不讓惡意軟件自由“落戶”

在多用戶賬號(hào)工作環(huán)境下，如果允許惡意軟件自由在計(jì)算機(jī)中安裝“落戶”，顯然是一件讓人感到十分麻煩的事情，畢竟這既不方便管理，又容易給計(jì)算機(jī)的安全運(yùn)行帶來潛在威脅。有鑒于此，我們需要采取措施，對(duì)軟件或程序的安裝操作進(jìn)行嚴(yán)格控制，堅(jiān)決不讓可能存在安全隱患的惡意軟件或陌生程序，在本地計(jì)算機(jī)中隨意“落戶”，以確保Windows系統(tǒng)的運(yùn)行，不會(huì)受到惡意軟件的干擾！

限制惡意插件自動(dòng)“落戶”

通過Windows系統(tǒng)內(nèi)置的IE瀏覽器，上網(wǎng)沖浪瀏覽信息時(shí)，我們或許會(huì)經(jīng)常看到瀏覽器彈出提示，要求用戶是否下載安裝某個(gè)陌生組件或插件，甚至有的惡意插件不經(jīng)過用戶同意，會(huì)自動(dòng)下載“落戶”到本地計(jì)算機(jī)硬盤中。那些強(qiáng)行自動(dòng)“落戶”到計(jì)算機(jī)中的惡意插件，大多都是潛藏在網(wǎng)頁(yè)背后的網(wǎng)絡(luò)病毒和木馬程序，如果允許它們自由“落戶”，將會(huì)給本地系統(tǒng)引起不必要的安全麻煩。為了遠(yuǎn)離惡意插件的攻擊，我們可以進(jìn)行如下設(shè)置操作，拒絕惡意插件程序通過IE瀏覽器窗口，自動(dòng)下載“落戶”到本地硬盤中：

首先按下“Win+R”快捷功能鍵，調(diào)用系統(tǒng)運(yùn)行文本框，輸入“gpedit.msc”字符串命令，單擊“確定”按鈕后，切換到系統(tǒng)組策略控制臺(tái)窗口。在該窗口左側(cè)樹形圖中，依次跳轉(zhuǎn)到“本地計(jì)算機(jī)策略”|“計(jì)算機(jī)配置”|“管理模板”|“Windows組件”|“Internet Explorer”組策略節(jié)點(diǎn)上。

其次找到目標(biāo)節(jié)點(diǎn)下面的“禁用Internet Explorer組件的自動(dòng)安裝”組策略選項(xiàng)，用鼠標(biāo)雙擊該選項(xiàng)，彈出如圖1所示的組策略選項(xiàng)設(shè)置框，檢查“已啟用”選項(xiàng)是否處于選中狀態(tài)，如果發(fā)現(xiàn)其沒有被選中時(shí)，應(yīng)該及時(shí)將其重新選中，確認(rèn)后退出設(shè)置對(duì)話框。這樣日后潛藏在網(wǎng)頁(yè)背后的一些惡意組件或插件程序，就不能偷偷在本地硬盤中自由“落戶”了，那么Windows系統(tǒng)的運(yùn)行安全就能得到改善了。

監(jiān)控?cái)r截惡意軟件“落戶”

在公共場(chǎng)合下，一些不自覺的用戶為了達(dá)到測(cè)試目的，往往會(huì)偷偷下載安裝一些未知安全的軟件，這樣的安裝操作很容易造成系統(tǒng)死機(jī)或癱瘓。為了確保公用計(jì)算機(jī)的運(yùn)行穩(wěn)定性，我們需要對(duì)陌生軟件的安裝操作進(jìn)行監(jiān)控，一旦探測(cè)到存在安裝行為時(shí)，必須在第一時(shí)間進(jìn)行攔截。要做到這一點(diǎn)，不妨請(qǐng)“Stop Installation Tool”這款外力工具來幫忙，只要對(duì)它進(jìn)行合適配置，就能輕松對(duì)所有未知軟件的安裝動(dòng)作進(jìn)行智能監(jiān)控和攔截，甚至還能對(duì)卸載動(dòng)作進(jìn)行攔截，謹(jǐn)防惡意用戶隨意安裝和卸載程序。

