因此本文以Windows XP Professional版本为平台,引领大家感受一下Windows XP在“权限”方面的设计魅力!
一、什么是权限
Windows XP提供了非常细致的权限控制项,能够精确定制用户对资源的访问控制能力,大多数的权限从其名称上就可以基本了解其所能实现的内容。 (本文是电脑知识网 WWW.SQ120.COM 推荐文章)
“权限”(Permission)是针对资源而言的。也就是说,设置权限只能是以资源为对象,即“设置某个文件夹有哪些用户可以拥有相应的权限”,而不能是以用户为主,即“设置某个用户可以对哪些资源拥有权限”。wWW.itCOmPuteR.Com.CN这就意味着“权限”必须针对“资源”而言,脱离了资源去谈权限毫无意义──在提到权限的具体实施时,“某个资源”是必须存在的。
利用权限可以控制资源被访问的方式,如User组的成员对某个资源拥有“读取”操作权限、Administrators组成员拥有“读取+写入+删除”操作权限等。
值得一提的是,有一些Windows用户往往会将“权力”与“权限”两个非常相似的概念搞混淆,这里做一下简单解释:“权力”(Right)主要是针对用户而言的。“权力”通常包含“登录权力”(Logon Right)和“特权”(Privilege)两种。登录权力决定了用户如何登录到计算机,如是否采用本地交互式登录、是否为网络登录等。特权则是一系列权力的总称,这些权力主要用于帮助用户对系统进行管理,如是否允许用户安装或加载驱动程序等。显然,权力与权限有本质上的区别。
二、安全标识符、访问控制列表、安全主体
说到Windows XP的权限,就不能不说说“安全标识符”(Security Identifier, SID)、“访问控制列表”(Access Control List,ACL)和安全主体(Security Principal)这三个与其息息相关的设计了。
1.安全标识符
在Windows XP中,系统是通过SID对用户进行识别的,而不是很多用户认为的“用户名称”。SID可以应用于系统内的所有用户、组、服务或计算机,因为SID是一个具有惟一性、绝对不会重复产生的数值,所以,在删除了一个账户(如名为“A”的账户)后,再次创建这个“A”账户时,前一个A与后一个A账户的SID是不相同的。这种设计使得账户的权限得到了最基础的保护,盗用权限的情况也就彻底杜绝了。
查看用户、组、服务或计算机的SID值,可以使用“Whoami”工具来执行,该工具包含在Windows XP安装光盘的“Support\Tools”目录中,双击执行该目录下的“Setup”文件后,将会有包括Whoami工具在内的一系列命令行工具拷贝到“X:\Program Files\Support Tools”目录中。此后在任意一个命令提示符窗口中都可以执行“Whoami /all”命令来查看当前用户的全部信息。
2.访问控制列表(ACL)
访问控制列表是权限的核心技术。顾名思义,这是一个权限列表,用于定义特定用户对某个资源的访问权限,实际上这就是Windows XP对资源进行保护时所使用的一个标准。
在访问控制列表中,每一个用户或用户组都对应一组访问控制项(Access Control Entry, ACE),这一点只需在“组或用户名称”列表中选择不同的用户或组时,通过下方的权限列表设置项是不同的这一点就可以看出来。显然,所有用户或用户组的权限访问设置都将会在这里被存储下来,并允许随时被有权限进行修改的用户进行调整,如取消某个用户对某个资源的“写入”权限。
3.安全主体(Security Principal)
在Windows XP中,可以将用户、用户组、计算机或服务都看成是一个安全主体,每个安全主体都拥有相对应的账户名称和SID。根据系统架构的不同,账户的管理方式也有所不同──本地账户被本地的SAM管理;域的账户则会被活动目录进行管理……
一般来说,权限的指派过程实际上就是为某个资源指定安全主体(即用户、用户组等)可以拥有怎样的操作过程。因为用户组包括多个用户,所以大多数情况下,为资源指派权限时建议使用用户组来完成,这样可以非常方便地完成统一管理。
三、权限的四项基本原则
在Windows XP中,针对权限的管理有四项基本原则,即:拒绝优于允许原则、权限最小化原则、累加原则和权限继承性原则。这四项基本原则对于权限的设置来说,将会起到非常重要的作用,下面就来了解一下:
1.拒绝优于允许原则
“拒绝优于允许”原则是一条非常重要且基础性的原则,它可以非常完美地处理好因用户在用户组的归属方面引起的权限“纠纷”,例如,“shyzhong”这个用户既属于“shyzhongs”用户组,也属于“xhxs”用户组,当我们对“xhxs”组中某个资源进行“写入”权限的集中分配(即针对用户组进行)时,这个时候该组中的“shyzhong”账户将自动拥有“写入”的权限。
但令人奇怪的是,“shyzhong”账户明明拥有对这个资源的“写入”权限,为什么实际操作中却无法执行呢?原来,在“shyzhongs”组中同样也对“shyzhong”用户进行了针对这个资源的权限设置,但设置的权限是“拒绝写入”。基于“拒绝优于允许”的原则,“shyzhong”在“shyzhongs”组中被 “拒绝写入”的权限将优先于“xhxs”组中被赋予的允许“写入”权限被执行。因此,在实际操作中,“shyzhong”用户无法对这个资源进行“写入”操作。
2.权限最小化原则
Windows XP将“保持用户最小的权限”作为一个基本原则进行执行,这一点是非常有必要的。这条原则可以确保资源得到最大的安全保障。这条原则可以尽量让用户不能访问或不必要访问的资源得到有效的权限赋予限制。
基于这条原则,在实际的权限赋予操作中,我们就必须为资源明确赋予允许或拒绝操作的权限。例如系统中新建的受限用户“shyzhong”在默认状态下对“DOC”目录是没有任何权限的,现在需要为这个用户赋予对“DOC”目录有“读取”的权限,那么就必须在“DOC”目录的权限列表中为“shyzhong”用户添加“读取”权限。
3.权限继承性原则
权限继承性原则可以让资源的权限设置变得更加简单。假设现在有个“DOC”目录,在这个目录中有“DOC01”、“DOC02”、“DOC03”等子目录,现在需要对DOC目录及其下的子目录均设置“shyzhong”用户有“写入”权限。因为有继承性原则,所以只需对“DOC”目录设置“shyzhong”用户有“写入”权限,其下的所有子目录将自动继承这个权限的设置。
4.累加原则
这个原则比较好理解,假设现在“zhong”用户既属于“A”用户组,也属于“B”用户组,它在A用户组的权限是“读取”,在“B”用户组中的权限是“写入”,那么根据累加原则,“zhong”用户的实际权限将会是“读取+写入”两种。
显然,“拒绝优于允许”原则是用于解决权限设置上的冲突问题的;“权限最小化”原则是用于保障资源安全的;“权限继承性”原则是用于“自动化”执行权限设置的;而“累加原则”则是让权限的设置更加灵活多变。几个原则各有所用,缺少哪一项都会给权限的设置带来很多麻烦!
注意:在Windows XP中,“Administrators”组的全部成员都拥有“取得所有者身份”(Take Ownership)的权力,也就是管理员组的成员可以从其他用户手中“夺取”其身份的权力,例如受限用户“shyzhong”建立了一个DOC目录,并只赋予自己拥有读取权力,这看似周到的权限设置,实际上,“Administrators”组的全部成员将可以通过“夺取所有权”等方法获得这个权限。
四、资源权限高级应用
以文件与文件夹的权限为例,依据是否被共享到网络上,其权限可以分为NTFS权限与共享权限两种,这两种权限既可以单独使用,也可以相辅使用。两者之间既能够相互制约,也可以相互补充。下面来看看如何进行设置:
1.NTFS权限
首先我们要知道:只要是存在NTFS磁盘分区上的文件夹或文件,无论是否被共享,都具有此权限。此权限对于使用FAT16/FAT32文件系统的文件与文件夹无效!
