(1)服务器安全设置篇(3-1) - 入侵方法介绍 端口限制 磁盘权限设置
上篇服务器应用安装篇已说完了,至于在WINDOWS 2003上安装Apache+Servlet+JSP等运行环境的这个我就没必要说的,毕竟用的人,是少之又少.
能常入侵,,也就是几个环节,,要作出对应的安全设置,,保障服务器的安全 当然,这个必须是你的程序也是相对安全的,要不就算你的服务器做得怎么好,密码设了DFWR#34d43dfwadfdf/.==//++59978..df,5.@$^%D.这样的密码,也是没用的..
开始正题吧,,要做好WINDOWS 的安全,,最要紧的是几方面: 1,端口限制 2.权限限制
3,关闭一些危险的服务和组件 4.包过滤 5,策略审计
做好服务器安全?先要做什么?
当然先要知道,别人是怎么入侵的呀,你不知道怎么个入侵,你怎么做防范??
先来看看入侵的方式: (别怪我罗嗦,呵呵)
1,扫描你的端口..(安全要做的是限制端口)
2.下载你的包,(安全要做的是过滤相应的包,对了,这个包,是不能吃的!别想着吃,我现在比你更饿~~~) 3.上传文件(安全要做的是.限制上传木马后门等程序,限制运行EXE等等)
4,WEBSHELL权限(第三部上传文件没限好的话,被人上传了木马,这里,,就要做好限制服务和组件了) 5.执行SHELL(设置ACL的权限,不让执行命令,不能让其加上管理员帐户等等)
6,登陆3389(这里就要做策略,限制登陆3389,如:只许某一个IP或某一个段登陆3389) 7,擦除入侵后的\"脚印\"(设置好日志中的审计,让他删也删不了)
装好前面我说的一大堆什么IIS SERV-U SQL2000 PHP MYSQL这些东西. 一般人,也就是用这些服务吧???
1,本地安全策略或者网卡那里做端口限制 本地安全策略: 外->本地 80 外->本地 20 外->本地 21
外->本地 PASV所用到的一些端口(SERV-U,一般开放9000-9049这50个端口) 外->本地 3389
然后按照具体情况.打开SQL SERVER和MYSQL的端口 外->本地 1433 外->本地 3306 本地->外 80
除了明确允许的一律阻止.这个是安全规则的关键. 外->本地 所有协议 阻止
网卡端口限制:
填写相应的TCP端口,如WEB用到80端口,SERV-U用到21端口,远程桌面用3389端口,SQLSERVER开放外网连接,用到1433端口,MYSQL开放远程连接,用
到3306端口等,
切记:如果是开了远程,一定要开3389端口啊,要不你就连不上远程了..(如果你改了3389端口,就另外填写你改的那个)
2,更改默认管理员的帐户名
将administrator改名为你好记的名字,密码设长点,,最少8位以上,,大小写,字符等.
3,磁盘权限设置..
将所有盘符的权限(如C,D,E等),全部改为只有 administrators组 全部权限 system 全部权限 如图:
主要设置C盘权限:
C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限
修改
C:\\Program Files\\Common Files 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限 C:\\WINDOWS\\ 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限 C:\\WINDOWS\\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限 如图:
这三个目录权限都是这样设置
Everyone 权限,很多地方都有,现在,我们一个一个找他们出来,删了!!
C:\\Documents and Settings下All Users\\Default User目录及其子目录,这个比较烦,要认真找找喔. C:\\WINDOWS\\PCHealth C:\\windows\\Installer
现在WebShell就无法在系统目录内写入任何文件了,如木马,EXE等等. 当然也可以使用更严格的权限. 在WINDOWS下分别目录设置权限.
