老樹新花，讓XP老本本也能與時(shí)俱進(jìn)

郭建偉

雖說現(xiàn)在的本本安裝的都是Windows 7/8/10等系統(tǒng)，不過不可否認(rèn)，還有一些老用戶依然使用XP的本本，雖然新系統(tǒng)功能強(qiáng)悍，不過XP系統(tǒng)以其簡(jiǎn)單易用，適用性極強(qiáng)，兼容性完美等特點(diǎn)，在眾多用戶心中有著不可替代的作用。一些用戶使用XP的老本本，完全可以滿足實(shí)際的工作需要，沒有必要費(fèi)錢費(fèi)力的購買新本本。當(dāng)然，這并不是說XP本本沒有缺點(diǎn)，同新版本W(wǎng)indows相比，XP確實(shí)存在很大的差距。在強(qiáng)調(diào)與時(shí)俱進(jìn)的今天，我們需要以新版本W(wǎng)indows為參照，為XP老本本增加新的技術(shù)亮點(diǎn)，提升其效能，使其更好地為我們服務(wù)。

讓XP本本實(shí)現(xiàn)代碼完整性檢測(cè)

在Windows 7/8/10等操作系統(tǒng)中，Code Integrity（代碼完整性）檢測(cè)是很實(shí)用的功能。利用該功能可以對(duì)系統(tǒng)的重要文件進(jìn)行Hash值比對(duì)，只有檢測(cè)通過才可以執(zhí)行該系統(tǒng)文件。如果新型病毒采用Rootkit技術(shù)，或者將白身偽裝成驅(qū)動(dòng)文件的話，就會(huì)在該功能面前徹底暴露。一般情況下，我們會(huì)采用文件名比對(duì)的方式，來發(fā)現(xiàn)潛伏的惡意程序。例如在不同時(shí)刻分別執(zhí)行“dir/s c：＼windows＼system＼*.* >old.txt”和“dir/s c：＼windows＼system＼*.* >new.txt”命令，來創(chuàng)建不同時(shí)刻點(diǎn)的系統(tǒng)文件信息記錄文件。之后執(zhí)行“fc old.txtnew.txt”，來發(fā)現(xiàn)增多或者減少的文件。如果病毒在系統(tǒng)路徑下創(chuàng)建新文件的話，就會(huì)顯示出來。不過該方法存在明顯的弊端，一旦病毒對(duì)原系統(tǒng)文件進(jìn)行了替換，該方法就不靈了。其實(shí)，對(duì)于基于PE結(jié)構(gòu)的可執(zhí)行文件來說，不管其后綴是什么類型（例如可以將“notepad.exe”該為“notepad.txt”），都可以采用“cmd/c文件名.后綴”的方式運(yùn)行該文件。

但是，在代碼完整性檢測(cè)面前，病毒的上述伎倆就失效了。不管病毒如何替換文件，其Hash值一定存在差異。例如，可以使用“fciv.exe”這款小工具，為XP添加代碼完整性檢測(cè)功能?？梢詫⒃摮绦驈?fù)制到系統(tǒng)路徑中，作為內(nèi)部命令來使用。這里我們主要使用該T具對(duì)系統(tǒng)關(guān)鍵文件進(jìn)行Hash值檢測(cè)。例如執(zhí)行“fciv.exe c：＼windows-r-wp-hoth-xml dh.xml”命令，就可以對(duì)“c：＼windows”路徑下的所有文件進(jìn)行Hash值檢測(cè)，并將檢測(cè)結(jié)果保存在“dh.xml”文件中，其中的“-r”參數(shù)表示執(zhí)行遞歸檢測(cè)，可以檢測(cè)所有的子文件夾?！?wp”參數(shù)表示檢測(cè)非全路徑文件名，不采用該參數(shù)表示檢測(cè)全路徑文件名?！?hoth”參數(shù)表示MD5/SHAIHash檢測(cè)，否則默認(rèn)采用MD5Hash值檢測(cè)。采用“-xml”參數(shù)表示生成XML格式的文件。以后可以定時(shí)隨時(shí)執(zhí)行“fciv.exe-v-hp c：＼mydir -shal-xml dh.xml”命令，對(duì)系統(tǒng)路徑下的文件執(zhí)行基于MD5/SHAIHash值測(cè)試，來發(fā)現(xiàn)內(nèi)容發(fā)生變動(dòng)的文件。下載地址：http：//pan.haidu.com/s/lgdy3BUV。