NTFS权限有两大要素:一是标准访问权限;二是特别访问权限。前者将一些常用的系统权限选项比较笼统地组成6种“套餐型”的权限,即:完全控制、修改、读取和运行、列出文件夹目录、读取、写入。如图1所示。
图1
在大多数的情况下,“标准权限”是可以满足管理需要的,但对于权限管理要求严格的环境,它往往就不能令管理员们满意了,如只想赋予某用户有建立文件夹的权限,却没有建立文件的权限;如只能删除当前目录中的文件,却不能删除当前目录中的子目录的权限等……这个时候,就可以让拥有所有权限选项的“特别权限”来大显身手了。也就是说,特别权限不再使用“套餐型”,而是使用可以允许用户进行“菜单型”的细节化权限管理选择了。
那么如何设置标准访问权限呢?以对一个在NTFS分区中的名为“zhiguo”的文件夹进行设置标准访问权限为例,可以按照如下方法进行操作:
因为NTFS权限需要在资源属性页面的“安全”选项卡设置界面中进行,而Windows XP在安装后默认状态下是没有激活“安全”选项卡设置功能的,所以需要首先启用系统中的“安全”选项卡。方法是:依次点击“开始”→“设置”→“控制面板”,双击“文件夹选项”,在“查看”标签页设置界面上的“高级设置”选项列表中清除“使用简单文件共享(推荐)”选项前的复选框后点击“应用”按钮即可。
设置完毕后就可以右键点击“zhiguo”文件夹,在弹出的快捷菜单中选择“共享与安全”,在“zhiguo属性”窗口中就可以看见“安全”选项卡的存在了。针对资源进行NTFS权限设置就是通过这个选项卡来实现的,此时应首先在“组或用户名称”列表中选择需要赋予权限的用户名组(这里选择“zhong”用户),接着在下方的“zhong 的权限”列表中设置该用户可以拥有的权限即可。
下面简单解释一下六个权限选项的含义:
①完全控制(Full Control):该权限允许用户对文件夹、子文件夹、文件进行全权控制,如修改资源的权限、获取资源的所有者、删除资源的权限等,拥有完全控制权限就等于拥有了其他所有的权限;
②修改(Modify):该权限允许用户修改或删除资源,同时让用户拥有写入及读取和运行权限;
③读取和运行(Read & Execute):该权限允许用户拥有读取和列出资源目录的权限,另外也允许用户在资源中进行移动和遍历,这使得用户能够直接访问子文件夹与文件,即使用户没有权限访问这个路径;
④列出文件夹目录(List Folder Contents):该权限允许用户查看资源中的子文件夹与文件名称;
⑤读取(Read):该权限允许用户查看该文件夹中的文件以及子文件夹,也允许查看该文件夹的属性、所有者和拥有的权限等;
⑥写入(Write):该权限允许用户在该文件夹中创建新的文件和子文件夹,也可以改变文件夹的属性、查看文件夹的所有者和权限等。
如果在“组或用户名称”列表中没有所需的用户或组,那么就需要进行相应的添加操作了,方法如下:点击“添加”按钮后,在出现的“选择用户和组”对话框中,既可以直接在“输入对象名称来选择”文本区域中输入用户或组的名称(使用“计算机名\用户名”这种方式),也可以点击“高级”按钮,在弹出的对话框中点击“立即查找”按钮让系统列出当前系统中所有的用户组和用户名称列表。此时再双击选择所需用户或组将其加入即可。如图2所示。
如果想删除某个用户组或用户的话,只需在“组或用户名称”列表中选中相应的用户或用户组后,点击下方的“删除”按钮即可。但实际上,这种删除并不能确保被删除的用户或用户组被拒绝访问某个资源,因此,如果希望拒绝某个用户或用户组访问某个资源,还要在“组或用户名称”列表中选择相应的用户名用户组后,为其选中下方的“拒绝”复选框即可。
那么如何设置特殊权限呢?假设现在需要对一个名为“zhiguo”的目录赋予“zhong”用户对其具有“读取”、“建立文件和目录”的权限,基于安全考虑,又决定取消该账户的“删除”权限。此时,如果使用“标准权限”的话,将无法完成要求,而使用特别权限则可以很轻松地完成设置。方法如下:
图2
首先,右键点击“zhiguo”目录,在右键快捷菜单中选择“共享与安全”项,随后在“安全”选项卡设置界面中选中“zhong”用户并点击下方的“高级”按钮,在弹出的对话框中点击清空“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”项选中状态,这样可以断开当前权限设置与父级权限设置之前的继承关系。在随即弹出的“安全”对话框中点击“复制”或“删除”按钮后(点击“复制”按钮可以首先复制继承的父级权限设置,然后再断开继承关系),接着点击“应用”按钮确认设置,再选中“zhong”用户并点击“编辑”按钮,在弹出的“zhong的权限项目”对话框中请首先点击“全部清除”按钮,接着在“权限”列表中选择“遍历文件夹/运行文件”、“列出文件夹/读取数据”、“读取属性”、“创建文件/写入数据”、“创建文件夹/附加数据”、“读取权限”几项,最后点击“确定”按钮结束设置。如图3所示。
图3
在经过上述设置后,“zhong”用户在对“zhiguo”进行删除操作时,就会弹出提示框警告操作不能成功的提示了。显然,相对于标准访问权限设置上的笼统,特别访问权限则可以实现更具体、全面、精确的权限设置。
为了大家更好地理解特殊权限列表中的权限含义,以便做出更精确的权限设置,下面简单解释一下其含义:
⑴遍历文件夹/运行文件(Traverse Folder/Execute File):该权限允许用户在文件夹及其子文件夹之间移动(遍历),即使这些文件夹本身没有访问权限。注意:只有当在“组策略”中(“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权利指派”)将“跳过遍历检查”项授予了特定的用户或用户组,该项权限才能起作用。默认状态下,包括“Administrators”、“Users”、“Everyone”等在内的组都可以使用该权限。对于文件来说,拥了这项权限后,用户可以执行该程序文件。但是,如果仅为文件夹设置了这项权限的话,并不会让用户对其中的文件带上“执行”的权限;
⑵列出文件/读取数据(List Folder/Read>(本文是电脑知识网 WWW.SQ120.COM 推荐文章)
系统已经预定义了几个安全模板以帮助加强系统安全,在默认情况下,这些模板存储在“%Systemroot%\Security\Templates”目录下。它们分别是:
1.Compatws.inf
提供基本的安全策略,执行具有较低级别的安全性但兼容性更好的环境。放松用户组的默认文件和注册表权限,使之与多数没有验证的应用程序的要求一致。“Power Users”组通常用于运行没有验证的应用程序。
2.Hisec*.inf
提供高安全的客户端策略模板,执行高级安全的环境,是对加密和签名作进一步限制的安全模板的扩展集,这些加密和签名是进行身份认证和保证数据通过安全通道以及在SMB客户机和服务器之间进行安全传输所必需的。
3.Rootsec.inf
确保系统根的安全,可以指定由Windows XP Professional所引入的新的根目录权限。默认情况下,Rootsec.inf为系统驱动器根目录定义这些权限。如果不小心更改了根目录权限,则可利用该模板重新应用根目录权限,或者通过修改模板对其他卷应用相同的根目录权限。
4.Secure*.inf