可是比较复杂.效果也并不明显.而且,,还会很容易头晕..(比如我 ^O^)
4,设置系统EXE文件权限 打开c:\\windows 搜索:
net.exe;cmd.exe;netstat.exe;regedit.exe;at.exe;cacls.exe;regsvr32.exe;xcopy.exe;wscri
pt.exe;cscript.exe;
ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe; runonce.exe;syskey.exe
修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限 如图:
(2)服务器安全设置篇(3-2) - 注册表修改 删除不安全组件 禁用无关服务
注册表是啥东西?
注册表包含 Windows 在运行期间不断引用的信息,例如,每个用户的配置文件、计算机上安装的应用程序以及每个应用程序可以创建的文档类型、文件夹和应用程序图标的属性表设置、系统上存在哪些硬件以及正在使用哪些端口等等等,,在这里,也只是随便说说,改注册表,,限一些东西而已
点击\"开始\" -- \"运行\" -- \"regedit\" -- \"确定\" 就可以打开注册表了..
(1).关闭445端口
HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\netBT\\Parameters
新建 “DWORD值”值名为 “SMBDeviceEnabled” 数据为默认值“0”(0在十六进制,十进制都是一样) 如图:
(以下就不做图例了,差不多的.看看也懂.) (2).禁止建立空连接
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa
新建 “DWORD值”值名为 “RestrictAnonymous” 数据值为“1” [2003默认为1]
(3).禁止系统自动启动服务器共享
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters 新建 “DWORD值”值名为 “AutoShareServer” 数据值为“0”
(4).禁止系统自动启动管理共享
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters
新建 “DWORD值”值名为 “AutoShareWks” 数据值为“0”
(5).通过修改注册表防止小规模DDOS攻击
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters 新建 “DWORD值”值名为 “SynAttackProtect” 数据值为“1”
2.禁止dump file
我的电脑>点击右键\"属性\">高级>启动和故障恢复把 写入调试信息 改成无。 如图:
3.关闭Dr.Watson for windows
在开始-运行中输入“drwtsn32”,就可以看到Dr.Watson 只保留“转储全部线程上下文”选项 如图:
4.删除危险组件和关闭无用的服务
(1)WScript.Shell 、Shell.application 这两个组件ASP木马都会使用到的.. \"开始\" -- \"运行\" -- \"cmd\" -- \"确定\" 输入:regsvr32 /u wshom.ocx 按回车
再输入:regsvr32 /u shell32.dll 按回车
regsvr32 /u wshom.ocx 是卸载WScript.Shell 组件意思 regsvr32 /u shell32.dll 是卸载Shell.application 组件意思 如图:
当然,也可以在注册表中删除:
删除注册表 HKEY_CLASSES_ROOT\\CLSID\\{72C24DD5-D70A-438B-8A42-98424B88AFB8} 对应 WScript.Shell
删除注册表 HKEY_CLASSES_ROOT\\CLSID\\{13709620-C279-11CE-A49E-444553540000} 对应 Shell.application
(2)卸载FSO组件
当然,如果服务器不需要FSO那就卸载掉吧.