同“fciv.exe”相比，“fsum.exe”的工具就更加強(qiáng)大。其可以檢測(cè)多種算法的Hash值，例如CRC32算法等。該程序的參數(shù)較多，這里我們只進(jìn)行簡(jiǎn)單介紹。例如在CMD窗口中執(zhí)行“f'sum.exe-r-d c：＼windows*.*>test.txt”，可以對(duì)系統(tǒng)路徑下的所有文件進(jìn)行Hash值檢測(cè)，在實(shí)際運(yùn)行時(shí)，可以發(fā)現(xiàn)其速度明顯高于“fciv.exe”。其默認(rèn)采用的是MD5算法。以后當(dāng)發(fā)現(xiàn)系統(tǒng)m現(xiàn)異常時(shí)，可以執(zhí)行“f'sum.exe-d c：＼windows-jf -c test.txt”文件，該程序就會(huì)計(jì)算當(dāng)前系統(tǒng)路徑下所有文件的Hash值，并分別與之前測(cè)算的Hash值比對(duì)，來發(fā)現(xiàn)存在差異的文件，如果發(fā)現(xiàn)問題的話，就會(huì)提示對(duì)應(yīng)文件的出錯(cuò)信息。

同一般的Hash值檢測(cè)軟件不同，Easy Hash堪稱有最強(qiáng)大的檢測(cè)功能，這是一款綠色的免費(fèi)軟件，可以讓您輕松擁有幾乎所有校驗(yàn)算法，它支持APHash、BP Hash、CK SUM MPEG-2、FNV 0 8-1024、GHash 5、GOST、Haval 128 （3-5）、 JHash、MD-5、Murmur、Pearson Hash、RIPEMD 128等130多種校驗(yàn)算法，可以讓您更加靈活的執(zhí)行文件校驗(yàn)操作。在Easy Hash主窗口（如圖1）中點(diǎn)擊菜單“File”→“Openfiles”項(xiàng)，導(dǎo)入所需的文件（可多選），點(diǎn)擊“Ctrl+E”鍵，可以選擇目標(biāo)路徑（例如系統(tǒng)路徑），將其中的文件信息全部導(dǎo)入進(jìn)來。之后在主窗口列出導(dǎo)入的文件信息，在工具欄最右側(cè)的列表中顯示其內(nèi)置的所有算法，選擇合適的校驗(yàn)算法，之后點(diǎn)擊工具欄上第五個(gè)按鈕（或者點(diǎn)擊F9鍵），Easy Hash即可使用預(yù)設(shè)算法，計(jì)算所有文件的校驗(yàn)值，在“Hash”列中顯示具體的校驗(yàn)值。Easy Hash校驗(yàn)的速度很快，即使對(duì)于體積為4GB的大文件來說，也可以迅速完成校驗(yàn)操作。點(diǎn)擊“Ctrl+S”鍵，可以保存校驗(yàn)信息。

點(diǎn)擊工具欄上的第七個(gè)按鈕，在設(shè)置窗口中的“Favourite algorithms”欄中顯示所有的校驗(yàn)算法，從中可以勾選最初常用的算法，或者點(diǎn)擊“Most poplar”按鈕，來自動(dòng)選擇最流行的校驗(yàn)算法。在“Fileassomation”欄中點(diǎn)擊“Register”按鈕，可以讓校驗(yàn)文件（例如后綴為“.eh、.md5、.shal”等）和Easy Hash建立關(guān)聯(lián)，這樣直接點(diǎn)擊上述文件類型，即可白動(dòng)打開Easy Hash顯示對(duì)應(yīng)的校驗(yàn)信息。對(duì)于選定的常用校驗(yàn)算法，在Easy Hash主窗口的校驗(yàn)算法列表中可以加粗顯示，這樣便于您迅速找到所需的算法。Easy Hash不僅可以校驗(yàn)文件，還可以校驗(yàn)文本信息。點(diǎn)擊“Ctrl+T”鍵，在彈出窗口的“Input text”欄中輸入文本信息，在校驗(yàn)列表中選擇合適的算法，點(diǎn)擊“Calculate”按鈕，在“Output text”欄中即可顯示校驗(yàn)值，點(diǎn)擊“Copy to cliphoard”按鈕，可以將其復(fù)制到剪切板上。endprint