定义了至少可能影响应用程序兼容性的增强安全设置,还限制了LAN Manager和NTLM身份认证协议的使用,其方式是将客户端配置为仅可发送NTLMv2响应,而将服务器配置为可拒绝LAN Manager的响应。
5.Setupsecurity.inf
重新应用默认设置。这是一个针对于特定计算机的模板,它代表在安装操作系统期间所应用的默认安全设置,其设置包括系统驱动器的根目录的文件权限,可用于系统灾难恢复。
以上就是系统预定义的安全模板,用户可以使用其中一种安全模板,也可以创建自己需要的新安全模板。
二、管理安全模板
1.安装安全模板
安全模板文件都是基于文本的.inf文件,可以用文本打开进行编辑,但是这种方法编辑安全模板太复杂了,所以要将安全模板载入到MMC控制台,以方便使用。
①依次点击“开始”和“运行”按钮,键入“mmc”并点击“确定”按钮就会打开控制台节点;
②点击“文件”菜单中的“添加/删除管理单元”,在打开的窗口中点击“独立”标签页中的“添加”按钮;
③在“可用的独立管理单元”列表中选中“安全模板”,然后点击“添加”按钮,最后点击“关闭”,这样安全模板管理单元就被添加到MMC控制台中了,如图1所示。
图1
为了避免退出后再运行MMC时每次都要重新载入,可以点击“文件”菜单上的“保存”按钮,将当前设置为保存。
2.建立、删除安全模板
将安全模板安装到MMC控制台后,就会看到系统预定义的那几个安全模板,你还可以自己建立新的安全模板。
首先打开“控制台根节点”列表中的“安全模板”,在存储安全模板文件的文件夹上点击鼠标右键,在弹出的快捷菜单中选择“新加模板”,这样就会弹出新建模板窗口,在“模板名称”中键入新建模板的名称,在“说明”中,键入新模板的说明,最后点击“确定”按钮。这样一个新的安全模板就成功建立了。
删除安全模板非常简单,打开“安全模板”,在控制台树中找到要删除的模板,在其上面点击鼠标右键,选择“删除”即可。
3.应用安全模板
新的安全模板经过配置后,就可以应用了,你必须通过使用“安全配置和分析”管理单元来应用安全模板设置。
①首先要添加“安全配置和分析”管理单元,打开MMC控制台的“文件”菜单,点击“添加/删除管理单元”,在“添加独立管理单元”列表中选中“安全配置和分析”,并点击“添加”按钮,这样“安全配置和分析”管理单元就被添加到MMC控制台中了;
②在控制台树中的“安全配置和分析”上点击鼠标右键,选择“打开数据库”,在弹出的窗口中键入新数据库名,然后点击“打开”按钮;
③在安全模板列表窗口中选择要导入的安全模板,然后点击“打开”按钮,这样该安全模板就被成功导入了;
④在控制台树中的“安全配置和分析”上点击右键,然后在快捷菜单中选择“立即配置计算机”,就会弹出确认错误日志文件路径窗口,点击“确定”按钮。
这样,刚才被导入的安全模板就被成功应用了。
三、设置安全模板
1.设置账户策略
账户策略之中包括密码策略、账户锁定策略和Kerberos策略的安全设置,密码策略为密码复杂程度和密码规则的修改提供了一种标准的手段,以便满足高安全性环境中对密码的要求。账户锁定策略可以跟踪失败的登录尝试,并且在必要时可以锁定相应账户。Kerberos策略用于域用户的账户,它们决定了与Kerberos相关的设置,诸如票据的期限和强制实施。
(1)密码策略
在这里可以配置5种与密码特征相关的设置,分别是“强制密码历史”、“密码最长使用期限”、“密码最短使用期限”、“密码长度最小值”和“密码必须符合复杂性要求”。
①强制密码历史:确定互不相同的新密码的个数,在重新使用旧密码之前,用户必须使用过这么多的密码,此设置值可介于0和24之间;
②密码最长使用期限:确定在要求用户更改密码之前用户可以使用该密码的天数。其值介于0和999之间;如果该值设置为0,则密码永不过期;
③密码最短使用期限:确定用户可以更改新密码之前这些新密码必须保留的天数。此设置被设计为与“强制密码历史”设置一起使用,这样用户就不能很快地重置有次数要求的密码并更改回旧密码。该设置值可以介于0和999之间;如果设置为0,用户可以立即更改新密码。建议将该值设为2天;
④密码长度最小值:确定密码最少可以有多少个字符。该设置值介于0和14个字符之间。如果设置为0,则允许用户使用空白密码。建议将该值设置为8个字符;
⑤密码必须符合复杂性要求:该项启用后,将对所有的新密码进行检查,确保它们满足复杂密码的基本要求。如果启用该设置,则用户密码必须符合特定要求,如至少有6个字符、密码不得包含三个或三个以上来自用户账户名中的字符等。
(2)账户锁定策略
在这里可以设置在指定的时间内一个用户账户允许的登录尝试次数,以及登录失败后,该账户的锁定时间。
①账户锁定时间:这里的设置决定了一个账户在解除锁定并允许用户重新登录之前所必须经过的时间,即被锁定的用户不能进行登录操作的时间,该时间的单位为分钟,如果将时间设置为0,将会永远锁定该账户,直到管理员解除账户的锁定;
②账户锁定阀值:确定尝试登录失败多少次后锁定用户账户。除非管理员进行了重新设置或该账户的锁定期已满,才能重新使用账户。尝试登录失败的次数可设置为1到999之间的值,如果设置为0,则始终不锁定该账户。
2.设置本地策略
本地策略包括审核策略、用户权限分配和安全选项三项安全设置,其中,审核策略确定了是否将安全事件记录到计算机上的安全日志中;用户权利指派确定了哪些用户或组具有登录计算机的权利或特权;安全选项确定启用或禁用计算机的安全设置。
(1)审核策略
审核被启用后,系统就会在审核日志中收集审核对象所发生的一切事件,如应用程序、系统以及安全的相关信息,因此审核对于保证域的安全是非常重要的。审核策略下的各项值可分为成功、失败和不审核三种,默认是不审核,若要启用审核,可在某项上双击鼠标,就会弹出“属性”窗口,首先选中“在模板中定义这些策略设置”,然后按需求选择“成功”或“失败”即可,如图2所示。
图2
审核策略包括审核账户登录事件、审核策略更改、审核账户管理、审核登录事件、审核系统事件等,下面分别进行介绍。
①审核策略更改:主要用于确定是否对用户权限分配策略、审核策略或信任策略作出更改的每一个事件进行审核。建议设置为“成功”和“失败”;
②审核登录事件:用于确定是否审核用户登录到该计算机、从该计算机注销或建立与该计算机的网络连接的每一个实例。如果设定为审核成功,则可用来确定哪个用户成功登录到哪台计算机;如果设为审核失败,则可以用来检测入侵,但攻击者生成的庞大的登录失败日志,会造成拒绝服务(DoS)状态。建议设置为“成功”;
③审核对象访问:确定是否审核用户访问某个对象,例如文件、文件夹、注册表项、打印机等,它们都指定了自己的系统访问控制列表(SACL)的事件。建议设置为“失败”;
④审核过程跟踪:确定是否审核事件的详细跟踪信息,如程序激活、进程退出、间接对象访问等。如果你怀疑系统被攻击,可启用该项,但启用后会生成大量事件,正常情况下建议将其设置为“无审核”;
⑤审核目录服务访问:确定是否审核用户访问那些指定有自己的系统访问控制列表(SACL)的ActiveDirectory对象的事件。启用后会在域控制器的安全日志中生成大量审核项,因此仅在确实要使用所创建的信息时才应启用。建议设置为“无审核”;
⑥审核特权使用:该项用于确定是否对用户行使用户权限的每个实例进行审核,但除跳过遍历检查、调试程序、创建标记对象、替换进程级别标记、生成安全审核、备份文件和目录、还原文件和目录等权限。建议设置为“不审核”;