regsvr32 /u c:\\windows\\system32\\scrrun.dll注销组件
使用regedit
将/HKEY_CLASSES_ROOT下的 WScript.Network WScript.Network.1 WScript.Shell WScript.Shell.1 Shell.Application Shell.Application.1 键值改名或删除
将这些键值下CLSID中包含的字串
如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
到/HKEY_CLASSES_ROOT/CLSID下找到以这些字串命名的键值 全部删除
5.关闭无用的服务
服务其实是Win2000/XP/2003中一种特殊的应用程序类型,不过它是在后台运行,所以我们在任务管理器看不到它。
安装Win 2003后,通常系统会默认启动许多服务,其中有些服务是普通用户根本用不到的,不但占用系统资源,还有可能被黑客所利用。
服务分为三种启动类型:
·自动:如果一些无用服务被设置为自动,它就会随机器一起启动,这样会延长系统启动时间。通常与系统有紧密关联的服务才必须设置为自动。
·手动:只有在需要它的时候,才会被启动。
·已禁用:表示这种服务将不再启动,即使是在需要它时,也不会被启动,除非修改为上面两种类型。
如果我们要关闭正在运行的服务,只要选中它,然后在右键菜单中选择“停止”即可。但是下次启动机器时,它还可能自动或手动运行。
如果服务项目确实无用,可以选择禁止服务。在右键菜单中选择“属性”,然后在“常规→启动类型”列表中选择“已禁用”,这项服务就会被彻底禁用。
如果以后需要重新起用它,只要在此选择“自动”或“手动”即可;也可以通过命令行“netstart?服务名?”来启动,比如“netstartClipbook”。
禁用系统不必要的服务 打开服务那一项:
\"控制面板\" -- \"管理工具\" -- \"服务\" 如图:
Win 2003系统中不必要开放的服务列表:
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
·Task scheduler 允许程序在指定时间运行
·Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
·Removable storage 管理可移动媒体、驱动程序和库
·Remote Registry Service 允许远程注册表操作
·Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项
·IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序
·Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知
·Com+ Event System 提供事件的自动发布到订阅COM组件
·Alerter 通知选定的用户和计算机管理警报
·Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序
·Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
·Telnet 允许远程用户登录到此计算机并运行程序
·Workstation 创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接将不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。(关闭这个,木马那里就无法读取到服务器的用户列表了,快关了!^O^)
(3)服务器安全设置篇(3-3) - 网站WEB目录权限 SQL SERVER2000设置
1.WEB网站存放目录的权限设置
IIS中,IIS用户一般使用Guests组,比较保险的做法就是为每个客户,建立一个windows中Guests用户.把IIS执行的匿名用户.绑定成
这个用户
当然也可以再重新建立一个独立的专供IIS使用的组, 建立Guests用户:
\"我的电脑\" -- \"计算机管理\" -- \"系统工具\" -- \"本地用户和组\" -- \"用户\" -- 点击右键\"新用户\" 如图:
这样就建立了一个iis001的用户..
第二步WEB目录权限设置: 如图:
这样,WEB网站的目录权限就成了 administrators 全部权限 system 全部权限
单独建立的用户(或者IUSER) 选择高级->打开除 完全控制,遍历文件夹/运行程序,取得所有权 3个外的其他权限.
网站目录,可别乱给Everyone权限喔...
第三步,IIS上,IIS执行的匿名用户.绑定成这个用户 打开IIS,网站的属性,如图:
\"点击目录安全性\" -- \"身份验证和访问控制\" -- \"编辑\"
那样就可以了...
如果服务器上站点不多.并且有论坛 我们可以把每个论坛的上传目录 去掉此用户的执行权限. 只有读写权限
这样入侵者即便绕过论坛文件类型检测上传了webshell 也是无法运行的.
2.MS SQL SERVER2000删除无用的扩展
进入\"SQL查询分析器\" ,别告诉我你不知道在哪吧???
输入以下脚本: use master
exec sp_dropextendedproc *xp_cmdshell* exec sp_dropextendedproc *xp_dirtree* exec sp_dropextendedproc *xp_enumgroups* exec sp_dropextendedproc *xp_fixeddrives* exec sp_dropextendedproc *xp_loginconfig* exec sp_dropextendedproc *xp_enumerrorlogs*
exec sp_dropextendedproc *xp_getfiledetails* exec sp_dropextendedproc *Sp_OAcreate* exec sp_dropextendedproc *Sp_OADestroy* exec sp_dropextendedproc *Sp_OAGetErrorInfo* exec sp_dropextendedproc *Sp_OAGetProperty* exec sp_dropextendedproc *Sp_OAMethod* exec sp_dropextendedproc *Sp_OASetProperty* exec sp_dropextendedproc *Sp_OAStop*
exec sp_dropextendedproc *Xp_regaddmultistring* exec sp_dropextendedproc *Xp_regdeletekey* exec sp_dropextendedproc *Xp_regdeletevalue* exec sp_dropextendedproc *Xp_regenumvalues* exec sp_dropextendedproc *Xp_regread*
exec sp_dropextendedproc *Xp_regremovemultistring* exec sp_dropextendedproc *Xp_regwrite* drop procedure sp_makewebtask go如图:
这样就删除了SQL2000那里所有危险的扩展.