讓XP本本擁有WindowsDefender殺軟

提起與病毒、木馬等惡意軟件的斗爭(zhēng)，大家都會(huì)想起殺毒軟件。其實(shí)，在新版本的Windows中已經(jīng)內(nèi)置了微軟自己開發(fā)的殺軟Windows Defender，和一般的殺軟相比，Windows Defender無疑可以和系統(tǒng)實(shí)現(xiàn)無縫對(duì)接。在大家的印象中，只要安裝一個(gè)殺軟，系統(tǒng)安全就沒有問題了。其實(shí)這是一個(gè)誤區(qū)，對(duì)于單機(jī)防護(hù)來說，比較穩(wěn)妥的方法是將多種安全軟件聯(lián)合起來使用，例如可以同時(shí)安裝金山衛(wèi)士（類似的有360安全衛(wèi)士等）、Windows Defender、主動(dòng)防御工具以及Windows自帶的防火墻。對(duì)于主動(dòng)防御類工具，現(xiàn)在種類也有很多，例如ProSecurity、Mamutu、SystemSafety Monitor、ThreatFire、微點(diǎn)等，這些軟件可以根據(jù)目標(biāo)程序的行為來判斷其是否具有威脅性，其包括智能型和非智能型主動(dòng)防御兩種。

對(duì)于Windows Defender來說，有和Windows XP對(duì)應(yīng)的版本可供使用。之所以使用該軟件，主要是因?yàn)槠鋼碛袕?qiáng)大靈活的功能。Windows Defender具有出色的實(shí)時(shí)保護(hù)功能，程序自身默認(rèn)就提供了該功能，無需用戶單獨(dú)設(shè)置。一旦其檢測(cè)到病毒等惡意軟件對(duì)系統(tǒng)采取威脅動(dòng)作，就會(huì)立即彈出警告信息提醒用戶注意。Windows的每天都會(huì)對(duì)系統(tǒng)進(jìn)行一次快速掃描操作，發(fā)現(xiàn)可能存在的惡意程序，最大限度的保護(hù)系統(tǒng)安全?？焖賿呙璧哪繕?biāo)是系統(tǒng)最有可能被病毒破壞的部位，例如系統(tǒng)盤等。此外，利用系統(tǒng)內(nèi)置的WindowsUpdate功能，可以同步更新病毒庫，來發(fā)現(xiàn)新型病毒。同其他殺軟相比，Windows Defender的運(yùn)行和升級(jí)基本無需用戶費(fèi)心。

讓XP本本擁有UAC認(rèn)證機(jī)制

在Windows 7/8/10等操作系統(tǒng)中，提供了UAC（User Account Control用戶賬戶控制）安全管理機(jī)制。當(dāng)您執(zhí)行更改系統(tǒng)設(shè)置、運(yùn)行程序等操作時(shí)，系統(tǒng)會(huì)對(duì)其進(jìn)行攔截并彈出 UAC認(rèn)證提示窗口。UAC可以對(duì)程序的運(yùn)行安全認(rèn)證，防止惡意軟件和間諜軟件在未經(jīng)許可的情況下運(yùn)行。而且UAC可以根據(jù)目標(biāo)程序的危險(xiǎn)程度，以不同的圖標(biāo)顯示其安全等級(jí)。

我們知道，我們?cè)诘卿浵到y(tǒng)時(shí)，往往習(xí)慣于使用Administrator級(jí)別的賬戶，這實(shí)際上會(huì)帶來很多安全問題。因?yàn)檫@類賬戶權(quán)限很大，一旦招來病毒的侵襲，病毒也會(huì)借助于該賬戶擁有的權(quán)限對(duì)系統(tǒng)進(jìn)行大肆破壞。反之，如果使用Guest級(jí)別的賬戶登錄系統(tǒng)，即使病毒發(fā)作，對(duì)系統(tǒng)也構(gòu)不成什么威脅，因?yàn)椴《揪哂械倪\(yùn)行權(quán)限也極為有限。UAC功能的出現(xiàn)，其作用就是改善Windows的授權(quán)機(jī)制，限制高權(quán)限的用戶隨意運(yùn)行來歷不明的程序。但是，在Windows XP中卻沒有提供UAC功能。