⑦审核系统事件:用于确定当用户重新启动或关闭计算机时,或者对系统安全或安全日志有影响的事件发生时,是否予以审核。这些事件信息是非常重要的,所以建议设置为“成功”和“失败”;
⑧审核账户登录事件:该设置用于确定当用户登录到其他计算机(该计算机用于验证其他计算机中的账户)或从中注销时,是否进行审核。建议设置为“成功”和“失败”;
⑨审核账户管理:用于确定是否对计算机上的每个账户管理事件,如重命名、禁用或启用用户账户、创建、修改或删除用户账户或管理事件进行审核。建议设置为“成功”和“失败”。
(2)用户权利指派
用户权利指派主要是确定哪些用户或组被允许做哪些事情。具体设置方法是:
①双击某项策略,在弹出“属性”窗口中,首先选中“在模板中定义这些策略设置”;
②点击“添加用户或组”按钮就会出现“选择用户或组”窗口,先点击“对象类型”选择对象的类型,再点击“位置”选择查找的位置,最后在“输入对象名称来选择”下的空白栏中输入用户或组的名称,输完后可点击“检查名称”按钮来检查名称是否正确;
③最后点击“确定”按钮即可将输入的对象添加到用户列表中。
(3)安全选项
在这里可以启用或禁用计算机的安全设置,如数据的数字签名、Administrator和Guest账户的名称、软盘驱动器和CD-ROM驱动器访问、驱动程序安装行为和登录提示等。下面介绍几个适合于一般用户使用的设置。
①防止用户安装打印机驱动程序。对于要打印到网络打印机的计算机,网络打印机的驱动程序必须安装在本地打印机上。该安全设置确定了允许哪些人安装作为添加网络打印机一部分的打印机驱动程序。使用该设置可防止未授权的用户下载和安装不可信的打印机驱动程序。
双击“设备:防止用户安装打印机驱动程序”,会弹出属性窗口,首先选中“在模板中定义这个策略设置”项,然后将“已启用”选中,最后点击“确定”按钮。这样则只有管理员和超级用户才可以安装作为添加网络打印机一部分的打印机驱动程序;
②无提示安装未经签名的驱动程序。当试图安装未经Windows硬件质量实验室(WHQL)颁发的设备驱动程序时,系统默认会弹出警告窗口,然后让用户选择是否安装,这样很麻烦,你可以将其设置为无提示就直接安装。
双击“设备:未签名驱动程序的安装操作”项,在出现的属性窗口中,选中“在模板中定义这个策略设置”项,然后点击后面的下拉按钮,选择“默认安装”,最后点击“确定”按钮即可;
③登录时显示消息文字。指定用户登录时显示的文本消息。利用这个警告消息设置,可以警告用户不得以任何方式滥用公司信息或者警告用户其操作可能会受到审核,从而更好地保护系统数据。
双击“交互式登录:用户试图登录时消息文字”,进入属性窗口,先将“在模板中定义这个策略设置”选中,然后在下面的空白输入框中输入消息文字,最多可以输入512个字符,最后点击“确定”按钮。这样,用户在登录到控制台之前就会看到这个警告消息对话框。
3.设置事件日志
这个安全模板是定义与应用程序、安全和系统日志相关的属性的,如最大的日志大小、对每个日志的访问权限以及保留设置和方法。其中,应用程序日志负责记录由程序生成的事件;安全日志根据审核对象记录安全事件;系统日志记录操作系统事件。
(1)日志保留天数
这个选项可以设置应用程序、安全性和系统日志可以保留多少天。需要注意的是,仅当以预定的时间间隔对日志进行存档时才应设置此值,并要确保最大日志大小足够大,以满足此时间间隔。这个天数可以是1到365天中的任何一个,用户可按需要进行设置,建议设置为14天。
(2)日志保留方法
在这里可以设置达到设定的最大日志文件的处理方法,共有按天数改写事件、按需要改写事件和不改写事件(手动清除日志)三种方式。如果希望将应用程序日志存档,就要选中“按需要覆盖事件”;如果希望以预定的时间间隔对日志进行存档,可选中“按天数覆盖事件”;如果需要在日志中保留所有事件,可选中“不要改写事件(手动清除日志)”,在这种情况下,当达到最大日志大小时,将会丢弃新事件日志。
(3)限制本地来宾组访问日志
在这里可以设置是否限制来宾访问应用程序、安全性和系统事件日志。默认设置是允许来宾用户和空连接可以查看系统日志,但禁止访问安全日志。
(4)日志最大值
这里可以设置日志文件的最大值和最小值,可用值的范围是64KB到4194240KB。如果设置值太小会导致日志经常被填满,这样就需要经常性地清理、保存日志;而设置值过大,会占据大量的硬盘空间,所以一定要根据自己的需要进行设置。
4.设置受限制的组
在这里可以允许管理员对安全性敏感的组定义“成员”和“隶属组”两个属性,其中“成员”定义了哪些用户属于以及哪些用户不属于受限制的组;“隶属组”定义了受限制的组属于其他哪些组。利用本策略,可以控制组中的成员身份,所有未在本策略中指定的成员都会被删除,而当前不是该组成员的用户将被添加。
(1)创建受限制的组
首先在控制台树中的“受限制的组”上点击鼠标右键,选择“添加组”。然后在“添加组”窗口中键入受限制的策略组的名称,或点击“浏览”,在打开的“选择组”窗口中查找要进行操作的组,最后点击“确定”按钮。这时你会发现新的一个组已经被创建成功了。
如果你想将所有受限制的组项从一个模板复制到另一个模板,可以在控制台树中右键点击“受限制的组”,在弹出的快捷菜单中选择“复制”,然后在另一个模板中右键点击“受限制的组”,并在弹出的快捷菜单中选择“粘贴”。
(2)添加用户
先在详细信息窗格中,找到要添加用户的组,然后在上面点击鼠标右键,在弹出的快捷菜单中选择“属性”,就会弹出该组的属性窗口。点击“这个组的成员”列表框右边的“添加”按钮,然后键入要添加的成员即可。重复此步骤,可添加更多的成员,如图3所示。
图3
同样,如要将本组添加为任何其他组的成员中,请点击在“这个组隶属于”列表框右侧的“添加”按钮,然后在弹出的窗口中键入组名称,最后点击“确定”即可。
5.设置系统服务
在这里可以定义所有系统服务的启动模式和访问权限,启动模式包括自动、手动和已禁用,其中自动表示重新启动计算机时自动启动;手动表示只有在有人启动时才启动;已禁用表示不能启动该服务。而访问权限指的是用户对服务的读取、写入、删除、启动、暂停和停止等操作。利用这个安全模板可以很方便地设定哪些用户或组账户具有读取、写入、删除的权限,或具有执行继承设置或审核以及所有权的权限。需要注意的是,禁用某些服务可能会导致系统无法引导,所以如果要禁用系统的服务,请先在非生产系统中进行测试。
那么如何来配置系统服务设置呢?
①双击要配置的服务,就会弹出服务的属性对话框;
②选中“在模板中定义这个策略配置”项,如果这个策略以前从来没有被配置过,就会自动出现安全设置对话框。如果没有自动出现的话,需要点击“编辑安全设置”按钮,调出对话框;
③点击“添加”按钮,按照添加用户或组的步骤将想要操作的用户添加到列表中;
④在“组或用户名称”下的列表中选择某一用户或组,下面的权限列表中就会列出所有能够编辑的权限。按照实际需要选择是允许还是拒绝某项权限,如想编辑特别权限或高级设置,则点击“高级”按钮,编辑完成后点击“确定”按钮;
⑤在属性窗口中的“选择服务启动模式”下,选择自动、手动或已停用。
6.设置注册表
在这里,允许管理员定义注册表项的访问权限(关于DACL)和审核设置(关于SACL)。
DACL即任意访问控制列表,它赋予或拒绝特定用户或组访问某个对象的权限的对象安全描述符的组成部分。只有某个对象的所有者才可以更改DACL中赋予或拒绝的权限,这样,此对象的所有者就可以自由访问该对象。SACL即系统访问控制列表,它表示部分对象的安全描述符的列表,该安全描述符指定了每个用户或组的哪个事件将被审核。审核事件的例子是文件访问、登录尝试和系统关闭。
