多用户环境下活用软件限制策略
新客网 XKER.COM 2007-11-14 来源: 收藏本文
证书规则
上文中我们已经说过,通过使用证书规则,我们可以通过应用程序文件的数字签名来决定是否允许运行该程序。对于这个功能,应该谨慎使用,因为一旦启用证书规则,那么每次运行程序的时候,系统都将对程序需要的每个可执行文件以及库文件(如果设置了包含库文件的话)检验数字签名,这有可能导致系统性能的降低。
在Windows Vista中,创建证书规则是很简单的,我们不需要专门获得软件公司的证书,因为只要有带有数字签名的文件,Windows Vista就可以自动从中提取证书。因此我们可以直接单击“浏览”按钮,在随后出现的下拉菜单中定位证书。
在定位证书的时候要注意,如果你已经准备好了需要添加规则的证书(.cer或者.crt文件),那么可以在“打开”对话框中选中这些文件即可。如果你手头没有需要的证书,但是想要对特定的软件进行限制,也很简单,只要该软件带有数字签名(由正规公司新发行的软件基本上都带有),那么在“打开”对话框的文件类型下拉菜单中选择“签名的文件”选项,然后直接选择目标软件对应的主文件即可。
选择好文件或者证书后,“证书使用者名称”文本框就会变为灰色,同时显示所选证书的信息。如果需要看到证书的详细信息,可以单击右侧的“详细信息”按钮。
接下来,我们需要在“安全级别”下拉菜单在中选择一个级别,例如是“不允许的”或者“不受限的”。
最后,为了方便日后管理众多的规则,我们还可以在“描述”文本框中输入一定的描述性文字。
如果你还在使用Windows XP,那么在使用证书策略的时候会遇到一些麻烦,因为Windows XP限制我们只能使用.cer或者.crt文件创建规则,而不能使用带有数字签名的程序文件。因此在Windows XP中创建证书规则的时候,我们必须首先能够获得某个厂商的数字证书。方法也很简单,我们只需要准备一个该厂商发布的,带有数字签名的软件的安装程序(.exe或者.msi格式的文件)即可。具体的操作步骤是这样的:
1. 打开Windows资源管理器,找到目标文件,用鼠标右键单击,选择“属性”,打开“属性”对话框。
2. 在“属性”对话框上打开“数字签名”选项卡(注意,如果没找到这样的选项卡,说明该安装程序不带数字签名,无法从中提取)。
3. 在签名列表中通常会出现该程序开发商的名称,单击将其选中,然后单击下方的“详细信息”按钮。
4. 在随后出现的数字签名详细信息对话框上直接单击“查看证书”按钮,随后可以打开”证书“对话框。
5. 打开”证书“对话框的“详细信息”选项卡,单击底部的“复制到文件”按钮(如图6)。
6. 随后可以看到一个证书导出向导对话框,在向导的第一个页面上单击“下一步”。
7. 随后可以看到如图7的导出文件格式页面,在这里选择默认的“DER编码二进制X.509”,然后单击“下一步”。
8. 接下来为证书文件指定一个保存位置,可以单击“浏览”按钮进行定位。选择好之后单击“下一步”。
9. 单击“完成”,证书导出操作结束。
至此,我们已经得到了目标软件的.cer格式的证书,利用这个证书我们可以按照上文介绍的方法创建证书规则,并对所有带有该证书的软件的运行进行控制。
上文中我们已经说过,通过使用证书规则,我们可以通过应用程序文件的数字签名来决定是否允许运行该程序。对于这个功能,应该谨慎使用,因为一旦启用证书规则,那么每次运行程序的时候,系统都将对程序需要的每个可执行文件以及库文件(如果设置了包含库文件的话)检验数字签名,这有可能导致系统性能的降低。
在Windows Vista中,创建证书规则是很简单的,我们不需要专门获得软件公司的证书,因为只要有带有数字签名的文件,Windows Vista就可以自动从中提取证书。因此我们可以直接单击“浏览”按钮,在随后出现的下拉菜单中定位证书。
在定位证书的时候要注意,如果你已经准备好了需要添加规则的证书(.cer或者.crt文件),那么可以在“打开”对话框中选中这些文件即可。如果你手头没有需要的证书,但是想要对特定的软件进行限制,也很简单,只要该软件带有数字签名(由正规公司新发行的软件基本上都带有),那么在“打开”对话框的文件类型下拉菜单中选择“签名的文件”选项,然后直接选择目标软件对应的主文件即可。
选择好文件或者证书后,“证书使用者名称”文本框就会变为灰色,同时显示所选证书的信息。如果需要看到证书的详细信息,可以单击右侧的“详细信息”按钮。
接下来,我们需要在“安全级别”下拉菜单在中选择一个级别,例如是“不允许的”或者“不受限的”。
最后,为了方便日后管理众多的规则,我们还可以在“描述”文本框中输入一定的描述性文字。
如果你还在使用Windows XP,那么在使用证书策略的时候会遇到一些麻烦,因为Windows XP限制我们只能使用.cer或者.crt文件创建规则,而不能使用带有数字签名的程序文件。因此在Windows XP中创建证书规则的时候,我们必须首先能够获得某个厂商的数字证书。方法也很简单,我们只需要准备一个该厂商发布的,带有数字签名的软件的安装程序(.exe或者.msi格式的文件)即可。具体的操作步骤是这样的:
1. 打开Windows资源管理器,找到目标文件,用鼠标右键单击,选择“属性”,打开“属性”对话框。
2. 在“属性”对话框上打开“数字签名”选项卡(注意,如果没找到这样的选项卡,说明该安装程序不带数字签名,无法从中提取)。
3. 在签名列表中通常会出现该程序开发商的名称,单击将其选中,然后单击下方的“详细信息”按钮。
4. 在随后出现的数字签名详细信息对话框上直接单击“查看证书”按钮,随后可以打开”证书“对话框。
5. 打开”证书“对话框的“详细信息”选项卡,单击底部的“复制到文件”按钮(如图6)。
6. 随后可以看到一个证书导出向导对话框,在向导的第一个页面上单击“下一步”。
7. 随后可以看到如图7的导出文件格式页面,在这里选择默认的“DER编码二进制X.509”,然后单击“下一步”。
8. 接下来为证书文件指定一个保存位置,可以单击“浏览”按钮进行定位。选择好之后单击“下一步”。
9. 单击“完成”,证书导出操作结束。
至此,我们已经得到了目标软件的.cer格式的证书,利用这个证书我们可以按照上文介绍的方法创建证书规则,并对所有带有该证书的软件的运行进行控制。
最新相关文章发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
阅读排行
随机推荐
实用信息推荐