打開“Stop Installation Tool”程序的主操作窗口，從左側(cè)功能按鈕列表中（如圖2所示），按下“Program Options”功能按鈕，在對(duì)應(yīng)功能選項(xiàng)設(shè)置區(qū)域，單擊“Password”按鈕，設(shè)置好目標(biāo)工具的關(guān)閉或激活密碼。為提高操作效率，也可以在“Define the Hot Keys to activate application”位置處，為目標(biāo)工具設(shè)置一個(gè)合適的激活快捷鍵，程序默認(rèn)使用的快捷鍵為“Ctrl+Alt+C”，日后無論在關(guān)閉程序還是激活程序時(shí)，都要輸入管理密碼。

在缺省狀態(tài)下，“Stop Installation Tool”程序一旦探測(cè)到本地計(jì)算機(jī)中存在軟件安裝動(dòng)作時(shí)，會(huì)自動(dòng)出現(xiàn)攔截對(duì)話框，只要輸入之前設(shè)置的管理密碼，才能繼續(xù)進(jìn)行軟件安裝操作，不然的話目標(biāo)程序會(huì)強(qiáng)行停止軟件安裝操作。如果不希望別人知道軟件安裝攔截行為時(shí)，可以在上面的程序選項(xiàng)設(shè)置區(qū)域中，將“Show the password window to allow software installation”選項(xiàng)取消選中，這樣目標(biāo)工具日后探測(cè)到計(jì)算機(jī)中存在軟件安裝動(dòng)作時(shí)，會(huì)直接停止軟件安裝操作，而不會(huì)彈出攔截提示框。在關(guān)閉攔截提示框的情況下，我們可以定期按下“Log File”按鈕，來查看目標(biāo)工具的攔截日志信息，在日志記錄中能了解到它究竟攔截了哪些軟件的安裝操作。

“Stop Installation Tool”程序之所以能夠在默認(rèn)狀態(tài)下，成功攔截一些軟件的安裝操作，主要是它已經(jīng)針對(duì)所有可能使用的安裝軟件名稱，定義了對(duì)應(yīng)的安全監(jiān)控規(guī)則。如果希望該工具可以攔截特殊軟件的安裝操作時(shí)，必須要修改它的文件類型設(shè)置。點(diǎn)擊主操作界面中的“File Masks”功能按鈕，在該功能選項(xiàng)設(shè)置區(qū)域，選擇“Disabled Files”標(biāo)簽，切換到禁止安裝文件類型列表，在這里，我們看到目標(biāo)工具已經(jīng)定義了幾種常見的軟件安裝文件類型名稱，例如*.msi、*install*.exe、*setup*.exe、*update*.exe等類型。如果希望目標(biāo)工具能自動(dòng)攔截其他特殊類型的安裝軟件時(shí)，可以點(diǎn)擊這里的“Add”按鈕，彈出添加文件類型對(duì)話框，將新格式的文件類型名稱和說明信息設(shè)置好即可。值得注意的是，該軟件還支持對(duì)軟件卸載操作的規(guī)則進(jìn)行設(shè)置，以防止惡意用戶自由卸載本地計(jì)算機(jī)中的應(yīng)用軟件。比方說，手工添加“*uninstall*.exe”文件類型時(shí)，目標(biāo)工具日后就能對(duì)所有軟件名稱中存在“uninstall.exe”關(guān)鍵字的軟件卸載動(dòng)作，執(zhí)行監(jiān)控和攔截。

為了讓上述配置適用于特定用戶賬號(hào)，我們還要點(diǎn)擊主操作界面中的“Users Control”功能按鈕，切換到“PC Users”列表中，通過“Add”或“Remove”按鈕，添加或刪除合適的用戶賬號(hào)，之后在“Apply restrictions for users”位置處，將“All PC users”選項(xiàng)選中，這樣“Stop Installation Tool”程序的安全配置信息將會(huì)對(duì)本地計(jì)算機(jī)中的所有用戶適用。如果將“Only for users in the list”選項(xiàng)選中，那么目標(biāo)工具的安全規(guī)則僅對(duì)列表中的用戶賬號(hào)適用，如果將“For all except in the list”選項(xiàng)選中，那么安全規(guī)則僅對(duì)列表之外的用戶賬號(hào)適用。