(1)设置注册表安全性
①在控制台树中,用鼠标右键点击“注册表”节点,在弹出的快捷菜单中选择“添加密钥”;
②在“选择注册表项”对话框中,选择好要添加密钥的注册表项,然后点击“确定”按钮;
③在“数据库安全设置”对话框中,为该注册表项选择合适的权限,然后点击“确定”按钮;
④在“模板安全策略设置”对话框中,选择需要的继承权限方式,最后点击“确定”按钮。
(2)修改注册表键的权限
①在注册表项详细列表中,双击要进行修改的注册表键;
②在弹出的“模板安全策略设置”窗口中,选中“配置这个键,然后”,下面有两项:其中“将继承权传播到所有子项”项表示所有子键都从被设置的键处继承新设置的权限;“用可继承权代替所有子项上的现有权限”项表示所有子键都会被应用新设置的权限。按自己的需要选择其中一项,如图4所示。
图4
③点击“编辑安全设置”按钮,然后在弹出的对话框中点击“高级”按钮,进入高级安全设置窗口;
④在“高级安全设置”窗口中,点击“添加”按钮来增删用户,以符合建议的设置标准;
⑤选中要进行操作的用户或组,然后点击“编辑”按钮就会弹出权限设置对话框,首先在“应用到”后的下拉按钮中选择正确的设置,如只有该项、该项及子项等。接着在“权限”列表中选择希望使用的权限,最后点击“确定”按钮即可完成设置。
7.设置文件系统
文件系统是指文件命名、存储和组织的总体结构。Windows XP支持FAT、FAT32和NTFS三种文件系统,在安装Windows、格式化现有的卷或者安装新的硬盘时,可选择文件系统。每个文件系统都有其自己的优点和局限性,其中,NTFS文件系统所能提供的性能、安全性、可靠性是其他文件系统所不具备的。如NTFS可以通过使用标准的事务处理记录和还原技术来保证卷的一致性。如果系统出现故障,NTFS就会使用日志文件和检查点信息来恢复文件系统的一致性。而在Windows XP操作系统中,NTFS还可以提供诸如文件和文件夹权限、加密、磁盘配额和压缩这样的高级功能。
(1)查看文件系统安全设置
想要手工查看一个特定文件或文件夹的权限,可参考如下操作:
首先打开Windows资源管理器,在要查看的文件或文件夹上点击鼠标右键,在弹出的快捷菜单中选择“属性”。然后在属性窗口中,进入“安全”选项卡,最后点击“高级”按钮,在打开的窗口中就可以查看文件或文件夹相关的权限信息了。
(2)为文件设置文件系统安全性
①用右键点击控制台数中的“文件系统”节点,在弹出的快捷菜单中点击“添加文件”按钮;
②在“添加文件或文件夹”对话框中,找到要为其添加安全的文件或文件夹,然后点击“确定”按钮;
③在出现的“数据库安全设置”对话框中配置适当的权限,然后点击“确定”按钮;
④回到“模板安全策略设置”对话框中,点击“确定”按钮即可完成设置。
(3)修改文件系统安全设置
手工逐个修改每个文件和文件夹的权限设置,是非常浪费时间和精力的,通过安全模板可以快速、批量进行设置。
①在窗口右侧的面板中,双击要改变的文件或文件夹;
②在出现的“模板安全策略设置”窗口中有两个选项,其中“向所有子文件夹和文件传播继承权限”表示该文件夹的子文件夹和文件都被重新配置并全部继承新的权限;“替换所有带继承权限的子文件夹和文件上的现存权限”表示不管那些子文件夹是否具备允许继承权限,都将会被应用新的权限,并且会从被配置的键继承新的权限。按需要任选一项,然后点击“编辑安全设置”按钮,如图5所示。
图5
③在“安全设置”窗口中,点击“高级”按钮;
④在高级安全设置窗口中,如果父项的权限没有被继承,就需要保证“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”项没有被选中,然后点击“添加”按钮来修改会受到权限影响的用户或组,最后选中要进行配置的组或用户,并点击“编辑”按钮;
⑤在文件夹的权限项目窗口中,首先点击“应用到”后的下拉按钮,选择一个合适的应用位置,如只有子文件夹、只有该文件夹等,然后就可以到“权限”列表中配置权限了。最后点击“确定”按钮来应用配置的权限。
Windows XP系统自带工具应用详解为了让自己的电脑发挥更多的功用,有不少用户都遵循“要想马儿跑得快,就得给它多吃草”的原则,在电脑中“装填”了许多第三方软件。在安装的众多软件中,其中有一些根本无须安装,因为在Windows XP系统中已经有类似功能的工具存在。
一、光盘刻录
在刻录光盘时,不少用户往往使用专业的刻录软件,例如,Nero等。其实在Windows XP中就集成有光盘刻录工具。
1.刻录数据光盘 (本文是电脑知识网 WWW.SQ120.COM 推荐文章)
将刻录盘放入刻录机中,双击打开刻录机所在盘符,将欲刻录的文件直接拖放到刻录机中。
点击左侧“CD写入任务”任务窗格中的“将这些文件写入CD”选项,启动“CD写入”向导,在“CD名称”框中为刻录光盘命名,点击“下一步”按钮即可将数据写入到刻录盘中。
2.刻录音乐光盘
除了刻录数据光盘外,我们还打算将MP3文件刻录成音乐CD,在Windows XP中同样可以直接进行。
将MP3文件直接复制或拖入至刻录机所在盘符中,点击左侧“CD写入任务”任务窗格中的“将这些文件写入CD”选项,启动“CD写入”向导,在“CD名称”框中为刻录光盘命名。
点击“下一步”按钮,在出现的“你想生成一张音乐CD吗”对话框中,点击“生成一张音乐CD”选项,点击“下一步”按钮即可调用Windows Media Player播放器程序(以下简称WMP),进入“复制到CD或设备”窗口,点击“复制”按钮便可开始音乐CD的制作了。
注意:音乐CD的刻录方式并不采用多区段刻录,所以无法在录制完成的CD上追加文件。此外,打开存放音乐文件的文件夹,在左侧“音乐任务”任务窗格中点击“复制所有项目到音乐CD”选项,同样可以完成音乐CD的制作。
二、文件压缩与解压缩
在使用电脑过程中,文件的压缩与解压缩是最常见的操作了。不少用户多采用第三方解压缩软件进行,例如,WinRAR等。但假设急于要在Windows XP系统中解压一个ZIP压缩文件,却找不到第三方软件,还能有什么办法吗?其实,在Windows XP中,对于ZIP格式的压缩文件,已集成有相应的工具。
1.压缩文件
首先选中需要进行压缩的文件或文件夹,然后点击鼠标右键,选择“发送到→压缩(zippde)文件夹”命令,便可自动将文件或文件夹进行压缩了。
2.解压缩文件
在解压缩文件夹时,我们可以选中压缩包,然后点击鼠标右键,选择“全部提取”命令选项。在出现的提取向导中点击“下一步”按钮,在出现的对话框中点击“浏览”按钮为解压缩文件选择存放路径,点击“下一步”按钮便可完成解压操作。
但是,如果只想单独对压缩包中的部分文件进行解压缩又该如何操作呢?
只要双击打开压缩包,选中需要解压的文件,然后将它直接拖放到其他文件夹中即可完成解压。同时,在此次操作中,你还可以直接对压缩包中的文件进行剪切、复制等操作。
3.妙建自动解压包
利用上述方法生成的压缩文件名称与原来的文件名称一样,尽管可以在生成压缩文件后,对它进行重命名操作,但是能否在压缩的同时就能自行定义压缩后的文件名称呢?同时考虑到别人的操作系统中,例如,Windows 98,如果也没有安装第三方压缩软件,那么能否解压呢?