其實(shí)，我們可以采用變通的方法，來實(shí)現(xiàn)類似的功能。例如，運(yùn)行“l(fā)usrmgr.msc”程序，在賬戶管理窗口中創(chuàng)建一個(gè)賬戶，使其歸屬于Users組。當(dāng)然，為了安全起見，您也可以在CMD中窗口中執(zhí)行“netlocalgroup guests guser /add"和“net localgroup usersguser /del”命令，這樣guser賬戶就徹底脫離了Users組，并隸屬于Guest組了，使之具有Guest賬戶級(jí)別的權(quán)限。這樣，使用上述兩類賬戶登錄系統(tǒng)時(shí)，其活動(dòng)權(quán)限就會(huì)受到很大限制，例如無法安裝程序、訪問注冊(cè)表受限等。如果這類賬戶想擺脫約束（例如安裝軟件等），可以采用兩種辦法解決，一種是采用基于GUI界面的權(quán)限提升方式。例如，使用ADVrunas來切換權(quán)限。首先以管理員身份安裝ADVrunas，ADVrunas安裝完成后和系統(tǒng)緊密集成，之后不管在任何用戶環(huán)境中都可以自由的使用該軟件。

在上述受限賬戶環(huán)境中需要操作的文件（可以包括快捷方式、可執(zhí)行文件、壓縮文件、0ffice文檔等任何類型的文件）。在其右鍵菜單上點(diǎn)擊“ADVrunas”項(xiàng)，在彈出的“ADVrunas”窗口（如圖2）中選擇“Another account”項(xiàng)，在“User name”列表中列出管理員賬戶名，或者點(diǎn)擊其右側(cè)的瀏覽按鈕，在“選擇用戶”窗口中點(diǎn)擊“高級(jí)”按鈕，之后點(diǎn)擊“立即查找”按鈕，系統(tǒng)會(huì)自動(dòng)搜索并顯示所有的用戶信息，在搜索列表中選擇高權(quán)限賬戶名，點(diǎn)擊“確定”按鈕，該用戶名稱就出現(xiàn)在“ADVrunas”窗口中的“Username”欄中了，在“Password”欄中輸入該用戶的密碼，點(diǎn)擊OK按鈕，就可以使用該賬戶用戶的權(quán)限來執(zhí)行對(duì)應(yīng)的操作了。當(dāng)然，也可以采用基于命令行格式的權(quán)限提升方式。例如，可以創(chuàng)建一個(gè)名為“su.hat”的文件，其內(nèi)容為“@runas /user：administrator%！”，將其保存到您想運(yùn)行的程序的同級(jí)目錄下。例如，將其存放到“c：＼windows＼system32”文件夾中。當(dāng)您想運(yùn)行注冊(cè)表編輯器時(shí)，只需在CMD窗口中執(zhí)行“suregedit.exe”命令，輸入管理員賬戶密碼，就可以啟動(dòng)注冊(cè)表編輯器了。

讓XP本本擁有家長(zhǎng)控制功能

在新版本的Windows中，提供了非常實(shí)用的家長(zhǎng)控制功能，主要功能是控制孩子避免他接觸到網(wǎng)上的不良信息或者沉迷于網(wǎng)絡(luò)，影響他們的身心健康以致荒廢學(xué)業(yè)。其方法很簡(jiǎn)單，以計(jì)算機(jī)管理員身份登錄Windows 7，在“控制面板”中的“用戶賬戶和家庭安全”欄下運(yùn)行“為所有用戶設(shè)置家長(zhǎng)控制”程序，通過創(chuàng)建特定的用戶，并為其設(shè)置密碼，設(shè)置其使用電腦的時(shí)間，禁止運(yùn)行的軟件等項(xiàng)目，來限制孩子隨意操作。

其實(shí)，在Windows XP下也可以使用相關(guān)軟件來實(shí)現(xiàn)類似的功能，例如使用系統(tǒng)內(nèi)置“net user”命令，就可以輕松限制指定賬戶允許登錄的時(shí)間。例如執(zhí)行 “net user username /times：M-F，7am-9am；Sa-Su，7pm-lOpm”命，就可以設(shè)定username賬戶只能在星期一到星期五的早上7：00到9點(diǎn)以及周六周日的晚上7：00到10： 00時(shí)間范圍內(nèi)登錄系統(tǒng)等。當(dāng)然，使用專業(yè)的賬戶管理軟件，可以實(shí)現(xiàn)更加高級(jí)的功能。這樣的軟件有很多，例如，使用User Time Control（簡(jiǎn)稱UTC）這款軟件，就可以輕松實(shí)現(xiàn)上述功能。endprint

