Win7环境下实施对应用程序的安全控制的妙招(2)

　　用户账户控制：仅提升安装在安全位置的UIAccess应用程序。该选项决定了Windows 7在允许运行之前是否验证UIAccess应用程序的安全性，默认情况下该选项是被禁用的。

　　用户账户控制：允许UIAccess应用程序在不使用安全桌面的情况下继续提升。这个选项模式是禁用的，它决定了用户界面辅助程序是否可以绕过安全桌面。如果启用该选项应用程序就可以直接按照应用需求响应提升提示，这样会增加系统的风险，因为可能会被恶意程序利用。比如，我们要进行远程协助，为了避免出现问题，在创建远程协助邀请时，要确保勾选“允许响应账户控制提示”选项。

　　其实，除了这4个选项外，在该节点下还有其他的一些选项都与应用程序的安装和运行有关，大家可在理解其含义的基础上根据需要进行设置。

　　(2).软件限制

　　在Windows 7的组策略控制台中还有一个与软件限制相关的组策略项是“软件限制策略”，在本地安全策略控制台的“安全设置”下可以看到该组策略节点，通过该策略项我们可以对系统中安装的软件进行限制。其“强制”策略我们可帮助我们针对文件、用户和用户进行限制。此外，用户还可选择在应用软件限制策略时是强制证书还是忽略证书。“指定的文件类型”项可帮助我们通过文件类型实施限制，在此我们可以添加或者删除相应的文件类型。“受信任的发布者”项可方便我们设置信任策略。在“安全级别”节点下3个级别，默认是“不受限”级别，也就是软件访问权由用户的访问权来决定。“基本用户”级别允许程序访问一般用户可以访问的资源，但没有管理员的访问权。其中“不允许”是最严格的级别，意味着无论用户的访问权如何，软件都不会运行。在“其他规则”节点下，默认有两条注册表路径规则，它们的安全级别是不受限制的。在此，我们可以根据需要添加其他安全规则，可供选择的规则有证书规则、哈希规则、网络区域规则、路径规则。创建方法是右键单击 “其他规则”节点然后在右键菜单中选择创建相应的规则即可。这个组策略节点在此前的系统中也存在，但并不为用户所使用，其实，只要灵活利用它可以帮助我们完成很多系统管理任务。

　　3、调整UAC级别控制应用程序

　　除了上面提到的应用程序控制技术之外，下面简要说说Windows 7中的UAC，因为它与应用程序控制密切相关。我们知道，Windows 7对UAC做了很大的改进，主要表现在划分了不同的安全等级以适合不同的用户需求。具体来说，“从不通知”到“始终通知”分为4个安全等级，默认的安全级别为第2的安全级别，此时仅在用户对某个程序做出改变时才会弹出UAC提示，而在改变系统设置时不会弹出提示。值得一提的是，Windows 7的UAC提示会因应用程序可信度的不同而呈现不同的颜色，这些不同的颜色表示应用程序不同的安全等级。当我们运行的程序是某个知名公司的产品时UAC提示是蓝色，当运行程序是不知名公司的产品时UAC提示是黄色，而当运行一个可疑程序时UAC提示是红色。

　　本教程就Windows 7下应用程序运行控制技术做了详细的解析和说明，有些不限于Windows 7，同样适用于此前的Windows系统，这里只是以Windows 7系统为例进行说明。另外，Windows 7下的应用程序控制技术也不止这些，有待于进一步的学习和挖掘。