正常情况下,如果操作系统不带有解压功能或没有第三方软件是无法实现文件的解压的,但是有一种文件却可以解压缩,它就是自动解压包。如果所有的压缩文件都可以自动解压,那么就无须解压软件了。
依次点击“开始→运行”菜单项,在出现的对话框中输入“iexpress”,回车后将出现“iExpress Wizard(向导)”对话框。
选中“Create new Self Extraction Directive file(创建新的自解压文件)”选项,点击“下一步”按钮,在出现的对话框中选中“Extract file only(仅提取文件)”选项,点击“下一步”按钮。在随后出现的对话框中,输入压缩包标题,点击“下一步”按钮。在出现的对话框中选中“No prompt(不提示)”选项,点击“下一步”按钮。在出现的对话框中,选中“Do not display a license(不显示许可协议)”选项,点击“下一步”按钮。在出现的对话框中点击“Add(添加)”按钮,将所有打算压缩的文件添加到列表框中。至此,后续操作全部保持默认设置,直接点击“下一步”按钮进入压缩包存储对话框。
在此处点击“Browse(浏览)”按钮命名压缩包文件名及选择其存放路径,选中“Store files using Long File Name inside Package(在压缩包内使用长文件名)”选项,再连续点击“下一步”按钮,便可以进行文件压缩了。
当压缩完毕后点击“完成”按钮,最终我们就可以看到一个常见的安装压缩包,利用它便可在所有的Windows 操作系统中进行自解压了。
4.设置密码
为了安全起见,有时发送给朋友的压缩包最好有密码设置,在Windows XP中同样也可以为压缩包设置密码。
双击打开压缩包,点击“文件→添加密码”菜单命令,在出现的“添加密码”对话框中输入密码后,点击“确定”按钮即可。
当下次解压或打开压缩包中的文件时,系统都会提示用户输入密码。即便采用其他压缩软件对该压缩文件进行解压,也会被要求输入密码,从而有效地保证了文件的安全性。
5.在NTFS分区中压缩文件
除此之外,我们还可以利用Windows XP中的NTFS磁盘格式对文件或文件夹进行压缩。
选中NTFS分区中的一个文件或文件夹,点击鼠标右键,选择“属性”命令,在出现的对话框中点击“常规”选项卡,然后点击“高级”按钮打开“高级属性”对话框。选中“压缩内容以便节省磁盘空间”选项,点击“确定”按钮便可完成文件或文件夹的压缩。
利用这种方法进行的压缩操作,实际上是对NTFS磁盘进行的压缩。由于打开压缩文件时,系统会对其解压缩,而关闭时又会对其进行压缩,于是便会带来系统性能的下降,因此不建议大家选用这种方法压缩文件。
三、文件加密与解密
在使用电脑的过程中,保护文件安全可是头等大事。为了有效保护自己文件的私密性,许多用户都采用第三方加密软件对文件进行加密、解密。其实,在Windows XP中,利用NFTS格式的磁盘分区特性以及系统自带的功能,便可以有多种方法保证文件的安全。
注意:以下操作均在NTFS分区上进行。
1.最简单的文件加密
在Windows XP中,有一个文件夹与众不同,它便是位于系统所在盘符下的“Documents and Settings”中,是一个以系统登录用户名为文件名的文件夹。
选中该文件,点击鼠标右键,选择“属性”命令,在出现的对话框中点击“共享”选项卡,只要选中“将这个文件夹设为专用”选项,便可以保护该文件夹中所有的文件。即使是系统管理员也无法打开。而其他文件夹属性中的“将这个文件夹设为专用”选项均为灰色不可用。
提示:利用这个方法,每个用户只能对以自己用户名为名称的那个文件夹进行保护,对其他用户名为名称的文件夹无法进行类似的设置。同时被设为专用的文件夹无法共享,而被共享的文件夹则无法被设为专用。
2.用户权限加密
如果多个用户共用一台电脑,不进行相应的设置,势必会危及到不同用户的文件安全。利用Windows XP给自己的文件赋予不同的权限,便可以灵活、方便地保护自己的文件。
提示:由于Windows XP默认的是文件简单共享方式,这种情况下无法为文件夹或文件设置访问权限,可双击“我的电脑”,在出现的窗口中,点击“工具→文件夹选项”菜单命令,在出现的对话框中点击“查看”选项卡,在“高级设置”列表中将“使用简单文件共享”选项去掉即可。
(1)了解不同用户类型及权限
右键点击“我的电脑”,选择“管理”命令,在打开的“计算机管理”窗口中双击展开“本地用户和组→组”选项,此时会在右侧窗口中出现多个用户组,每个用户组都分别具有不同的权限。如图1所示。
图1
Administrator组拥有对计算机/域的完全访问控制权;Backup Operator组无须根据计算机的文件权限就可以备份和还原它们,并可登录计算机和关闭计算机,但无法更改安全性设置;Power User组拥有大部分管理权限,可安装不修改操作系统文件且不需安装系统服务的应用程序,可以运行经过验证的应用程序;Replicator组权限是在域内复制文件;User组权限能使用已安装在电脑上的大部分程序,可是却无法自己安装或删除其他程序,不能安装硬件,但可以更改自己的账户名称、图片,更改或删除自己账户的密码;Guest组权限有着“User组”同等的访问权,但限制更多。
(2)设定用户访问权限
如何才能自己决定不同用户对文件夹的访问权限呢?在此以设置文件夹拒绝User组中的“DD”用户进行访问为例。
选中在NTFS格式分区中的一个文件夹或文件,点击鼠标右键,选择“属性”命令,在出现的对话框中点击“安全”选项卡,然后在“组或用户名称”列表中将User组删除。
提示:若无法删除,可点击“高级”按钮,在出现的对话框中将“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”选项去掉,在出现的提示框中点击“复制”按钮即可。
点击“添加”按钮,在出现的对话框加入用户“DD”,在“DD的权限”列表中选中“拒绝”中的“完全控制”选项,最后点击“确定”按钮,就可以让该用户无法访问你的文件了。
用相同方法还可以对其他用户或组进行不同的权限设置,以实现不同的文件访问要求。
3.利用EFS进行文件保护
EFS(Encrypting File System,加密文件系统)是Windows 2000/XP所特有的一个实用功能,对于NTFS卷上的文件和数据,都可以直接加密保存,在很大程度上提高了数据的安全性。
(1)什么是EFS加密
EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK(File Encryption Key,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。随后系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。在首次使用EFS时,如果用户还没有公钥/私钥对(统称为密钥),则会首先生成密钥,然后加密数据。如果你登录到了域环境中,密钥的生成依赖于域控制器,否则依赖于本地机器。
EFS加密系统对用户是透明的。这也就是说,如果你加密了一些数据,那么你对这些数据的访问将是完全允许的,并不会受到任何限制。而其他非授权用户试图访问加密过的数据时,就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。
(2)EFS加密
选中NTFS分区中的一个文件,点击鼠标右键,选择“属性”命令,在出现的对话框中点击“常规”选项卡,然后点击“高级”按钮,在出现的对话框中选中“加密内容以便保护数据”选项,点击“确定”即可。
此时你可以发现,加密文件名的颜色变成了绿色,当其他用户登录系统后打开该文件时,就会出现“拒绝访问”的提示,这表示EFS加密成功。而如果想取消该文件的加密,只需将“加密内容以便保护数据”选项去除即可
(3)EFS解密
如果其他人想共享经过EFS加密的文件或文件夹,又该怎么办呢?由于重装系统后,SID(安全标示符)的改变会使原来由EFS加密的文件无法打开,所以为了保证别人能共享EFS加密文件或者重装系统后可以打开EFS加密文件,必须要进行备份证书。
点击“开始→运行”菜单项,在出现的对话框中输入“certmgr.msc”,回车后,在出现的“证书”对话框中依次双击展开“证书-当前用户→个人→证书”选项,在右侧栏目里会出现以你的用户名为名称的证书。选中该证书,点击鼠标右键,选择“所有任务→导出”命令,打开“证书导出向导”对话框。
在向导进行过程中,当出现“是否要将私钥跟证书一起导出”提示时,要选择“是,导出私钥”选项,接着会出现向导提示要求密码的对话框。为了安全起见,可以设置证书的安全密码。当选择好保存的文件名及文件路径后,点击“完成”按钮即可顺利将证书导出,此时会发现在保存路径上出现一个以PFX为扩展名的文件。