(4)服务器安全设置篇(3-4) - 备份 杀毒 审计
服务器,如果有问题,硬盘坏了?被入侵了?删除了?那咋办??
还是要防范于未然,,要不,,完蛋了..
1.系统的备份:
使用backup软件.备份网站数据什么的,这个,,网上搜搜,找找,很多.这里,,不多说了.
使用reg.exe 备份系统关键数据
reg.exe是啥??
RegistryConsoleTool,MicrosftWindowsXP系统自带的用于在命令行下编辑注册表的工具。
当然,也有坏人,把他的木马什么的,,改成名字是reg.exe
REG.EXE如何备份关键的东东呢?? 如备份系统ODBC命令如下:
reg export HKLM\\SOFTWARE\\ODBC e:\\backup\\system\\odbc.reg /y
其它的,你可以在命令行下输入\"Reg/?\"来了解详细的参数设置, 如图:
在这里,我也不多说了..呵呵 2,杀毒.
这个嘛,,要点难说,呵呵,,服务器没拿来做上QQ,上网打开网站用,其实要不要,没什么用.
不过,,心安,还是装一个吧,,推荐McAfee VirusScan,
你想问,为什么不用什么江民,卡巴,金山毒霸,瑞星等等呢???呵呵,你以为家用上网呢???
问:那为啥不装诺顿??
答:诺顿?呵呵..它对WEBSHELL.基本都是没有反应的.没用的家伙,装它干嘛?
McAfee VirusScan对于国内的许多恶意代码和木马都能够及时的更新.
或者再加上一个:AVG Anti-Spyware
问:装AVG Anti-Spyware?为啥不装360安全卫士?
答:360要来做什么?它只是一个靠吹的东西.没多少用处,随便都可以跑到它身后去..
以上这些软件,就麻烦你自己找咯..呵呵,我就不提供了.. 3:审计
问:啥是审计?
答:也就是本地安全策略中和审核策略
本地安全策略->本地策略->审核策略 打开以下内容
审核策略更改 成功,失败 审核系统事件 成功,失败 审核帐户登陆事件 成功,失败 审核帐户管理 成功,失败 如图:
Windows Server 2003作为Microsoft 最新推出的服务器操作系统,相比Windows 2000/XP系统来说,各方面的功能确实得到了增强,尤其在安全方面,总体感觉做的还算不错。但“金无足赤”任何事物也没有十全十美的,微软Windows 2003也是如此,照样存在着系统漏洞、存在着不少安全隐患!无论你用计算机欣赏音乐、上网冲浪、运行游戏,还是编写文档都要不可避免地遭受新病毒泛滥时的威胁,如何让Windows Server 2003更加安全,成为广大用户十分关注的问题。 一、 取消IE安全提示对话框
面对黑客组织恶意程序的攻击,微软公司一直都在努力致力于降低产品的安全隐患,这是有目共睹的。微软新一代的Windows Server 2003操作系统在安全性能方面就得到了加强。比如在使用
Windows Server 2003自带的IE浏览器浏览网页时,每次都会弹出一个安全提示框,“不厌其烦”地提示我们,是否需要将当前访问的网站添加到自己信任的站点中去;如果表示不信任的话,只能单击“关
闭”按钮;而要是想浏览该站点的话,就必须单击“添加”按钮,将该网页添加到信任网站的列表中去。不过每次访问网页,都要经过这样的步骤,实在是太烦琐了。其实我们可以通过下面的方法来让IE取消对网站安全性的检查: 网管网bitsCN_com
1.一旦系统打开安全提示页面时,你可以用鼠标将其中的“当网站的内容被堵塞时继续提示”复选项选中;
2.在浏览界面中,用鼠标单击“工具”菜单项,从打开的下拉菜单中执行“Internet选项”命令; 3.在弹出的选项设置界面中,你可以将系统默认状态下的最高安全级别设置为中等级别; 4.设置时,只要在“安全”标签页面中,拖动其中的安全滑块到“中”位置处就可以了; 5.完成设置后,单击“确定”按钮,就可以将浏览器的安全自动提示页面取消了。
经过修改IE的默认安全级别的设置,再上网的时候,IE就不会自动去检查网站的安全性了,麻烦解决了吧!