不讓未知驅(qū)動(dòng)軟件“落戶”

為了保證系統(tǒng)運(yùn)行穩(wěn)定，Windows系統(tǒng)可能會(huì)對(duì)設(shè)備的驅(qū)動(dòng)軟件進(jìn)行徽標(biāo)測(cè)試，只有通過徽標(biāo)測(cè)試的驅(qū)動(dòng)軟件，才能正常安裝到本地計(jì)算機(jī)中。對(duì)于那些沒有通過徽標(biāo)測(cè)試的未知驅(qū)動(dòng)軟件，必須想辦法拒絕它們?cè)诒镜叵到y(tǒng)安裝“落戶”，因?yàn)樗鼈兛赡軙?huì)破壞計(jì)算機(jī)系統(tǒng)的運(yùn)行穩(wěn)定性。在Windows 2008系統(tǒng)環(huán)境下，要想禁止那些沒有通過徽標(biāo)測(cè)試的未知驅(qū)動(dòng)軟件“落戶”，可以按照如下步驟，來開啟Windows系統(tǒng)的徽標(biāo)測(cè)試功能：

首先以系統(tǒng)管理員權(quán)限登錄Windows 2008系統(tǒng)，逐一選擇“開始”|“運(yùn)行”選項(xiàng)，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入字符串命令“services.msc”，單擊“確定”按鈕后，切換到系統(tǒng)服務(wù)列表界面。

從中找到“Cryptographic Services”服務(wù)選項(xiàng)，并用鼠標(biāo)雙擊之，彈出對(duì)應(yīng)服務(wù)選項(xiàng)設(shè)置框，在常規(guī)標(biāo)簽頁(yè)面中（如圖3所示），我們能直觀地看到目標(biāo)系統(tǒng)服務(wù)的開啟狀態(tài)是否正常。如果發(fā)現(xiàn)該服務(wù)沒有啟動(dòng)運(yùn)行時(shí)，必須先點(diǎn)擊“啟動(dòng)”按鈕，重新開啟“Cryptographic Services”服務(wù)的運(yùn)行狀態(tài)，以強(qiáng)制Windows系統(tǒng)對(duì)安裝在計(jì)算機(jī)中的驅(qū)動(dòng)軟件，執(zhí)行徽標(biāo)測(cè)試操作。接著，為了保證該系統(tǒng)服務(wù)日后能自動(dòng)啟動(dòng)運(yùn)行，我們還需要將它的啟動(dòng)類型設(shè)置為“自動(dòng)”，確認(rèn)后退出設(shè)置對(duì)話框，這樣那些沒有通過徽標(biāo)測(cè)試的驅(qū)動(dòng)軟件，嘗試安裝到本地計(jì)算機(jī)時(shí)，系統(tǒng)會(huì)自動(dòng)彈出“無法通過系統(tǒng)徽標(biāo)測(cè)試”之類的提示信息，來阻止它們“落戶”到Windows 2008系統(tǒng)中。

不讓特定標(biāo)題軟件“落戶”

有些惡意軟件為了躲避用戶的攔截，其安裝文件名稱中可能并不存在“setup”、“install”、“update”等關(guān)鍵字，可是它們的安裝向?qū)Т翱跇?biāo)題欄中，可能會(huì)出現(xiàn)一些惡意軟件常有的特征，例如安裝向?qū)Т翱跇?biāo)題中或許會(huì)有“攻擊”、“入侵”等字眼。為了不讓特定標(biāo)題軟件安裝“落戶”到本地計(jì)算機(jī)硬盤中，我們可以使用“Install-Block”這款外力工具，來追蹤監(jiān)控活動(dòng)窗口的標(biāo)題名稱，一旦捕捉到關(guān)鍵字眼時(shí)，就認(rèn)定它為惡意軟件，并對(duì)它的安裝操作進(jìn)行強(qiáng)行攔截。