当其他用户或重装系统后欲使用该加密文件时,只需记住证书及密码,然后在该证书上点击右键,选择“安装证书”命令,即可进入“证书导入向导”对话框。按默认状态点击“下一步”按钮,输入正确的密码后,即可完成证书的导入,这样就可顺利打开所加密的文件。
四、系统备份与还原
当系统发生崩溃、无法启动时,只要利用一些备份软件,例如,GHOST、还原精灵等,事先将它们备份,这样待发生故障时便可重新找回这些“失落”的数据。对于这些常用的备份工具,许多朋友都是非常熟悉的,正是有了它们,才常常会让我们的系统转危为安。
难道非要使用这些第三方工具软件吗?利用Windows XP操作系统中自带的系统还原功能,可以很方便地对自己的系统进行备份与还原。
1.系统备份
点击“开始→所有程序→附件→系统工具→系统还原”菜单项,打开“系统还原”对话框,点击“创建一个还原点”选项,点击“下一步”按钮。在出现的对话框中为还原点输入一段描述性文字,以便于识别还原点。最后点击“创建”按钮完成创建。
2.系统还原
还原点创立后,我们便可以高枕无忧了。当你的系统出现问题,可以点击“开始→所有程序→附件→系统工具→系统还原”菜单项,在出现的对话框中点击“恢复我的计算机到较早的一个时间”选项,点击“下一步”按钮,在出现的对话框中,选择左边日历中的创建还原点时的日期,右边便会出现在这一天中创建的所有还原点,选择相应的还原点,点击“下一步”按钮就可进行系统还原。如图2所示。
图2
3.特殊情况下的还原
以上是在能正常进入操作系统时进行系统还原的过程,如果我们连系统都无法进入时,又该怎么还原呢?以下分两种情况下说明:
(1)安全模式
如果在系统启动时能进入到安全模式,便可以在安全模式下进行系统还原来实现系统恢复。
点击“开始→程序→附件→系统工具→系统还原”菜单项,在出现的对话框中点击选择“恢复我的计算机到一个较早的时间”选项,点击“下一步”按钮,在出现的对话框中选择一个还原点,点击“确定”按钮后系统即会重新启动并完成系统的还原。
(2)利用命令行
如果系统无法进入安全模式,但仍可以进入“带命令行提示的安全模式”,就可以在命令行提示符后输入“C:\Windows\system32\restore\rstrui”命令并回车(以系统所在盘符为C盘为例),同样也能打开系统还原操作界面,以实现系统还原。
提示:在上述两种模式中无法进行新还原点的创建工作。在进行系统还原时,最好请关闭所有的后台运行程序,比如杀毒软件、防火墙等。
4.查找缺损的系统文件
有时,一些系统文件因某些不明原因而损坏,造成系统运行不稳定。如果此时因个别文件缺损而重装或还原系统,的确有点“杀鸡用牛刀”的感觉。而利用Windows XP中的“系统文件检查器”功能可以轻松应对这些难题。
点击“开始→运行”菜单项,在出现的对话框中输入“cmd”,回车后即可进入“命令提示符”窗口。在提示符后输入“sfc”命令并按下回车键,便可出现该命令各个参数的意义。
例如,在命令提示符后键入“sfc/scannow”命令,回车后,“系统文件检查器”就会开始检查当前的系统文件是否有损坏、版本是否正确,如果发现错误,程序就会要求插入Windows XP安装光盘来修复或者替换不正确的文件,从而保证了系统的稳定。
五、数码照片导入与浏览
当大家利用数码相机拍摄了多幅佳作之后,通常都是安装相机所提供的应用程序,利用该软件将数码照片传输到个人电脑中,然后利用ACDSee等第三方看图软件进行浏览。其实大可不必如此麻烦,利用Windows XP自带的“扫描仪与照相机向导”及“图片浏览”功能即可。
1.轻松导入数码相片
打开相机电源后,将数码相机与电脑正确连接后,系统会自动弹出连接对话框,选中“Microsoft扫描仪和照相机向导”选项,点击“确定”按钮,便可进入“扫描仪和照相机向导”对话框。点击“下一步”按钮,当进行到带有相片缩略图对话框时,可选中要获取的图片,然后在出现的对话框中为相片选择保存的文件夹。
如果希望在保存后删除数码相机中图片,可以选中“复制后,将照片从设备中删除”选项,点击“下一步”按钮即可将相机中的照片导入到电脑中。
2.数码照片浏览
(1)以幻灯形式播放
打开存放数码照片的文件夹,便可看到对话框左侧的“图片任务”任务窗格。点击“作为幻灯片查看”选项,就可以以幻灯的形式播放照片。在浏览照片过程可发现屏幕右上角有播放、暂停、关闭等便于操作的按钮。
提示:如果在对话框中没有出现左侧任务窗格,可以点击“工具→文件夹选项”菜单命令,在出现的对话框中点击“常规”选项卡,在“任务”列表中点击“在文件夹中显示常见任务”选项即可。
(2)以缩略图形式浏览
当以缩略图方式观看照片时,我们即可以看到每张照片的具体内容。双击相应的照片便能调用系统自带的“Windows图片和传真查看器”进行浏览,在该查看器中还可以对照片进行旋转、放大、缩小、打印等操作。
(3)给照片烙下时代的印记
在照片中点击鼠标右键,可在右键菜单中根据自己需要选择相应的命令进行操作。其中,点击“属性”命令,在出现的对话框中点击“摘要”选项卡,可在相应栏目中填入照片的主题、场景描述等。点击“高级”按钮,便可看到数码相片的EXIF信息。
在EXIF中记录了数码照片的各种信息,例如,相机厂商、相机型号、像素大小、暴光值、白平衡值等参数。有了这些参数,我们就可以由能读取EXIF格式文件的相片打印机根据该相片的EXIF里所提供的参数直接将相片打印出来,而无须再用电脑来读取这些数据。
六、安装光盘中的“超酷”工具
有没有留意过Windows XP的安装光盘?它带给我们的不仅仅是Windows XP的安装文件,还在其下的\Support\Tools目录里提供了一些不被Windows自动安装的工具,以此提供系统应用的附加解决方案。
1.安装强力支持工具
运行\Support\Tools目录中的Setup.exe或SupTools.msi文件便可以进行支持工具的安装。在安装过程中,我们可选择“典型安装”或“完全安装”两种安装模式。
提示:通过“典型安装”可以安装57个工具,而“完全安装”将安装103个工具。
安装结束,点击“开始→所有程序→Windows Support Tools”菜单项,在该项中共有3个程序项。点击“Command Prompt”项,便可进入命令行中,在命令提示符后输入“Dir”命令,便可以查看到许多EXE可执行文件,它们就是Windows XP的支持工具。
不过,并非每一个工具都有图形用户界面,有些工具必须从命令行运行,这类工具的运行方式通常用命令行参数控制,输入某个工具的程序名称再加上“/?”参数即可获得命令行参数的清单及其用途说明。
由于Windows XP的支持工具众多,我们不能将它们一一列举,在此介绍几个常用小工具,希望对大家有所帮助。
2.反安装利器
在卸载一些程序时,我们有时会发现某些程序无法完全被卸载,并且还会出现出错提示、系统死机等现象。之所以会出现这些情况,主要是因为程序本身并没有完全安装或者程序文件被破坏,从而无法执行反安装程序。
如果把程序安装目录全部删除,但由于在注册表中还有该程序的相关键值存在,仍然可能会有以上问题存在。如何清除这些程序呢?不少用户大都采用第三方反安装软件去卸载它们,其实Windows XP支持工具中的Msicuu.exe、Msizap.exe工具完全可以帮上你的忙。
(1)使用Msicuu.exe更方便
打开支持工具的安装目录(C:\Program Files\Support Tools),选中并双击Msicuu.exe文件,打开“Windows Installer Clean Up”对话框,在该对话框中,我们可以看到系统所安装的程序列表,选中打算删除的程序,然后点击“Rmove(删除)”按钮就可以帮助你清除有问题的程序。
注意:使用Msicuu.exe时,必须以管理员身份登录,否则系统将提示错误信息。
(2)命令格式的反安装工具
点击“开始→所有程序→Windows Support Tools→Command Prompt”菜单项,在命令提示符后输入“msizap”并按下回车键,便可以看到Msizap.exe所有可用的命令行参数。这里,我们以删除Office 2003为例。
点击“开始→运行”菜单项,在出现的对话框中输入“regedit”,回车后打开注册表编辑器,进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall,在下面的项中发现它的标识是{90110804-6000-11D3-8CF-0150048383C9}。
返回到命令提示符窗口,输入“msizap T {90110804-6000-11D3-8CFE-0150048383C9}”命令(输入时不含双引号),便可将Office 2003顺利删除。
注意:Msizap.exe可能会删除一些系统文件,所以只有当“添加或删除程序”、Msicuu.exe等都无效时,才可以考虑使用Msizap.exe。
3.查找磁盘中的重复文件
电脑中总有一些重复的文件存在,这些文件的存在一方面不便于管理,另一方面也会浪费一定的空间。关于查找重复文件的第三方软件很多,而在支持工具中却早就为你准备了一款小工具──Dupfinder.exe。
