择,点击“确定”保存修改;
2、按照QQGAME的安装路径,例如:C:\Program Files\Tencent\QQGAME,找到QQGAME文件夹,然后点击右键,选择“属性”;
3、点击“安全”选项页,可以看到Users组的用户对该文件夹具有读取和运行的权限,点击“高级”,打开文件夹高级安全设置窗口;
4、取消“从父项继承那些可以应用到子对象的权限项目,包括那些再次明确定义的项目”选项的选择,在弹出的提示信息对话框,点击“复制”,此时可以看到用户所具有的权限改为不继承的(见图3 文件夹高级安全设置);
5、最后点击“确定”,返回属性窗口,在“用户或组名称”列表中,选择Users项目,点击“删除”,点击“确定”,完成权限的设置。
通过以上的设置,将取消Users用户对QQGAME文件夹的访问,但是这里需要再次提醒大家的是,此项功能的使用必须依赖文件系统NTFS格式,那对于FAT/FAT32格式的分区,不能应用文件及文件夹的安全选项,有没有办法可以限制访问呢?我们可以使用另外一个变通的方法,设置计算机的策略来禁止运行指定的应用程序。
三、启用策略:
熟悉Windows策略的朋友也许还记得,在Windows组策略中有一个叫做“不要运行指定的Windows应用也许程序”的策略,通过启用该策略并添加相应的应用程序,就可以限制用户运行这些应用程序。具体设置方法如下:
1、依次选择“开始->运行”,输入“gpedit.msc”命令,启动组策略编辑器,另外一种打开的方法是,运行mmc命令启动控制台,并将“组策略”管理单元加载到控制台中;
2、依次展开“本地计算机策略->用户配置->管理模板->系统”,双击右侧窗格中的“不要运行指定的Windows应用程序”策略,选择“已启用”选项,并点击“显示”(见图4 组策略);
3、点击“添加”,输入不运行运行的应用程序名称,如命令提示符“cmd.exe”,点击“确定”,此时,指定的应用程序名称添加到禁止运行的程序列表中,由于可以从“命令提示符”运行被禁止的程序,因此在设置“不要运行指定的Windows应用也许程序”策略时,要彻底的禁止某个程序的运行,首先要将cmd.exe添加到不允许运行列表中;
4、依次点击“确定”返回组策略编辑器,点击“确定”,完成设置。
当试图运行包含在不允许运行程序列表中的应用程序时,系统会提示警告信息。当自己使用时,可以将此策略改为“为配置”或将其删除。
但是这种方法的缺陷也是很明显的,因为该策略会禁止所有的用户对程序的访问,包括Administrator用户,另外需要格外提醒大家的一点,不要将组策略编辑器(gpedit.msc)添加到禁止运行程序列表中,否则会造成组策略的自锁,任何用户都将不能启动组策略编辑器,也就不能对设置的策略进行更改。
四、软件限制策略:
如果需要控制运行未知代码和不可信任代码,就需要通过设置该策略对文件和程序进行标识,将它们分为可信任和不可信任两种,通过赋予相应的安全级别来实现对程序运行的控制。软件限制策略通常使用安全级别和其他规则这两个方面的设置来完成对程序的限制。其中,安全级别被分为“不允许的”和“不受限制的”两种。其中,“不允许的”将禁止程序的运行,不论用户的权限如何,“不受限的”允许登录用户使用他所拥有的权限来运行程序。
而其它规则,则由管理员通过制定规则对指定的一批或一个文件和程序进行标识,并赋予“不允许的”或“不受限的”安全级别。在这个部分中,管理员可以制定四种类型的规则,按照优先级别分别是:散列规则、证书规则、路径规则和Internet区域规则,这些规则将对文件的访问和程序的运行提供最大限度的授权级别。软件限制策略设置过程相对前两种方法复杂许多,详细步骤如下:
1、软件限制策略:
首先我们还是需要以Administrators用户或组成员的身份登录系统,才能完成该策略的设置,作为本地安全策略的一部分,软件限制策略同时也包含在组策略中,有两种方法可以打开该策略,通过在“开始->运行”中输入“secpol.msc”或“gpedit.msc”都可以。首次打开“软件限制策略”时,默认都是空的,需要手动添加策略。可以点击“软件限制策略”使其处于选中状态,点击编辑器窗口“操作”菜单下的“新建一个策略”项目,此时可以看到“软件限制策略”下增加了“安全级别”和“其它规则”以及三条属性。