二、重新支持ASP脚本
提起ASP(ActiveServerPage)大家都会联想到Windows,它以其强大的功能,简单易学的特点而受到广大WEB开发人员的喜欢。但为了将系统安全隐患降到最低限度,Windows Server 2003操作系统在默认状态下,是不支持ASP脚本运行的——系统将不会再对网站中的ASP代码进行任何的操作;但现在许多网页的服务功能多是通过ASP脚本来实现的,怎么办?其实我们完全可以在系统安全得到保障的前提下,让系统重新支持ASP脚本。具体实现的方法为:
1.在系统的开始菜单中,依次单击“管理工具”/“Internet信息服务管理器”命令(如图1)。
2.在随后出现的Internet信息服务属性设置窗口中,用鼠标选中左侧区域中的“Web服务器扩展”选项;
3.接着在对应该选项右侧的区域中,用鼠标双击“Actives server pages”选项,然后将“任务栏”设置项处的“允许”按钮单击一下,系统中的IIS6就可以重新支持ASP脚本了(如图2)。
用户最关心的问题大概就是原有的ASP组件是否还可以继续使用?我可以告诉大家,经这番修改设置,系统中的IIS6重新支持ASP脚本了,一切的操作是不是很简单啊! 三、清除默认共享隐患
使用Windows Server 2003的用户都会碰到一个问题,就是系统在默认安装时,都会产生默认的共享文件夹。虽然用户并没有设置共享,但每个盘符都被Windows自动设置了共享,其共享名为盘符 后面加一个符号$(共享名称分别为c$、d$、ipc$以及admin$)。也就是说,只要攻击者知道了该系统的管理员密码,就有可能通过“\\\\工作站名\\共享名称”的方法,来打开系统的指定文件夹,如此一来,用户精心设置的安全防范岂不成了摆设?还有安全嘛!为此,我们很有必要将Windows Server 2003系统默认的共享隐患,立即从系统中清除掉。 中国网管联盟www_bitscn_com 1、删除Windows Server 2003默认共享 首先编写如下内容的批处理文件: @echo off
net share C$ /del net share D$ /del net share E$ /del net share F$ /del net share admin$ /del
以上文件的内容用户可以根据自己需要进行修改。保存为delshare.bat,存放到系统所在文件夹下的system32\\GroupPolicy\\User\\Scripts\\Logon目录下。然后在开始菜单→运行中输入gpedit.msc, 回车即可打开组策略编辑器。点击用户配置→Windows设置→脚本(登录/注销)→登录(如图3)
在出现的“登录 属性”窗口中单击“添加”,会出现“添加脚本”对话框,在该窗口的“脚本名”栏中输入delshare.bat,然后单击“确定”按钮即可(如图4)
重新启动计算机系统,就可以自动将系统所有的隐藏共享文件夹全部取消了,这样就能将系统安全隐患降低到最低限度。 2、禁用IPC连接
IPC$(Internet Process Connection)是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方计算机即可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。它是Windows NT/2000/XP/2003特有的功能,但它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。NT/2000/XP/2003在提供了ipc$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c$,d$,e$„„)和系统目录winnt或windows(admin$)共享。所有的这些,微软的初衷都是为了方便管理员的管理,但也为简称为IPC入侵者有意或无意的提供
