为了确保公用计算机的运行稳定性,我们需要对陌生软件的安装操作进行监控,一旦探测到存在安装行为时,必须在第一时间进行拦截。
在多用户账号工作环境下,如果允许恶意软件自由在计算机中安装“落户”,显然是一件让人感到十分麻烦的事情,毕竟这既不方便管理,又容易给计算机的安全运行带来潜在威胁。有鉴于此,我们需要采取措施,对软件或程序的安装操作进行严格控制,坚决不让可能存在安全隐患的恶意软件或陌生程序,在本地计算机中随意“落户”,以确保Windows系统的运行,不会受到恶意软件的干扰!
限制恶意插件自动“落户”
通过Windows系统内置的IE浏览器,上网冲浪浏览信息时,我们或许会经常看到浏览器弹出提示,要求用户是否下载安装某个陌生组件或插件,甚至有的恶意插件不经过用户同意,会自动下载“落户”到本地计算机硬盘中。那些强行自动“落户”到计算机中的恶意插件,大多都是潜藏在网页背后的网络病毒和木马程序,如果允许它们自由“落户”,将会给本地系统引起不必要的安全麻烦。为了远离恶意插件的攻击,我们可以进行如下设置操作,拒绝恶意插件程序通过IE浏览器窗口,自动下载“落户”到本地硬盘中:
首先按下“Win+R”快捷功能键,调用系统运行文本框,输入“gpedit.msc”字符串命令,单击“确定”按钮后,切换到系统组策略控制台窗口。在该窗口左侧树形图中,依次跳转到“本地计算机策略”|“计算机配置”|“管理模板”|“Windows组件”|“InternetExplorer”组策略节点上。
其次找到目标节点下面的“禁用InternetExplorer组件的自动安装”组策略选项,用鼠标双击该选项,弹出如图1所示的组策略选项设置框,检查“已启用”选项是否处于选中状态,如果发现其没有被选中时,应该及时将其重新选中,确认后退出设置对话框。这样日后潜藏在网页背后的一些恶意组件或插件程序,就不能偷偷在本地硬盘中自由“落户”了,那么Windows系统的运行安全就能得到改善了。
监控拦截恶意软件“落户”
在公共场合下,一些不自觉的用户为了达到测试目的,往往会偷偷下载安装一些未知安全的软件,这样的安装操作很容易造成系统死机或瘫痪。为了确保公用计算机的运行稳定性,我们需要对陌生软件的安装操作进行监控,一旦探测到存在安装行为时,必须在第一时间进行拦截。要做到这一点,不妨请“StopInstallationTool”这款外力工具来帮忙,只要对它进行合适配置,就能轻松对所有未知软件的安装动作进行智能监控和拦截,甚至还能对卸载动作进行拦截,谨防恶意用户随意安装和卸载程序。
打开“StopInstallationTool”程序的主操作窗口,从左侧功能按钮列表中(如图2所示),按下“ProgramOptions”功能按钮,在对应功能选项设置区域,单击“Password”按钮,设置好目标工具的关闭或激活密码。为提高操作效率,也可以在“DefinetheHotKeystoactivateapplication”位置处,为目标工具设置一个合适的激活快捷键,程序默认使用的快捷键为“Ctrl+Alt+C”,日后无论在关闭程序还是激活程序时,都要输入管理密码。
不让未知驱动软件“落户”在缺省状态下,“StopInstallationTool”程序一旦探测到本地计算机中存在软件安装动作时,会自动出现拦截对话框,只要输入之前设置的管理密码,才能继续进行软件安装操作,不然的话目标程序会强行停止软件安装操作。如果不希望别人知道软件安装拦截行为时,可以在上面的程序选项设置区域中,将“Showthepasswordwindowtoallowsoftwareinstallation”选项取消选中,这样目标工具日后探测到计算机中存在软件安装动作时,会直接停止软件安装操作,而不会弹出拦截提示框。在关闭拦截提示框的情况下,我们可以定期按下“LogFile”按钮,来查看目标工具的拦截日志信息,在日志记录中能了解到它究竟拦截了哪些软件的安装操作。“StopInstallationTool”程序之所以能够在默认状态下,成功拦截一些软件的安装操作,主要是它已经针对所有可能使用的安装软件名称,定义了对应的安全监控规则。如果希望该工具可以拦截特殊软件的安装操作时,必须要修改它的文件类型设置。点击主操作界面中的“FileMasks”功能按钮,在该功能选项设置区域,选择“DisabledFiles”
为了保证系统运行稳定,Windows系统可能会对设备的驱动软件进行徽标测试,只有通过徽标测试的驱动软件,才能正常安装到本地计算机中。对于那些没有通过徽标测试的未知驱动软件,必须想办法拒绝它们在本地系统安装“落户”,因为它们可能会破坏计算机系统的运行稳定性。标签,切换到禁止安装文件类型列表,在这里,我们看到目标工具已经定义了几种常见的软件安装文件类型名称,例如*.msi、*install*.exe、*setup*.exe、*update*.exe等类型。如果希望目标工具能自动拦截其他特殊类型的安装软件时,可以点击这里的“Add”按钮,弹出添加文件类型对话框,将新格式的文件类型名称和说明信息设置好即可。值得注意的是,该软件还支持对软件卸载操作的规则进行设置,以防止恶意用户自由卸载本地计算机中的应用软件。比方说,手工添加“*uninstall*.exe”文件类型时,目标工具日后就能对所有软件名称中存在“uninstall.exe”关键字的软件卸载动作,执行监控和拦截。
