“鎖”住系統安全防線

即使有各式各樣安全工具的護衛，Windows系統的安全防線也不見得有多牢靠，因為在一些局域網環境中，惡意用戶只要想辦法動動系統的關鍵設置，就能輕松穿越各種限制，讓攻擊變得堂而皇之。有鑒于此，大家有必要學會“鎖定”系統的一些重要設置，避免他人隨意跨越系統安全防線。

本文分別通過鎖住網頁訪問入口、系統控制入口、網絡打印通道、系統桌面入口、應用程序漏洞、私密程序窗口，多方面多角度實例講解建立鎖住Windows系統安全防線。

鎖住網頁訪問入口

隱藏在陌生站點背后的一些非法程序經常會偷偷修改IE瀏覽器主頁地址。要想禁止病毒木馬程序發動的主頁攻擊，不妨進行如下操作，鎖住網頁訪問入口。

首先逐一點選“開始”、“運 行”命 令，展開系統運行對話框，輸入“regedit”命令并回車，打開注冊表編輯器。在該界面的左側列表中，將鼠標定位到“HKEY_CURRENT_USERSoftwarePoliciesMicrosoft”注冊表分支上，用鼠標右鍵單擊目標分支選項，從彈出的右鍵菜單中，逐一選擇“新建”、“項”命令，將新創建的子項名稱設置為“Internet Explorer”，如圖1所示。

圖1 鎖住網頁訪問入口設置

依照相同的操作方法，在“Internet Explorer”分支下，再手工生成“Control Panel”子項。用鼠標右鍵單擊剛剛創建好的“Control Panel”子項，依次點擊“新建”、“Dword(32-位 ) 值”命令，將新建的雙字節鍵值取名為“HomePage”。選中“HomePage”雙字節鍵值，并用鼠標雙擊，在其后彈出的編輯鍵值對話框中，輸入十六進制數值“1”，確認后保存設置操作，再刷新系統注冊表。

這時，進入Internet選項設置對話框，會看到常規選項設置頁面中的主頁設置已經變成灰色調，普通用戶將不能再調整該設置。日后，大家自己想調整IE瀏覽器的主頁地址時，只要簡單地將“HomePage”雙字節鍵值數值調整為“0”，同時刷新系統注冊表讓設置生效即可。

鎖住系統控制入口

要修改Windows系統各種設置，必須先進入控制面板窗口，若能限制訪問這一入口，那么Windows系統會牢固很多。考慮到Windows系統自身提供本地組策略編輯功能，可以借助該功能，對計算機系統的控制面板或其中某項設置進行鎖定。

首先依次點擊“開始”、“運行”命令，彈出系統運行對話框，輸入“gpedit.msc”命令并回車，開啟本地組策略編輯器運行狀態。在該窗口左側區域中，將鼠標定位到“本地計算機策略”、“用戶配置”、“管理模板”、“控制面板”節點上。

在指定節點下面，選中“禁止訪問控制面板”組策略，用鼠標雙擊之切換到對應選項設置框，勾選“已啟用”選項，確認后對應設置會立即生效。日后，有人嘗試修改系統設置時，這種設置操作將會被禁止。此外，要是在一些系統組件屬性對話框中，關聯了系統控制面板中的某項項目時，系統也會出現禁止操作提示。

在Windows 10某些版本中不支持組策略編輯操作，需通過修改系統注冊表來鎖住系統控制入口。打開運行對話框，輸入“regedit”命令開啟注冊表編輯界面，定 位 到“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”節點，手工創建好一個32位的雙字節鍵值，將其名稱輸入為“NoControlPanel”，之后 將數值設置為“1”，確認后保存即可。

鎖定網絡打印通道

共享打印環境中，考慮到安全方面的原因，有時不想讓網絡打印機被隨意使用，那么該如何鎖定網絡打印通道呢？善于使用Port Locker工具，就能輕松達到目的，順便還能鎖住其他USB接口的網絡設備。

下載安裝好Port Locker后，它能跟隨Windows系統自動啟動運行，同時對網絡打印機的訪問使用情況進行全程監控。在具體執行鎖住網絡打印通道操作時，可用鼠標右擊系統托盤區域處的Port Locker控制圖標，在右鍵菜單中執行“初始化向導”命令切換到初始化向導對話框，輸入好加鎖密碼及提示內容，點擊“下一步”按鈕后，所有的網絡打印通道和USB端口就會被自動鎖住。當單位網絡中其他人嘗試使用網絡打印通道時，該工具可自動鎖定，并展開安全認證提示框，正確輸入解鎖密碼即可順利使用網絡打印通道。

要是網絡打印機在Port Locker啟動運行后才安裝連接到計算機系統中的，那么該工具就不能對其進行自動鎖定了。這時不妨打開其右鍵菜單，單擊“鎖定所有裝置”命令，強制目標工具對包括新網絡打印機在內的所有裝置進行重新鎖定操作。在需要對網絡打印通道執行解鎖操作時，只要從對應工具右鍵菜單中點選“解除所有裝置”命令，在其后彈出的安全認證對話框中，輸入解鎖密碼，單擊“確定”后即可。

鎖住系統桌面入口

若Windows系統在工作過程中，系統用戶恰好有急事要臨時離開，那大家不妨巧妙使用屏保，鎖住系統桌面入口，保護登錄操作安全，謹防非法用戶趁機訪問系統中的隱私數據，或進行其他一些破壞操作。這項操作能夠讓Windows系統在登錄成功后，自動地啟用屏幕密碼保護功能，讓非法用戶無機可趁。