開啟“Install-Block”工具的運(yùn)行狀態(tài)，打開如圖4所示的主操作界面，單擊該界面左側(cè)列表中的“Black List”選項(xiàng)，在對(duì)應(yīng)選項(xiàng)右側(cè)設(shè)置區(qū)域，我們會(huì)看到目標(biāo)工具的黑名單信息，只要待安裝軟件窗口標(biāo)題中的關(guān)鍵字出現(xiàn)在這里的黑名單中，那么目標(biāo)工具就會(huì)認(rèn)為它是惡意軟件，并會(huì)對(duì)它的安裝操作進(jìn)行自動(dòng)攔截。

例如，現(xiàn)在要對(duì)安裝窗口標(biāo)題中存在“攻擊”字樣的軟件安裝操作進(jìn)行自動(dòng)攔截時(shí)，可以點(diǎn)擊黑名單設(shè)置區(qū)域中的“Add”按鈕，彈出關(guān)鍵字添加對(duì)話框，輸入“攻擊”標(biāo)題名稱并進(jìn)行確認(rèn)即可。倘若同時(shí)選中這里的“Must match window title exactly”選項(xiàng)，那么日后待安裝軟件的標(biāo)題名稱必須和這里設(shè)置的黑名單關(guān)鍵字完全匹配，目標(biāo)工具才會(huì)認(rèn)為它是惡意軟件，并會(huì)對(duì)它的安裝操作進(jìn)行自動(dòng)攔截。

為了不讓軟件安裝攔截操作被人發(fā)現(xiàn)，我們可以點(diǎn)擊主操作界面左側(cè)列表中的“Advanced”選項(xiàng)，在對(duì)應(yīng)該選項(xiàng)的右側(cè)設(shè)置區(qū)域，選中“Don't show the prompt when blocking a windows”選項(xiàng)，這樣“Install-Block”工具日后一旦探測(cè)到特定標(biāo)題軟件在安裝時(shí)，會(huì)強(qiáng)行將安裝向?qū)Т翱陉P(guān)閉，而不會(huì)出現(xiàn)密碼驗(yàn)證對(duì)話框。此外，還需要進(jìn)入“General”功能設(shè)置區(qū)域，選中“Don't show the Install-Block icon in the notification area”選項(xiàng)，將系統(tǒng)任務(wù)欄右下方的“Install-Block”工具快捷圖標(biāo)隱藏起來。

當(dāng)然，不管怎么小心，軟件安裝攔截行為都有可能被人發(fā)現(xiàn)，為了防止別人通過卸載“Install-Block”工具的方法，來躲避軟件安裝攔截操作，我們也要為目標(biāo)工具設(shè)置好管理密碼，日后只有正確輸入預(yù)先設(shè)定的管理密碼，才能進(jìn)行正常的軟件安裝操作或程序配置操作?！癐nstall-Block”工具默認(rèn)使用的管理密碼為“admin”，如果要修改密碼時(shí)，可以點(diǎn)擊主操作界面中的“General”按鈕，在對(duì)應(yīng)功能設(shè)置區(qū)域按下“Change Password”按鈕（如圖5所示），切換到密碼修改對(duì)話框，選中“Config”選項(xiàng)，就能修改目標(biāo)工具的管理密碼，如果選中“Unblock”選項(xiàng)，那可以修改軟件安裝認(rèn)證密碼，設(shè)置好新的密碼內(nèi)容后，需要再次點(diǎn)擊“Change Password”按鈕，才能讓新的密碼生效。

如果希望計(jì)算機(jī)系統(tǒng)在重新啟動(dòng)之后，“Install-Block”工具仍然可以自動(dòng)攔截特定標(biāo)題軟件，那么需要點(diǎn)擊主操作界面中的“Startup”按鈕，進(jìn)入到程序啟動(dòng)設(shè)置區(qū)域（如圖6所示），選中“Load at system start for all users”選項(xiàng)，強(qiáng)制該工具可以跟隨所有用戶賬號(hào)一起啟動(dòng)運(yùn)行。如果只想讓目標(biāo)工具跟隨特定用戶賬號(hào)一起啟動(dòng)運(yùn)行時(shí)，可以選中“Load at system start for select users”選項(xiàng)，之后按下“Edit User List”按鈕，將特定的用戶賬號(hào)選中并導(dǎo)入進(jìn)來。