在UTC主窗口中點(diǎn)擊菜單“Edit"→“ProgramsOptions”項(xiàng)，點(diǎn)擊“Administrator Password”按鈕，可以設(shè)置主密碼。當(dāng)啟動(dòng)、退出、修改UTC配置時(shí)，必須使用該密碼。點(diǎn)擊菜單“Edit”→“UserControl Panel”項(xiàng)，在窗口左下角列表中選擇目標(biāo)賬戶，在下一步窗口（如圖3）中顯示時(shí)間表格，其橫坐標(biāo)為星期數(shù)，縱坐標(biāo)為小時(shí)數(shù)。點(diǎn)擊對(duì)應(yīng)時(shí)間塊（即一個(gè)小時(shí)），在窗口右側(cè)的“Minutes”欄中拖動(dòng)滑塊，設(shè)置該時(shí)間塊內(nèi)禁止登錄的時(shí)長(zhǎng)。同理，可以設(shè)置禁止登錄的其他時(shí)間段。

在下一步窗口中可以分別設(shè)置該賬戶每天可以使用電腦的總時(shí)長(zhǎng)，每次登錄后有效使用時(shí)長(zhǎng)，每星期內(nèi)總可用時(shí)長(zhǎng)。在下一步窗口中勾選“Allow use PChetween specified dates only”項(xiàng)，可以設(shè)置該賬戶可以使用電腦的有效日期范圍。在下一步窗口中可以選擇該賬戶登錄系統(tǒng)后的限制條件，依次包括禁止改變系統(tǒng)時(shí)間、禁止安裝非法軟件、禁用進(jìn)程管理器、禁止添加/刪除程序、禁止修改賬戶信息等。在下一步窗口中“Add”按鈕，可以添加禁止該賬戶瀏覽的文件夾。在下一步窗口中勾選“Alllow users suspend timerestrictions while they leave the computer”項(xiàng)，表示在用戶離開電腦后可以暫時(shí)掛起UTC，不將離開時(shí)間計(jì)算在內(nèi)。

激活該功能方法是在系統(tǒng)托盤中UTC圖標(biāo)的右鍵菜單中點(diǎn)擊“Suspend Time”項(xiàng)，讓UTC進(jìn)入鎖定狀態(tài)，用戶離開電腦返回后，在鎖定界面右上角點(diǎn)擊“Activate”按鈕，激活UTC使其恢復(fù)控制功能。在“Action after the user time expiration”欄中選擇“Logoff a user”項(xiàng)，表示使用時(shí)間到期后注銷該賬戶。選擇“Restart Windows”項(xiàng)，則會(huì)重啟系統(tǒng)。選擇“Shutdown Windows”項(xiàng)，則執(zhí)行關(guān)機(jī)操作。此外，還可以設(shè)置到期提示窗口的持續(xù)顯示時(shí)間（默認(rèn)為3分鐘），以及到期后輸入管理員密碼取消上述預(yù)設(shè)動(dòng)作的等待時(shí)間（默認(rèn)為40秒），設(shè)置激活UTC的熱鍵（默認(rèn)為“Alt+Ctrl+C”），更換UTC鎖定界面的背景圖片等。

注意，如果該賬戶需要緊急登錄系統(tǒng)，可以開啟一次性密碼功能。點(diǎn)擊菜單“Edit”→“Extra UsageTime”項(xiàng)，點(diǎn)擊“Add”按鈕，在彈出窗口中的“Extendtlme to”欄中設(shè)置許可時(shí)間（默認(rèn)為2小時(shí)），在“Generate X password”欄中設(shè)置一次性密碼個(gè)數(shù)（默認(rèn)為10個(gè)），點(diǎn)擊“Generate”按鈕，可以創(chuàng)建指定數(shù)量的一次性密碼。這樣，該用戶在緊急情況下，可以使用其中任意一個(gè)一次性密碼系統(tǒng)登錄，當(dāng)使用時(shí)間超過與該密碼綁定的時(shí)限后，將無法繼續(xù)使用系統(tǒng)。當(dāng)然，該密碼只能一次有效，使用完畢后將自動(dòng)失效。其余的配置保持默認(rèn)。最后點(diǎn)擊窗口底部第三個(gè)按鈕，保存上述配置信息。同理，您可以針對(duì)不同的賬戶，分別為其設(shè)置有效登錄以及使用系統(tǒng)的時(shí)間。下載地址：http：//www.lsecuritycenter.com/downloads/utcc.zip。