为了让上述配置适用于特定用户账号,我们还要点击主操作界面中的“UsersControl”功能按钮,切换到“PCUsers”列表中,通过“Add”或“Remove”按钮,添加或删除合适的用户账号,之后在“Applyrestrictionsforusers”位置处,将“AllPCusers”选项选中,这样“StopInstallationTool”程序的安全配置信息将会对本地计算机中的所有用户适用。如果将“Onlyforusersinthelist”选项选中,那么目标工具的安全规则仅对列表中的用户账号适用,如果将“Forallexceptinthelist”选项选中,那么安全规则仅对列表之外的用户账号适用。
为了保证系统运行稳定,Windows系统可能会对设备的驱动软件进行徽标测试,只有通过徽标测试的驱动软件,才能正常安装到本地计算机中。对于那些没有通过徽标测试的未知驱动软件,必须想办法拒绝它们在本地系统安装“落户”,因为它们可能会破坏计算机系统的运行稳定性。在Windows2008系统环境下,要想禁止那些没有通过徽标测试的未知驱动软件“落户”,可以按照如下步骤,来开启Windows系统的徽标测试功能:
首先以系统管理员权限登录Windows2008系统,逐一选择“开始”|“运行”选项,弹出系统运行对话框,输入字符串命令“services.msc”,单击“确定”按钮后,切换到系统服务列表界面。
从中找到“CryptographicServices”服务选项,并用鼠标双击之,弹出对应服务选项设置框,在常规标签页面中(如图3所示),我们能直观地看到目标系统服务的开启状态是否正常。如果发现该服务没有启动运行时,必须先点击“启动”按钮,重新开启“CryptographicServices”服务的运行状态,以强制Windows系统对安装在计算机中的驱动软件,执行徽标测试操作。接着,为了保证该系统服务日后能自动启动运行,我们还需要将它的启动类型设置为“自动”,确认后退出设置对话框,这样那些没有通过徽标测试的驱动软件,尝试安装到本地计算机时,系统会自动弹出“无法通过系统徽标测试”之类的提示信息,来阻止它们“落户”到Windows2008系统中。
不让特定标题软件“落户”有些恶意软件为了躲避用户的拦截,其安装文件名称中可能并不存在“setup”、“install”、“update”等关键字,可是它们的安装向导窗口标题栏中,可能会出现一些恶意软件常有的特征,例如安装向导窗口标题中或许会有“攻击”、“入侵”等字眼。为了不让特定标题软件安装“落户”到本地计算机硬盘中,我们可以使用“Install-Block”这款外力工具,来追踪监控活动窗口的标题名称,一旦捕捉到关键字眼时,就认定它为恶意软件,并对它的安装操作进行强行拦截。
开启“Install-Block”工具的运行状态,打开如图4所示的主操作界面,单击该界面左侧列表中的“BlackList”选项,在对应选项右侧设置区域,我们会看到目标工具的黑名单信息,只要待安装软件窗口标题中的关键字出现在这里的黑名单中,那么目标工具就会认为它是恶意软件,并会对它的安装操作进行自动拦截。
例如,现在要对安装窗口标题中存在“攻击”字样的软件安装操作进行自动拦截时,可以点击黑名单设置区域中的“Add”按钮,弹出关键字添加对话框,输入“攻击”标题名称并进行确认即可。倘若同时选中这里的“Mustmatchwindowtitleexactly”选项,那么日后待安装软件的标题名称必须和这里设置的黑名单关键字完全匹配,目标工具才会认为它是恶意软件,并会对它的安装操作进行自动拦截。
为了不让软件安装拦截操作被人发现,我们可以点击主操作界面左侧列表中的“Advanced”选项,在对应该选项的右侧设置区域,选中“Don'tshowthepromptwhenblockingawindows”选项,这样“Install-Block”工具日后一旦探测到特定标题软件在安装时,会强行将安装向导窗口关闭,而不会出现密码验证对话框。此外,还需要进入“General”功能设置区域,选中“Don'tshowtheInstall-Blockiconinthenotificationarea”选项,将系统任务栏右下方的“Install-Block”工具快捷图标隐藏起来。
当然,不管怎么小心,软件安装拦截行为都有可能被人发现,为了防止别人通过卸载“Install-Block”工具的方法,来躲避软件安装拦截操作,我们也要为目标工具设置好管理密码,日后只有正确输入预先设定的管理密码,才能进行正常的软件安装操作或程序配置操作。“Install-Block”工具默认使用的管理密码为“admin”,如果要修改密码时,可以点击主操作界面中的“General”按钮,在对应功能设置区域按下“ChangePassword”按钮(如图5所示),切换到密码修改对话框,选中“Config”选项,就能修改目标工具的管理密码,如果选中“Unblock”选项,那可以修改软件安装认证密码,设置好新的密码内容后,需要再次点击“ChangePassword”按钮,才能让新的密码生效。
如果希望计算机系统在重新启动之后,“Install-Block”工具仍然可以自动拦截特定标题软件,那么需要点击主操作界面中的“Startup”按钮,进入到程序启动设置区域(如图6所示),选中“Loadatsystemstartforallusers”选项,强制该工具可以跟随所有用户账号一起启动运行。如果只想让目标工具跟随特定用户账号一起启动运行时,可以选中“Loadatsystemstartforselectusers”选项,之后按下“EditUserList”按钮,将特定的用户账号选中并导入进来。