2、配置安全级别:
打开“安全级别”,在右侧窗格中,可以看到有两条设置,带有一个小对号的设置为默认设置,点击不是默认值的那条设置,单击右键,选择“设置为默认”项。当设置“不允许的”为默认值时,系统会显示一个提示信息对话框,点击“确定”即可。也可以通过双击来更改默认值的设置。
3、设置策略范围:
通过策略的“强制”属性可以设置策略应用的软件文件是否包含库文件以及作用的对象是否包含管理员账户。通常情况下,为了避免引起系统不必要的问题以及便于对系统的管理,策略的作用范围应设置为不包含库文件的所有软体文件,作用对象设置为除本地管理员外的所有用户。可以选择“强制”的“属性”来设置,相对简单,不再详述。
4、制定规则:
只设置安全级别是不能实现对文件和程序的详细控制的,必须通过制定规则才能有效控制程序的运行。
散列规则:利用散列算法计算出指定文件的散列,这个散列是唯一标识该文件的一系列定长字节。制定了散列规则后,用户访问或运行文件时,软件限制策略会根据文件的散列及安全级别来允许或阻止对该文件进行访问或运行。当文件移动或重命名,不会影响文件的散列,软件限制策略对该文件依然有效。具体制定方法如下:
(1)、打开并选择“软件限制策略”下的“其它规则”,然后在右侧窗格的空白区域单击右键,选择“新散列规则”;
(2)、单击的“浏览”按钮,选择需要限制的文件或程序(如:cmd.exe),在“文件散列”中可以看到计算出来的散列,在“文件信息”中显示文件的信息,在“安全级别”中选择“不允许的”或“不受限的”,点击“确定”,在“其它规则”右侧窗口中便可以看到新增了一条散列规则。
证书规则:利用与文件或程序相关联的签名证书进行标识。证书规则需要的证书可以是自签名的、由证书颁发机构(CA)颁发或是由Windows2000公钥机构发布。证书规则不应用于EXE文件和DLL文件,它主要应用于脚本和Windows安装程序包。当某个文件由其关联的签名证书标识后,运行该文件时,软件限制策略会根据该文件的安全级别来决定是否可以运行。文件的移动和更名不会对证书规则的应用产生影响。制定证书规则时要求能够访问到用来标识文件的证书文件(扩展名为“.cer”)。
路径规则:利用文件或程序的路径进行标识,该规则可以针对一个指定的文件、用通配符表示的一类文件或是某一路径下的所有文件及子文件夹中的文件。由于标识是由路径来完成的,当文件移动或重命名时,路径规则会失去作用。在路径规则中,根据路径范围的大小,优先级别各有高低,范围越大,优先级越低。通常路径的优先级从高到低为:指定的文件、带路径的以通配符表示的一类文件、通配符表示的一类文件、路径、上一级路径。
Internet区域规则:利用应用程序下载的Internet区域进行标识。区域主要包括:Internet、本地Intranet、本地计算机、受限制的站点、受信任的站点。该规则主要应用于Windows的安装程序包。
5、维护文件类型:
只有设置在“指派的文件类型”中的文件才能被各种规则所限制,因此需要对文件类型进行维护,方法很简单,点击“软件限制策略”,双击右侧的“指派的文件类型”,在打开的“指派的文件类型属性”窗口中即可完成对文件类型的“添加”和“删除”工作。
6、利用规则控制:
以上规则优先级从高到依次为:散列规则、证书规则、路径规则、Internet区域规则。如果有较多种规则同时作用于同一个程序,起决定作用的将是优先级最高的规则。当一种类型的多条规则作用于同一文件或程序时,起作用的将是最具限制力的规则。多种类型、同类型多条规则的搭配使用,为用户提供了非常灵活的规则指定策略。
结束语:
最后需要注销或重启才能使“软件限制策略”生效。以上四种方法中,“隐藏文件”是最简单的方法,“软件限制策略”是最复杂的方法,而“限制访问权限”和“启用策略”是比较折中的方法,正所谓“条条大路通罗马”。