當(dāng)然，如果想禁止指定的程序在規(guī)定時(shí)間運(yùn)行，可以使用Password Door來實(shí)現(xiàn)。在其安裝程序的“Set Admin Password”欄中可以設(shè)置管理密碼，之后必須使用該密碼，才可以操作該軟件。在PasswordDoor主界面中點(diǎn)擊“Protect a Program”按鈕，在窗口列表中顯示安裝的所有程序，選擇需要保護(hù)的程序（例如QQ）。如果這里沒有所需的程序，也可以點(diǎn)擊窗口底部第一個(gè)按鈕，手工選擇目標(biāo)程序?；蛘邔в忻闇?zhǔn)星圖標(biāo)直接拖動(dòng)到目標(biāo)程序窗口中，來完成選定操作。點(diǎn)擊“Protect”按鈕，在保護(hù)窗口（如圖4）可以看到其默認(rèn)采用的密碼保護(hù)功能，點(diǎn)擊“Change”按鈕，可以為其單獨(dú)設(shè)置密碼，否則的話使用管理密碼。

如果在“Protection mode”欄中選擇“Deny”項(xiàng)，表示在規(guī)定時(shí)間之外禁止運(yùn)行目標(biāo)程序。點(diǎn)擊“Schdule”按鈕，在定時(shí)保護(hù)窗口中的“Schduleoption”列表中選擇“Daily”項(xiàng)，針對(duì)每天預(yù)設(shè)的時(shí)間段決定是否啟用保護(hù)功能。在“Hour of day”欄中顯示24個(gè)按鈕，代表每天24個(gè)小時(shí)。默認(rèn)其全為藍(lán)色，表示時(shí)刻保護(hù)目標(biāo)程序。點(diǎn)擊對(duì)應(yīng)的時(shí)間段按鈕，使其顏色變?yōu)榘咨?，表示在該時(shí)間段內(nèi)禁用保護(hù)功能。例如將上午8：00到12：00、下午14：00到18點(diǎn)等按鈕設(shè)置為白色。這樣，在正常工作時(shí)間段，您可以自由運(yùn)行QQ，在其他時(shí)間段則無法運(yùn)行，或者必須輸入與之匹配的保護(hù)密碼，才可以運(yùn)行QQ。當(dāng)然，您也可以在“Schdule option”列表中選擇其它周期類型，包括每星期、每月等，為目標(biāo)程序設(shè)置定時(shí)保護(hù)時(shí)段。下載地址：http：//www.toplang.com/pdsetup.exe.

讓XP本本具備網(wǎng)絡(luò)訪問控制功能

新版本的Windows在網(wǎng)絡(luò)訪問、瀏覽器安全等方面提供了很多安全配置功能，提供了完善的網(wǎng)絡(luò)訪問控制功能。其實(shí)，在Windows XP中也可以使用相應(yīng)的方法，禁止Administrator賬戶之外的賬戶隨意訪問網(wǎng)絡(luò)。首先以管理員身份登錄系統(tǒng)，在組策略管理器中展開“用戶配置”→“Windows設(shè)置”→“InternetExplorer維護(hù)”→“連接”分支，在右側(cè)窗口中雙擊“代理設(shè)置”項(xiàng)，在彈出窗口中勾選“啟用代理服務(wù)器設(shè)置”項(xiàng)，將“HTTP”的代理服務(wù)器的地址設(shè)為“127.0.0.1”，點(diǎn)擊確定按鈕保存配置信息。這樣做的目的在于借用IE瀏覽器的代理功能，來限制其他賬戶隨意上網(wǎng)。IE是可以使用代理服務(wù)器上網(wǎng)的，因此只要將其代理服務(wù)器指向“127.0.0.1”地址，那么普通用戶就無法通過IE瀏覽網(wǎng)頁了。

