Win7环境下实施对应用程序的安全控制的妙招

　　应用程序是指为了完成某项或某几项特定任务而被开发运行于操作系统之上的计算机程序,是它直接服务于用户,如果说操作系统是平台，那么应用程序就是是主角.但应用程序为用户带来便利的同时，有时也会威胁到系统安全,为此,对应用程序实施安全控制是操作系统一项重要安全策略。那么，在Windows 环境下中如何实施对应用程序的安全控制呢?这就是今天本教程要给大家介绍的内容,有兴趣的朋友们一起来看看吧.

　　1、配置应用程序的运行级别

　　同此前的Vista一样，微软是不提倡用户直接以管理员身份登录系统实施操作，因为这样会存在很大的风险。我们知道，在Windows 7中如果以管理员用户登录系统那么所有运行的程序默认都是以管理员权限运行的。出于安全我们以非管理员用户登录系统，但有时需要进行系统设置或者维护，而要执行这些操作则必须要有管理员权限才行，那么是不是要注销当前用户而重新以管理员身份登录系统呢?其实不用，在Windows 7中我们可以通过两种方式来说实现应用程序在提升模式下运行。

　　(1).以管理员权限运行一次。一般情况下，我们只需就当前的操作在管理员权限下运行，那么就选择以管理员权限运行一次的权限提升策略。具体实现方式是，用鼠标右键单击应用程序的快捷方式或者其主程序，在菜单列表中选择“以管理员权限运行”即可。此时会弹出用户账户控制即UAC对话框，对话框中列出了系统所有的管理员用让用户选择，我们从中选择一个管理员用户并输入相应的密码就可以管理员身份运行程序。对此，我们可以打开Widnows 7的任务管理器进行确认，可以看到虽然当前是以普通用户登录系统，但该程序是以管理员身份运行的。

　　(2).始终以管理员身份运行程序。我们除了可以临时性地以管理员权限运行程序外，还可以使程序始终以管理员权限运行。这样做的好处是，省去了每次进行权限提升的麻烦，而且对于某些只能运行在管理员权限中的程序进行了这样的设置后，就能够杜绝其在使用中因权限问题而造成的故障。当然这样做的弊端是非常明显的，如果将应用程序始终以管理员权限运行会带来一定的安全隐患，何况这样设置以后我们以普通用户登录系统也将失去意义。笔者建议的做法是，只将必须以管理员权限运行的程序设置为始终以管理员身份运行即可。

　　在Windows 7中，我们可以这样进行设置：右键单击应用程序或者其图标，选择“属性”，在其属性对话框中定位到“兼容性”标签页，在特权等级下勾选“以管理员身份运行此程序”即可。如果要使该设置对所有的用户有效，那么需要点击“更改所有用户的设置”按钮，然后会一个应用程序属性对话框，在“所有用户的兼容性”标签页的特权等级下再次勾选“以管理员身份运行此程序”复选框即可。需要注意的是，我们不能设置系统应用程序或者进程总是以管理员身份运行。有的时候，我们会发现“以管理员身份隐匿性此程序”复选框不可选，这通常是因为该程序是系统程序或者该程序被禁止提升权限。另外，如果当前用户不是管理员或者该程序的运行并不需要管理员凭据时该复选框也会是不可选的。来源：考试大

　　2、控制应用程序的安装和运行行为

　　对于一般用户或者系统管理员来说，除了要控制系统中已经安装的应用程序的运行权限外，还要对应用程序的安装行为进行控制。那么，这些在Windows 7中是如何实现的呢?我们可以通过Windows 7的相关组策略项实现我们的目标。

　　(1).安装控制

　　运行secpol.msc打开Windows 7的本地安全策略控制台，定位到“安全设置”→“本地策略”→“安全选项”节点，在右侧可以看到很多组策略项。这其中与应用程序安装相关的项目主要有4项，下面分别进行说明。

　　用户账户控制：检测应用程序安装并提示提升。该选项默认被启用，它决定着Windows 7是否自动检测应用程序的安装并提示提升。默认情况下，系统会自动检测应用程序的安装，并提示用户提升或者批准应用程序是否继续安装。如果该选项被禁用，那么使得用户不能够对应用程序的安装进行控制。

　　用户账户控制：只提升签名并验证的可执行文件。该选项决定了Windows 7是否只允许运行带有签名并且有效的可执行文件。在默认情况下，该选项是被禁用的，如果启用该选项，Windows就会在可执行文件运行之前，会强制检查文件公钥证书的有效性。