打開系統運行文本框，輸入“regedit”命令并回車，打開系統注冊表編輯窗口。將鼠標定位到注冊表分 支“HKEY_CURRENT_USERControl Paneldesktop”上，檢查指定分支下是否存 在“Screen Save Active”字符串鍵值，如果不能找到該鍵值時，可以打開指定分支的右鍵菜單，逐一點選“新建”、“字符串值”命令，將新建鍵值取名為“Screen Save Active”，同 時用鼠標雙擊該鍵值，展開編輯界面，輸入數值“1”，單擊“確定”按鈕保存設置操作。這樣，就能成功啟用Windows系統的屏幕保護功能。

之后從指定分支右鍵菜單中，依次點選“新 建”、“字 符 串 值”命令，將新建鍵值取名為“Screen Saverls Secure”，同時切換到對應鍵值編輯對話框，輸入數值“1”，確認后Windows系統就會被強制啟用密碼保護功能。對Windows系統執行重啟操作，在成功登錄后的一分鐘內，倘若系統處于空閑狀態，將會自動啟用密碼保護的屏幕保護程序，那么非法攻擊者在不知道密碼的情況下，將無法登錄進入計算機系統進行破壞或偷窺操作。

鎖住應用程序漏洞

在重要終端計算機系統中，一些應用程序自身可能存在安全漏洞，這些漏洞無法通過安裝更新系統補丁程序來“堵”住。為了防止它們被木馬、病毒非法利用，可以利用Windows系統的高級安全防火墻，將存在漏洞的程序入站連接鎖起來，禁止病毒、木馬程序通過特定程序的漏洞對本地系統發動非法攻擊。下面以Vista系統為例，介紹鎖定漏洞程序入站連接的具體步驟：

首先依次單擊“開始”、“運行”命令，打開系統運行文本框，輸入“mmc”命令并回車，進入系統控制臺窗口。逐一點擊“文件”、“添加/刪除管理單元”命令，在“可用管理單元”列表中選擇“高級安全Windows防火墻”選項，按下“添加”按鈕，將“高級安全Windows防火墻”手工添加到“所選管理單元”列表中，確認后返回系統控制臺窗口，選中“高級安全Windows防火墻”選項，打開Vista系統的高級防火墻配置界面。

其次點擊“入站規則”選項，從操作列表區域選擇“新規則”選項，展開新建入站規則向導對話框。依照向導屏幕提示，選中“程序”項目，點擊“下一步”按鈕，彈出設置對話框，選中“此程序路徑”選項，輸入存在漏洞的特定應用程序路徑，當然也能直接按下“瀏覽”按鈕，從彈出的文件打開對話框中導入特定應用程序。

當創建向導提示用戶連接符合指定條件時應進行什么操作時，一定要勾選“阻止連接”選項，點擊“下一步”按鈕，同時設置好該規則的應用范圍，在這里可以將“域”、“專用”、“公用”等選項同時選中，確保Vista系統連接到所有網絡時，任何病毒或木馬都無法通過特定應用程序的漏洞對本地電腦系統進行非法攻擊。

最后入站規則向導會提示用戶為當前創建的新規則定義好名稱，可以依照提示設置一個適當的名稱，單擊“完成”按鈕返回，這樣日后目標應用程序可以正常上網訪問，但是網絡中的其他終端計算機卻無法通過該程序的漏洞攻擊Vista系統。

鎖住私密程序窗口

為了避免私密信息被人偷窺，不少用戶都會考慮對它們進行加密保護。比方說，當短暫離開計算機時，不少人會通過屏幕保護程序，來禁止別人偷偷訪問。但要是臨時將計算機借給別人，屏幕保護程序就不能發揮作用了。這時，可以通過“LockThis!”工具，對特定打開的私密程序進行鎖定保護。例如，在啟用一個重要應用程序，準備處理個人私密信息時，突然有急事需要臨時離開計算機現場，通過屏幕保護程序來進行加密保護，有時會顯得不太適合，此時不妨借助LockThis!工具，來鎖住已經打開的私密窗口。

在具體執行鎖定操作時，可以先下載得到LockThis!工具安裝程序，雙擊可執行文件，不經過安裝環節，就能直接啟動運行程序。當程序運行成功后，在系統托盤區域處能看到它的控制圖標，按下Ctrl鍵，同時點擊特定私密程序窗口中的最小化按鈕，就能達到快速鎖定目的！按照相同的操作方法，可以將其他私密窗口逐一加密鎖定起來。

當用戶自己需要重新打開應用程序窗口時，只要在密碼輸入對話框中，輸入加密密碼，初次使用該程序時，默認密碼為“LockThis!”，而且不區分大小寫字符。一旦密碼內容輸入正確，那么程序鎖定狀態就會自動解除，這樣我們就能正常在應用程序窗口中進行各種瀏覽、訪問操作了；相反，要是不知道加密密碼的話，那么用戶將在對應程序窗口中無法進行任何操作。

因為LockThis!工具默認使用的加密密碼，就是應用程序的名稱，為了提高安全防范性能，大家有必要修改加密密碼，讓密碼內容來得更復雜一些，保證別人不能進行暴力破解。

在調整密碼內容時，先用鼠標右擊系統托盤區域處的程序控制圖標，點選右鍵菜單中的“admin panel”命令，再輸入默認密碼內容，切換到“參數配置”對話框；然后依次勾選“Single password for protection”、“use admin password”選項，確保隱私保護密碼與管理控制密碼完全相同。接下來在“Admin Password”設 置項處，按下“change admin password”按鈕，展開“密碼修改”對話框，將以前的默認密碼輸入一遍，再輸入兩遍新密碼內容，再按“OK”按鈕即可。