這樣，當(dāng)在IE中瀏覽網(wǎng)頁時(shí)，因?yàn)槠浯矸?wù)器實(shí)際上并不存在，因此就無法訪問因特網(wǎng)了那么問題的關(guān)鍵在于如何讓管理員用戶可以跳過上述限制，從而正常使用IE訪問因特網(wǎng)。實(shí)際上，打開“C：＼WIN DOWS＼system32＼CGroupPoliCy＼User＼ MICROSOFT＼IEAK”文件夾，在其中可以看到名稱為“install.ins”的文件，在該文件中就包含了IE的代理服務(wù)器信息。打開該文件，其中的“Proxy_Enable”參數(shù)的數(shù)值為1，表示啟用了代理服務(wù)器，其中的“HTTP_Proxy_Server”參數(shù)就指明了代理地址。因此，如果不允許其他賬戶讀取“install.ins”文件，就可以讓其無法擺脫上述限制。而組策略“用戶配置”部分中的配置項(xiàng)目大多都是在登錄后才生效的，因此，只要使用NTFS分區(qū)的權(quán)限分配機(jī)制，讓其他賬戶無法讀取“install.ins”文件，即可實(shí)現(xiàn)上述要求。endprint

在“install.ins”文件的屬性窗口的“安全”面板中選中管理員賬戶，如果不存在的話，可以點(diǎn)擊“添加”按鈕導(dǎo)人該用戶。之后在其下的權(quán)限設(shè)置面板中的“讀取”欄中勾選“拒絕”項(xiàng)，禁止管理員賬戶讀取該文件。這樣，當(dāng)再次使用管理員賬戶登錄系統(tǒng)時(shí)，就不再讀取“install.ins”文件，從而跳過了IE的代理服務(wù)配置自由上網(wǎng)。但是普通用戶卻沒有此特權(quán)，依然正常加載IE代理服務(wù)信息，當(dāng)然無法正常使用IE了。此外，還可以使用NetSh命令，通過控制網(wǎng)關(guān)來限制指定的賬戶上網(wǎng)操作。

假設(shè)本機(jī)的IP為192.168.0.2，路由器網(wǎng)關(guān)的IP為192.168.0.1。Netsh是Windows 2000/XP/2003自身提供的實(shí)用工具，允許用戶在本地或遠(yuǎn)程顯示和修改當(dāng)前系統(tǒng)的網(wǎng)絡(luò)配置信息。這里就使用該命令并配合相關(guān)的組策略，讓管理員賬戶可以擁有正確的網(wǎng)關(guān)配置，而讓普通用戶無法得到，因此巧妙的阻止普通用戶連接因特網(wǎng)。首先以管理員賬戶身份登錄系統(tǒng)，建立“Linkok.hat”和“Linkno，hat”兩個(gè)批處理文件，其中“Linkok.hat”的內(nèi)容為“netsh interface ipset address”本地連接”source=static addr=192.168.0.2mask=255.255.255.0 gateway=192.168.0.1 gwmetric=l”，“Linkno.bat”的內(nèi)容為“netsh interface ip setaddress”本地連接”source=static addr=192.168.0.2mask=255.255.255.0 gateway=none”。

之后在“開始”→“運(yùn)行”中執(zhí)行“gpedit.msc”程序，在組策略窗口左側(cè)展開“用戶配置”→“Windows設(shè)置”→“腳本（登錄注銷）”，在右側(cè)窗口中雙擊“登錄”項(xiàng)，在登錄屬性窗口中點(diǎn)擊“添加”按鈕，在添加腳本窗口中的“腳本名”欄中輸入“Linkok.hat”文件的完整路徑即可。在右側(cè)窗口中雙擊“注銷”項(xiàng)，按照同樣的方法，將“Linkno.hat”文件添加到注銷腳本中。這樣，當(dāng)該賬戶登錄系統(tǒng)時(shí)，就會(huì)自動(dòng)執(zhí)行“Linkok.hat”程序，將網(wǎng)關(guān)配置為正確信息，當(dāng)注銷該賬戶時(shí)，就自動(dòng)執(zhí)行“Linkno.hat”程序，從而清空網(wǎng)關(guān)的配置信息。然而當(dāng)User賬戶組中的用戶登錄系統(tǒng)時(shí)，雖然也可以運(yùn)行以上登錄腳本，但是普通用戶是沒有權(quán)限執(zhí)行NetSh命令的，因此普通用戶只能就無法得到正確的網(wǎng)關(guān)配置，也就無法正常上網(wǎng)了。既使普通用戶在本地連接屬性窗口中試圖修改網(wǎng)絡(luò)配置信息，系統(tǒng)也會(huì)彈出權(quán)限不夠的提示，從而禁止其手工配置網(wǎng)關(guān)信息。endprint