了方便条件,导致了系统安全性能的降低。在建立IPC的连接中不需要任何黑客工具,在命令行里键入相应的命令就可以了,不过有个前提条件,那就是你需要知道远程主机的用户名和密码。打开CMD后输入如下命令即可进行连接:net use\\\\ip\\ipc$ \"password\" /user:\"usernqme\"。我们可以通过修改注册表来禁用
IPC
连
接
。
打
开
注
册
表
编
辑
器
。
找
到
如
下
组
建
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa中的restrictanonymous子键,将其值改为1即可禁用IPC连接(如图5)。
四、清空远程可访问的注册表路径
大家都知道,Windows 2003操作系统提供了注册表的远程访问功能,只有将远程可访问的注册表路径设置为空,这样才能有效的防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息(如图6)
打开组策略编辑器,依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”,在右侧窗口中找到“网络访问:可远程访问的注册表路径”,然后在打开的窗口中,将可远程访问的注册表路径
和子路径内容全部设置为空即可(如图7)
五、关闭不必要的端口
对于个人用户来说安装中默认的有些端口确实是没有什么必要的,关掉端口也就是关闭无用的服务。139端口是NetBIOS协议所使用的端口,在安装了TCP/IP 协议的同时,NetBIOS 也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络中共享;网上黑客也可通过NetBIOS知道你的电脑中的一切!在以前的Windows版本中,只要不安装Microsoft网络的文件和打印共享协议,就可关闭139端口。但在Windows Server 2003中,只这样做是不行的。如果想彻底关闭139端口,具体步骤如下: www.bitsCN.net
鼠标右键单击“网络邻居”,选择“属性”,进入“网络和拨号连接”,再用鼠标右键单击“本地连接”,选择“属性”,打开“本地连接 属性”页(如图8)
然后去掉“Microsoft网络的文件和打印共享”前面的“√”(如图9)
接下来选中“Internet协议(TCP/IP)”,单击“属性”→“高级”→“WINS”,把“禁用TCP/IP上的NetBIOS”选中,即任务完成(如图10)
对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了。
假如你的电脑中还装了IIS,你最好重新设置一下端口过滤。步骤如下:选择网卡属性,然后双击“Internet协议(TCP/IP)”,在出现的窗口中单击“高级”按钮,会进入“高级TCP/IP设置”窗口,接下来选择“选
项”标签下的“TCP/IP 筛选”项,点“属性”按钮,会来到“TCP/IP 筛选”的窗口,在该窗口的“启用TCP/IP筛选(所有适配器)”前面打上“√”,然后根据需要配置就可以了。如果你只打算浏览网页,则只开放TCP端口80即可,所以可以在“TCP端口”上方选择“只允许”,然后单击“添加”按钮,输入80再单击“确定”即可(如图11)
六、杜绝非法访问应用程序
Windows Server 2003是一种服务器操作系统,为了防止登陆到其中的用户,随意启动服务器中的应用程序,给服务器的正常运行带来不必要的麻烦,我们很有必要根据不同用户的访问权限,来限制 他们去调用应用程序。实际上我们只要使用组策略编辑器作进一步的设置,即可实现这一目的,具体步骤如下:
打开“组策略编辑器”的方法为:依次点击“开始→运行”,在“运行”对话框中键入“gpedit.msc”命令并回车,即可打开“组策略编辑器”窗口。然后依次打开“组策略控制台→用户配置→管理模 板→系统”中的“只运行许可的Windows应用程序”并启用此策略(如图12)
然后点击下面的“允许的应用程序列表”边的“显示”按钮,弹出一个“显示内容”对话框,在此单击“添加”按钮来添加允许运行的应用程序即可(如图13)
以后一般用户只能运行“允许的应用程序列表”中的程序。
因篇幅问题不能全部显示,请点此查看更多更全内容