Windows Vista IE下紫光拼音的终极解决办法
作者 盆盆
难度
Level200
链接 http://blogs.itecn.net/blogs/winvista/archive/2006/10/08/3777.aspx
介绍 Windows Vista文章宝库,网址http://vista.itecn.net,旨在研究和推广Windows Vista技术,由多位Microsoft MVP和其他技术爱好者组成。大部分成员接受过微软中国组织的Windows Vista讲师培训,其中四位MVP还在新加坡接受过微软Windows Vista部门的专门培训。
在拙作《Windows Vista IE保护模式深度剖析》中曾经提到紫光拼音无法在IE浏览器里正常调用,并且还给出一个方法,可以手动创建NTFS的符号链接,以欺骗紫光拼音。
在实际的使用过程中,发现这个方法在大多数时候可以正常工作,但是如果在打开IE之前,已经调用过紫光拼音,则可能无法在IE浏览器里顺利启动紫光拼音。
在笔者的那篇文章里还提到,Windows Vista没有自带的工具,无法查看和设置文件夹的完整性级别。
果真是这样吗?
笔者有幸在Tech.Ed北京听了IE保护模式的负责人Robert Gu的一堂课,了解到Windows Vista其实自带了一款命令行工具Icacls.exe,可以用它来查看和设置指定文件夹的完整性级别。
提示
Robert Gu,微软总部的首席开发主管,目前负责IE 7安全的开发。他是EFS算法的发明者,曾主导EFS、PKI的开发,是华人中的骄傲。
现在我们可以大胆猜测,既然有现成的Icacls.exe可供使用,则完全可以用它来把紫光拼音的工作目录“%AppData%\Unispim”的完整性级别设置为“低级”,这样无论是IE进程(低级)和外部的进程(中级),都可以访问该工作目录,紫光拼音就可以工作正常。
说做就做,接下来就以Windows Vista RC2 Build 5744为例进行介绍(需要注意的是,该Icacls命令在RC1下无法正常工作):
1.首先需要给当前的帐户增加“修改一个对象标签”特权,其内部名称为SeRelabelPrivilege。方法是运行secpol.msc,打开“本地安全策略”管理单元,在左侧控制台树中展开本地策略、用户权限分配,在右侧详细窗格里定位到“修改一个对象标签”策略项,双击该策略项,把当前的登录帐户添加进去,如附图所示。
2.注销重新登录,然后以管理员权限运行命令提示符,在命令提示符下输入以下命令:
Whoami/all |find /i
"SeRelabelPrivilege"
结果如附图所示,这表示当前登录用户已经拥有SeRelabelPrivilege特权,只是状态为禁用。
3.然后运行以下命令:
Icacls.exe
%AppData%\Unispim /SetIntegrityLevel Level:L
命令结果如附图所示,表示成功完成。
4.可以继续运行以下命令,查看%AppData%\Unispim目录的完整性级别:
Icacls.exe
%AppData%\Unispim
命令结果如附图所示,表示该目录的强制完整性级别为“低”。
经过这样处理以后,就可以正常在IE浏览器里启用紫光拼音了,而再也不需要针对特定网站禁用IE保护模式。
如果偶尔发现无法在IE里启动紫光拼音,这时候不要着急,只需临时关闭其他启用输入法的程序,一般是Outlook、Word、Notepad等编辑程序,然后就可以在IE里正常使用紫光拼音。
接下来,还有两个问题:
1.细心的读者朋友发现用Whoami/all命令查看当前用户的访问令牌时,发现SeRelabelPrivilege特权是禁用的。而这个特权正是用来设置对象的完整性级别,那么这时候为什么Icacls命令可以成功运行?
原来当运行Icacls命令设置目录的完整性级别时,该Icacls进程的访问令牌会自动启用SeRelabelPrivilege特权,以便命令能够顺利完成。
2.由于Windows
Vista RC1下的Icacls命令不能正常工作,这里可以下载一个第三方的命令行工具chml.exe,该工具是由Mark Minasi制作的(《Mastering
Windows Server 2003》一书的主要作者),该工具的下载地址:
http://www.minasi.com/vista/chml.exe
注意 chml的使用语法和Icacls不同,具体使用方法请参考其联机帮助信息!
提示
本文部分参考自Mark Minasi的文章:
http://www.minasi.com/vista/chml.htm