本文已发表在《个人电脑》杂志,请勿随意转载
当我们在使用Windows执行大部分操作的时候,Windows都会用提示信息告诉我们操作的执行结果。例如,操作是成功完成还是失败了,如果失败了,那么失败原因是什么,或者在操作过程中需要注意的事项等。看清这些提示信息(尤其是错误信息和注意事项)有助于我们更好地完操作。因此本文将会对Windows Vista中一些常见的安全提示信息进行说明。
Internet Explorer中的各种信息
在Windows Vista中,和Internet Explorer有关的信息大部分都出现在地址栏和信息栏(图1),这些信息可以告诉我们当前访问的网站是否有安全问题,是否是欺诈网站,以及是否有其他一些需要注意的信息。
下文会将Internet Explorer中常见的提示信息分为安全证书相关、安全设置相关、控件相关这三个类别来介绍。
和安全证书有关的提示信息
为了保护我们的在线隐私,很多网站,尤其是银行和证券公司等提供金融服务的网站都会使用安全证书加密我们的浏览器和网站服务器之间的通信,这样双方的网络通信就算被其他人截获也不会造成损失。因此很多人在访问网站的时候,如果发现网站使用了加密通讯,往往都会觉得很安全,自己的隐私受到了保护。
通常,判断一个网站的通讯是否被加密的方法有两个:
1,网站的地址是否是“https”开头的,因为只有加密网站的地址才以“https”开头。
2,IE浏览器的状态栏是否有一个黄色的锁头图标,因为只有访问加密网站的时候才会出现该图标。
然而有时候就算一个网站同时满足了这个条件,也有可能是有问题的。
不信任的证书
因为加密网站需要用到安全证书,而一些诈骗网站可能会使用伪造的或者颁发给别人的安全证书来加密自己的网站通讯。
例如当我们访问一个网站的时候,IE显示了图2所示的错误信息,告诉我们这个网站的安全证书不被信任。这意味着网站可能并不是自己宣称的角色。例如,如果你单击电子邮件中的链接进入某个银行的网站时IE显示了这样的页面,那就表示该网站提供的加密证书无法证明自己的合法身份,有可能是假的(少数情况也有可能是真的)。这时候,最好的办法就是关闭该网站。而如果依然希望看看这个网站的内容,则可以单击“继续浏览此网站(不推荐)”链接。
单击“继续浏览此网站”链接后,我们可以看到网站的内容,不过IE这时候会用更明显的方式提示我们注意。如图3所示,整个地址栏都变成了红色,并且带有“证书错误”字样的按钮,单击该按钮后可以看到一个弹出菜单,里面显示了详细的错误信息。
对于这类站点,如果不希望单击“继续浏览此网站”链接就能继续访问,而是希望不提供任何选项,直接禁止访问,可以配置组策略(注意,只有Windows Vista商业版、企业版和旗舰版可以使用组策略功能)实现。运行gpedit.msc打开组策略编辑器,定位到“计算机配置-管理模板-Windows组件-Internet Explorer-Internet控制面板”,启用“阻止忽略证书错误”这条策略即可。
但是还需要注意,有时候正常网站也会遇到这类错误。一个网站被加密,通常有两个原因:保护网站服务器和客户端浏览器之间的通讯不被窃听,或者证明自己的身份。例如,某个网络交易网站,不仅需要保护通讯不被窃听,还要保证客户能相信这个网站就是该商户的官方网站。对于这种用途,网站使用的安全证书必须是经过证书颁发机构信任的,这类证书往往都需要付费购买。另一种情况,有些人可能只希望保护自己服务器和客户端浏览器之间的通讯不被窃听,至于身份是否真实可靠,这不是重点。这种时候就没必要在证书颁发机构那里购买昂贵的安全证书,这类网站往往使用自己颁发给自己的证书。而这类证书往往会被IE认为是有问题的,并显示图2和图3的错误。对于这类错误,目前没有什么好的解决办法,只能通过单击“继续浏览此网站”链接浏览。
被冤枉的网站
还有另一种情况。假设一个网站的地址是www.example.com(这是一个虚构的地址),网站已经申请了安全证书,这个证书表明该证书被颁发给了“www.example.com”,但如果我们使用类似“https://example.com”这样的地址去访问,虽然我们知道这还是那个网站,但IE会认为“example.com”这个网站使用了另外一个网站“www.example.com”的数字证书,是假冒的(图4)。
对于这种情况,我们只要给访问的网站域名里添加“www”字样,将域名补充完整即可避免看到证书错误。
正常状态的证书
如果在访问一个加密网站的时候,IE的地址栏没有出现红色背景,而是出现一个黄色的锁头图标(图5)或者地址栏变为绿色(图6,这种情况目前还很少,以后估计会逐渐增多),那就证明该网站是安全可靠的。对于这类网站,我们可以放心浏览,并提交相应的个人信息。但这也只能保证我们给网站提交信息和浏览页面的过程是安全的,至于提交的个人信息如何使用,这取决于访问的网站。
和安全设置有关的错误信息
在IE中,很多选项的默认设置都很保守,可以最大程度实现安全性。然而很多时候我们可能因为不了解某些选项的具体作用而做出了错误的设置,不仅会影响IE的使用,还有可能会导致一些安全问题。而更严重的是,我们根本不知道自己的哪些操作会让IE变得不安全,而有时候如果其他软件修改了IE的设置,我们也无从得知具体修改了哪些设置。
安全设置检查
在IE 7中,当我们在Internet选项对话框中对一些选项进行设置的时候,如果自己的设置会降低IE的安全性,那么IE会使用红色的背景将这些选项标记出来,提醒我们注意。同时,一些修改后可能会降低IE安全性的选项,还会用文字注明“不安全”,如图7所示。
对于这类选项,如果在知道会影响IE安全性的情况下依然想要使用不安全的设置,那么在应用了设置后,IE会用一个信息栏提示我们当前的设置不安全,同时再次打开Internet选项对话框后也可以看到安全设置提示(图8)。不仅如此,在Windows Vista的系统通知区域也会出现一个红色的盾牌图标提示我们注意。
要解决安全问题,我们有三种办法:
1,打开Internet选项对话框,依次打开每个选项卡,看哪个选项卡上标有“安全设置导致计算机存在安全风险”的提示,如果某个选项卡上有,则打开该选项卡上的每个选项,找到背景是红色的选项,将其修改为安全的设置(这个方法比较麻烦)。
2,单击IE窗口上的黄色信息栏,选择“修复设置”选项(这个方法最简单)。
3,双击系统通知区域中的红色盾牌图标,打开Windows安全中心窗口,单击“其他安全设置”类别下的“还原设置”按钮(这个方法相对简单)。
如果因为一些特殊的需要,必须使用某些不够安全的设置,但又不想看到安全性提示,那么可以运行gpedit.msc打开组策略编辑器,定位到“计算机配置-管理模板-Windows组件-Internet Explorer”,启用“关闭安全设置检查功能”这一策略。
混合内容
在访问一些加密网站的时候,我们有时候可能会看到图9所示的对话框。这是什么意思?
假设这种情况:我们正在访问某个网络交易网站,因为使用了加密技术,因此我们可以完全信任网页上显示的内容,并提供自己的信息。但如果该网站被攻击者破坏了,正常网页中嵌入了来自其他站点的内容(可能是骗人的图片或者给用户系统中安装间谍软件的恶意脚本或者木马),因为我们是在访问加密网站,因此从心理上就没有足够的防备,因而自己的系统也被成功入侵。
为了防范这种问题,IE可以在我们访问包含了非加密内容的加密网页时发出提示。简单说,假设我们正在访问https://www.example.com这个网站的首页,按理来说,访问的所有内容(文字、图片、脚本等)都应该位于www.example.com的服务器上,同时必须通过SSL加密线路传送到我们的浏览器。但如果这个网站的页面上包含了一些到非加密网站的文件(可能是网站设计的疏忽,或者攻击者的篡改),那么IE就会显示图9所示的对话框。如果希望显示非安全内容,可以单击“是”,否则可以单击“否”,这样安全的网页内容依然会被加载,但是不安全的内容会被过滤。
这是一个好功能,但如果你经常在访问一些重要网站的时候遇到,也可以进行一些设置来避免。打开Internet选项对话框的安全选项卡,单击“可信站点”,然后单击“站点”按钮,在随后出现的可信站点对话框中将你经常访问但遇到这类信息的网站地址添加到可信站点区域。然后在Internet选项对话框的安全选项卡上选中可信站点,单击“自定义级别”按钮,在随后打开的安全设置对话框中找到“显示混合内容”选项,选中“启用”。
注意:为什么要现将目标站点添加到可信站点区域后才设置?不能直接设置Internet区域吗?其实这也是为了安全。毕竟希望进行这样设置的都是我们经常访问的,信任的网站,而网上其他无法被充分信任的网站还有很多。因此先把目标网站添加到可信站点区域再设置,这样该设置就只能对我们经常访问的网站生效,对其他大部分网站还会首先进行提示,这样在保证易用性的同时还保持了一定的安全性。
和控件有关的提示
很多网页为了实现特殊的功能,往往会需要给IE中安装控件。例如要在IE中显示Flash动画,就需要安装Adobe的Flash控件;要进行Windows正版验证,就要安装微软的WGA控件。然而,并不是所有控件都是我们需要的,有很多网站以控件的形式诱骗用户安装所谓的“流氓软件”,这类软件一旦安装到系统中,就不容易彻底卸载,而且这类软件一般还会进行一些不够道德的操作,例如记录并发送用户的网页浏览习惯、在系统中显示广告,劫持并锁定IE首页等。为了防范不良控件,IE中增加了很多专用功能。
不带数字签名的控件
要正常安装控件,那么控件的安装文件必须包含有效的数字签名,这样IE才会询问我们是否安装;如果不带数字签名,那么IE根本不会询问,直接就会禁止安装。
数字签名有两个作用:1,证明该控件的来源和作用,例如从数字签名中,我们可以知道该控件是哪家公司开发的,有什么作用;2,证明该控件在发布后没有被篡改,例如,如果一家公司开发了一个没有恶意的控件,放在自己的网站上供人下载,但有人攻破了该公司的网页服务器,给控件中捆绑了恶意代码,这就会导致控件的数字签名失效(哪怕文件只有一个字节的变动,都会导致数字签名失效),因此也就不会被提示安装。
如果访问的网页需要安装不带数字签名的控件,那么我们首先会看到IE的信息栏告诉我们说Internet Explorer已经停止从此站点安装ActiveX控件到计算机。如果单击该信息栏,选择“安装ActiveX控件”选项,随后可以看到图10所示的界面,这样不带数字签名的控件根本无法安装。
当然,这种限制有效地保护了系统安全,但有时候我们可能确实需要安装某个不带签名的控件,这时候又该怎么办?打开Internet选项对话框的安全选项卡,选中Internet区域,单击“自定义级别”按钮,在随后出现的安全设置对话框中找到“下载未签名的ActiveX控件”选项,选择“启用(不安全)”。随后关闭所有对话框,刷新网页,单击信息栏,指向“已阻止的安装”,接着选择“安装ActiveX控件”选项即可。安装好后记得将该选项恢复为默认的安全设置。
带有数字签名的控件
带有数字签名的控件很简单,只要单击相应的选项进行安装即可。不过在安装的时候一定要注意看自己安装的控件是谁开发的,有什么作用。因为现在很多以控件形式存在的流氓软件也是带有数字签名的,因此并不能凭借是否带有数字签名为标准判断某个控件是否是流氓软件。
UAC的各种提示信息
在Windows Vista中,我们最多遇到的可能并不是Internet Explorer的各种安全提示,而是UAC的提示。基本上,在安装或运行某些软件,或者对系统的一些设置进行调整的时候,都会看到和UAC有关的提示。
UAC的提示信息主要有两个类别。如果当前登录的是管理员帐户,那么UAC提示信息就是一个简单的对话框,上面显示了要执行的操作,并提供了按钮供我们选择继续操作或者禁止操作;如果当前登录的是非管理员帐户,那么UAC提示信息就是一个类似登录对话框的界面,上面显示了要执行的操作以及本机现有的管理员帐户,我们需要单击其中一个帐户 ,输入正确的密码,才能继续。
现在有关UAC的介绍已经有很多,因此本文不打算过多讨论。本文只打算介绍各种UAC提示信息的含义以及如何设置能在保证安全性的同时将UAC对我们的影响降低到最小。
打开或关闭安全桌面
默认情况下,当显示UAC界面的时候,整个屏幕会变黑,然后除了UAC对话框外,其他内容都会变暗显示,无法操作,只有UAC对话框可以操作,这就是安全桌面。
使用安全桌面的主要目的是为了防止其他恶意软件制造假的UAC提示框骗取用户的密码,因为在安全桌面上,只有系统自己的UAC对话框可以操作,其他程序的界面都只能观看,无法操作。因此就算恶意软件伪造了一个惟妙惟肖的UAC对话框,因为无法伪造安全桌面,因此也无法得逞。然而在一些配置不够高的计算机上,显示安全桌面的时候会导致系统段时间的停顿,因此很多人并不喜欢这一功能。如果希望禁止安全桌面,请运行secpol.msc打开本地安全策略控制台,定位到“本地策略-安全选项”,禁用“用户帐户控制:提示提升时切换到安全桌面”这一策略即可。
优化提升提示
Windows Vista中定义了两种等级的用户帐户:标准帐户和管理员帐户,同时还为应用程序定义了两种模式(运行级别),分别是标准用户模式和管理员模式。标准用户帐户可以使用大部分软件,可以更改不影响其他用户以及系统整体安全性的系统设置,而管理员帐户则对计算机拥有完整的控制权,并且可以修改任何设置。当用户启动一个程序的时候,他的访问令牌以及相关联的管理员特权就会传递给这个程序,这等于把自己在本机上的所有权力和特权都给了这个程序。进一步说,所有程序在安装过程中都被配置为只能运行在特定的模式下,任何标准模式下运行的程序执行的任务在需要得到管理员特权的时候都必须通过用户的允许,而这一允许过程就叫做提升提示。
在本地安全策略控制台的“本地策略-安全选项”下有几个以“用户帐户控制”字样打头的策略,这些策略控制了提升提示的详细情况,其中比较重要的有:
用户帐户控制:标准用户的提升提示行为 决定了使用标准用户帐户登录的用户在运行管理员模式的程序时是否可以看见提升提示。默认情况下,使用标准用户帐户登录的用户在运行管理员模式的程序时会被要求输入管理员帐户的登录凭据,但通过配置这个选项,这样用户就不会看到提示。在这种情况下,用户将无法通过提供管理员帐户的登录凭据获得提升后的权限。但该设置并不能阻止用户用鼠标右键单击程序的快捷方式,然后选择以管理员身份运行的方式进行提升。
用户帐户控制:管理员批准模式中的管理员提升提示行为 决定了受限于管理员批准模式的管理员帐户在运行管理员模式的程序时是否可以看到提升提示,同时还决定了提升提示的工作方式。默认情况下,管理员在运行管理员模式的程序时会被要求批准,只要配置了该选项,那么管理员就必须输入自己的密码,就好像标准用户那样。你还可以通过配置这个选项让管理员看不到任何提示,这种情况下,管理员也将无法提升自己的特权。不过这样做并不能防止管理员用鼠标右键单击一个程序的快捷方式,然后选择以管理员身份运行。
用户帐户控制:用于内置Administrator帐户的管理员批准模式 决定了使用内置的本地Administrator帐户登录的用户和进程是否受限于管理员批准模式。默认情况下这个功能是启用的,这意味着内置的Administrator帐户也受限于管理员批准模式,并且还进一步受限于针对管理员帐户的提升提示行为设置。如果禁用该设置,使用内置Administrator帐户的用户和进程将无法受限于管理员批准模式,因此也不受限于针对管理员帐户的提升提示行为设置。
不同颜色的提升提示对话框
当我们运行一个程序的时候,如果需要使用管理员权限,那么UAC会显示提升提示对话框,然而根据程序性质的不同,对话框的样式也会有所不同。例如图11和图12就是两个不同的提升提示对话框,从图中可以看出,这两个对话框的主要区别在于程序的类型以及对话框的背景颜色。
图11显示的是我们试图打开计算机管理控制台时候的提升提示对话框。因为这是一个Windows自带的工具,因此带有微软的数字签名,同时被认为是可信的。这个对话框的背景(顶部的色块)是蓝色。
图12是当我们试图以管理员身份运行一个第三方软件时看到的提升提示对话框,因为该程序没有包含有效的数字签名,因此Windows Vista将其显示为“未能识别的程序”,同时对话框顶部的色块是黄色的,而且带有一个盾牌图标。
根据发行者的不同,Windows Vista会将应用程序分为下列类别:
Windows Vista
发行者已验证(已签名)
发行者未验证(未签名)
接下来,为了帮助我们快速判断安装或运行应用程序可能导致的潜在危险,取决于应用程序所属类别的不同,权限提升的提示窗口会使用不同的颜色和特定信息进行区分:
如果应用程序来自被禁止的发行者或者被组策略所禁止,权限提升的提示窗口会显示红色的背景,并显示“应用程序被禁止运行”的字样。
如果应用程序是管理性质的(例如计算机管理控制台),权限提升的提示窗口会显示蓝色/绿色的背景,并显示“Windows需要您的许可才能继续”的字样。
如果应用程序带有数字签名,并且该签名被本机所信任,权限提升的提示窗口会显示灰色的背景,并显示“程序需要您的许可才能继续”的字样。
如果应用程序不带数字签名(或者带有签名,但不被信任),权限提升的提示窗口会显示黄色的背景和红色的盾牌图标,并显示“一个未能识别的程序要访问您的计算机”的字样。
通过不同颜色的区别,再根据提升提示对话框上显示的详细信息,我们就能判断出要运行的程序到底是什么身份,并决定是否允许该程序以管理员身份运行。
强制以管理员身份运行
因为有了UAC功能,很多老程序可能无法在标准用户帐户下运行。这主要是因为程序可能为了实现特殊的功能而要访问系统底层的内容或设置,或者程序设计不合理,毫无根据地要求用户具有管理员权限。这类程序在Vista下运行可能会遇到问题。
兼容Windows Vista的应用程序的安装文件使用了一个包含运行级别信息的应用程序清单文件(Application manifest)帮助操作系统了解该程序所需的特权。应用程序清单文件通过下列方式定义应用程序需要的特权:
RunAsInvoker 使用和当前用户同样的特权运行应用程序,这样任何用户都可以运行该程序。对于标准用户或者隶属于管理员组的用户,该程序会使用标准访问令牌运行,只有在启动该程序的父进程(parent process)具有管理员访问令牌的时候,程序才会使用更高的特权运行。例如,如果你运行了一个提升后的命令提示符窗口,然后从该窗口下启动了一个程序,该程序才会以管理员访问令牌运行。
RunAsHighest 使用当前用户具有的最高特权运行应用程序,这样的程序可以被管理员用户和标准用户运行。可以被程序执行的任务取决于用户的特权,对于标准用户,程序会使用标准访问令牌运行;对于隶属于拥有更高权限用户组,例如backup operators组、server operators组或者account operators组的用户,程序会使用只包含用户当前具有的特权的访问令牌运行;对于隶属于管理员组的用户,程序会使用完整的管理员令牌运行。
RunAsAdmin 使用管理员特权运行应用程序,只有管理员才能运行该程序。对于标准用户或者隶属于拥有更高权限用户组的用户,只有在用户可以通过提升获取更高的权限以进行提升,或者程序通过提升后的父进程启动的情况下(例如通过提升后的命令提示符窗口运行该程序),该程序才可以运行;对于隶属于管理员组的用户,该程序会使用管理员访问令牌运行。
因此如果一个程序带有清单文件,Windows Vista就能根据文件的信息判断出程序正常运行所需的权限,并对比用户具有的权限,判断是否需要提升权限。但如果程序不带清单文件,Windows Vista将以标准用户的身份启动程序,这是导致一些老程序无法正常使用的主要原因。
对于这类程序,解决起来也很简单,只要强制让该程序每次都使用管理员身份运行即可。只要在该程序的快捷方式上点击鼠标右键,选择属性,打开属性对话框的兼容性选项卡,接着选中“请以管理员身份运行该程序”选项即可。
实际上Windows Vista中和安全性有关的各种提示还有很多,不过陷于篇幅本文无法一一介绍。但在遇到其他本文未涉及的安全提示的时候,只要仔细查看说明,并配合Windows的帮助文件,就可以了解该提示的具体含义以及才怎样操作。希望通过合理使用这些安全功能,你的系统可以更加安全。