在支持工具的安装目录(C:\Program Files\Support Tools)中双击该程序,即可开启一个图形窗口,在“Search in(搜索)”栏中输入相应的分区盘符或路径,然后点击“Start Search(开始搜索)”按钮即可,不久就可以找到许多重复的文件了。点击“File”菜单,便可选择打开的菜单列表相应的选项,根据不同的要求进行操作。
提示:为了安全起见,可以将重复的文件重命令或移动操作,当重启系统后各方面仍能正常运行,才建议删除复文件。
4.文件对比
上面操作中找到的重复文件是否真正完全一样吗?在支持工具中有一个名为Windiff.exe的文件可以让你更加清楚地了解。Windiff.exe可对文件或2个文件夹中的文件进行ASCII码对比,从而找出两者间的不同之处。
启动该程序同样可以看到一个图形窗口,点击“File→Compare Files(比较文件)”或“File→Compare Directories(比较目录)”菜单命令,选择两个文件或文件夹后,便可以对它们进行比较。
点击“Expand(详细)”按钮即可查看更为详细的比较结果,对于两个文件的不同之处,第一个文件用红色前景标出,第二个文件用黄色背景标出。
5.观看更详细的文件属性
对于文件的各项属性,在支持工具中也有命令文件可以轻松查看它们。
6.让Windows XP兼容更多程序
在使用Windows XP过程中,一些老的程序并不能很好地在该系统环境中安装与运行,这的确令人遗憾。不过,我们可以进入Windows XP安装光盘中Support\Tools文件夹,双击Act20.exe文件,安装Application Compatibility Toolkit(应用程序兼容性工具箱)以解决这些问题。
执行安装目录的可执行文件,就可以实现在Windows XP上模拟其他的操作系统,如Windows 9X、Windows 2000等操作环境,从而骗过一些原本不能在Windows XP上安装或运行的程序,使其得以顺利安装或运行。
进入Application Compatibility Toolkit的安装目录,可看到其中共有3个应用程序:Compatibility Administration Tool、Application Verifier、QFixApp.exe,执行它们可不同程度地对应用程序进行兼容性测试。在此以执行QFixApp.exe为例。
双击QFixApp.exe打开程序主界面,点击“Browse”按钮,选择打算运行或安装的可执行文件。
点击“Layers”选项卡,选择其中一个较为合适的操作环境选项,点击“Run”按钮即可。如果程序还是不能安装或运行,那就再尝试点击“Fixes”选项卡,可单独选中或取消其中的可选项,直至程序可以运行为止,由于设置项目非常专业,有兴趣的朋友可以使用试试。
在安装光盘的Support\Tools目录下还有一个名为Deploy的CAB压缩文件,将其解压到一个临时目录后,其中的Setupmgr可用于制作进行无人值守全自动安装时的应答文件。用户可以事先将安装过程中所要回答的信息设置好,将其制成一个文件,这个文件就称为应答文件。安装程序可调用生成的应答文件,以实现无人值守的全自动安装。
七、“玩具”的魔力──PowerToys
为了增强Windows XP的功能,微软提供了一个增强工具集──PowerToys for Windows XP(以下简称PowerToys)。利用它,我们可以很方便地对Windows XP系统进行一些功能上的设置。
但是,对于PowerToys,微软并没有给出这个版本的中文版,而且新版的工具需要一个一个下载安装(。不过,我们完全可以使用完整工具包的汉化版本(。
提示:在安装PowerToys高版本时,必须要将低版本先卸载后才能安装。
1.轻松更改图片尺寸
如何才能将一张1024×768的图片,更换为800×600的图片呢?不少朋友大都会利用Photoshop、ACDSee等第三方软件去做。单张图片的修改还不显得麻烦,但如果要修改的图片很多,这种方法就有些“劳命伤财”了。有了PowerToys后,就不会再有这些烦恼。
选中所有需修改尺寸的图片文件,然后点击鼠标右键,选择“更改图片大小”命令,进入图片修改对话框,点击“高级”按钮,在出现的对话框中可根据需要选择相应的图片尺寸,当然也可以在“自定义”框中输入自行定义的数值。如果选中“更改图片大小”选项,就会用修改后的图片覆盖原图片,否则会产生新的图片文件;而选中“使图片变小”选项,则会让大的图片尺寸减小,而小的图片尺寸不会变大。
2.制作HTML幻灯片
自己拍了许多数码相片,如果想让其他好友分享,就必须把这些照片发给他们,但这样一来就感觉很没有新意,并且好友浏览起来也不是很方便。而打算将这些图片发布到网上时,就必须要了解制作网页的基本知识,可以这样对新手朋友而言无疑要麻烦许多。
其实,只要安装了PowerToys,便可以轻松制作HTML格式的幻灯片,不但让好友浏览时更加方便,而且还可以将其发布到网上去,让全世界的人们都能看到你的大作。
点击“开始→所有程序→PowerToys→HTML幻灯片制作向导”菜单项,以启动制作向导。在运行向导过程中,点击“增加文件”或“增加文件夹”按钮去添加图片;在进行到“选项”对话框中,可根据自己的需要设定图片尺寸、播放类型、保存路径等,最后点击“下一步”按钮便完成幻灯片的制作。
进入所保存的文件目录中,点击Default.htm文件,就可以看到自己亲手制作的HTML格式的幻灯片了。
3.用TweakUI优化系统
TweakUI是微软推出的一款系统优化工具。其实,当你安装PowerToys后,它就位于PowerToys程序组中。点击“开始→所有程序→PowerToys→TweakUI 系统设置”菜单项便可进入TweakUI设置对话框。
(1)做一个省心的鼠标
当在桌面上开启多个页面时,一般都是通过鼠标点击相应的页面以进行切换不同的窗口。可不可以不点击鼠标就可以进行切换呢?
展开设置窗口左侧列表中的“鼠标”选项,点击“X-Mouse”选项,在右侧窗口中分别选中“激活这种鼠标”和“自动激活窗口”选项,点击“确定”按钮便可。如图3所示。
图3
当你再次将鼠标移至桌面上不同的窗口页面上时,即可发现鼠标所到之处,所指的窗口就会出现在最前面。
(2)去掉快捷方式的“小尾巴”
那些快捷方式总有难看的“小尾巴”存在,以前大家都是通过修改注册表的方式将它去除,而修改注册表毕竟比较危险,并且也不大方便,在TweakUI设置窗口中可以很方便将它去除。
展开设置窗口左侧列表下的“资源管理器”选项,点击“快捷方式图标”选项,选中右侧窗口中的“没有箭头”选项,点击“确定”按钮即可。
(3)隐藏驱动器图标
为了安全起见,我们往往将一些存放有重要数据的驱动器隐藏。隐藏的方法不外乎是修改注册表、利用第三方软件实现,而利用TweakUI同样也可以轻松隐藏这些驱动器图标。
点击左侧列表中“我的电脑”选项,点击“硬盘”选项,便会在右侧窗口中出现系统中所有的驱动器盘符,去掉打算隐藏的驱动器,点击“确定”按钮即可。
(4)隐藏控制面板中的重要选项
控制面板的功能很强大,可以通过它对系统做多方面的修改,正因为如此,为了防范他人通过控制面板中的选项去修改自己的系统,有必要将一些重要的选项屏蔽。在此,我们以屏蔽“系统”选项为例。
打开左侧列表中的“控制面板”选项,会在右侧窗口中出现多个项目选项,将其中的“Sysdm.cpl”选项去掉,点击“确定”按钮即可。
4.一机四用
有没有想到在一个显示器上能同时看到4种不同的桌面,并且在每个桌面还都能进行不同的操作?在Windows XP没有设置多用户的情况下,如果能实现虽有一个单用户存在,也可以让其他人在不同的桌面中进行不同操作的功能。让每个人各司其职,互不干扰,岂不美哉?PowerToys中的虚拟桌面功能就能帮你忙。
在系统工具栏上点击鼠标右键,选择“工具栏→MSVDM”命令,即可在任务栏中看到所增加的虚拟桌面按钮,其中从左到右的按钮依次是整体预览按钮、1~4号桌面快速切速按钮。当点击整体预览按钮时,便可以看到4个桌面的整体画面,用鼠标点击相应的窗口就可进入到其所对应的桌面环境。能在不同的桌面进行不同的操作操作,而不用担心会有互相干扰的情况,同时也可以避免桌面显得过于拥挤。
点击任务栏中“MSVDM”按钮,选择“Configure Desktop Images(配置桌面图像)”命令,即可打开更换桌面背景对话框,接下来便可在“桌面背景”列表中选择图片,从而随心所欲地为这4个桌面更换不同的背景。
当选择“Shared Desktop(共享桌面)”命令时,就可以利用Alt+Tab组合键进行各虚拟桌面环境的快速切换。选择“Show Quick Switch Bottons(显示快速切换按钮)”选项则可以在任务栏中显示这几个虚拟桌面的快速切换按钮。
From: