Windows沙拉:為什么下載的文件打開時會有警告,而且會被“鎖定”?

作者: 小杰  來源: 博客園  發布時間: 2010-08-08 20:48  閱讀: 2581 次  推薦: 0   原文鏈接   [收藏]  

從XP的SP2開始,有時候下載的文件總是會被“鎖定”,有exe,也有一些word類的文件。

出現的情況,大概有這么幾種:

1.打開程序時彈出警告

image

2.查看文件屬性時發現“安全鎖定”,需要解除鎖定

 image

 

那么這個是怎么回事呢?

附件管理器(Attachment Manager)

這一切都要從XP的SP2說起。在SP2之前,大概是2004年吧,由于當時互聯網得到了一個比較大的發展,導致很多病毒木馬都借助于互聯網傳播。當時的傳播方式主要就是通過互聯網交換文件,然后病毒得以擴展。其中,IE的文件下載、電子郵件附件,以及即時通訊軟件如MSN的文件傳輸等都成為了傳播渠道之一。為了解決通過互聯網文件交換的安全性,微軟推出了很多解決手段,其中的辦法之一就是——附件執行服務(AES),并把它作為XP SP2的一部分進行安裝。

附件執行服務(Attachment Execution Services, AES),或者說附件管理器(Attachment Manager)。按照微軟的說明,凡是用ShellExecute() API調用的程序都會經過AES檢查。 AES會從該文件的哦NTFS的流中讀取該文件的Web內容區域信息Zone.Identifier,然后根據一定的規則來決定采取什么的保護策略。

附件管理器主要是按照一定的規則,對通過互聯網傳輸的文件進行安全判斷,并在執行前給用戶提示。如果你使用的是NTFS格式的文件系統,它還會幫你自動鎖定不安全的文件。

由于這個設計起到了一定的效果,因此后很多的瀏覽器等客戶端軟件都會調用附件管理器來處理交換的文件,比如Firefox,Chrome等。這也就是這些瀏覽器里下載的文件經常被鎖定的原因。

規則

附件管理器判斷一個文件安不安全,從而決定是阻止文件執行、還是彈框提示,是結合下面三種情況來判斷的:

  • 使用的程序的類型。
  • 下載或嘗試打開的文件類型。
  • 從中下載文件的 Web 內容區域的安全設置。

用圖來描述:

Attachment Manger_cn

 

軟件,就是文件是哪個軟件來下載或者傳輸的的,比如IE,或者MSN。

 

文件類型則是根據PE文件,非PE文件,以及文件擴展名一起來給文件分為三類:

高風險

大部分是pe文件,如.exe,.bat,.com等。這個可以設置的。

低風險

大部分是非pe文件,如.txt,.bmp,.log等文件。

注意: 只有.txt,.log,.text文件關聯的打開程序是記事本的時候,這些文件才被標記為低風險。

圖片文件如.bmp,.jpg,.png等也是關聯的打開程序為Windows 圖片和傳真查看器才能被標記為低風險。

中級風險

除了高風險和低風險外,其余的文件都是中級風險。

 

Web內容區域的安全設置則是指IE選項中的4個安全區域:

image

 

在使用NTFS的系統中,如果軟件使用了附件管理器來保存文件,那么對于的web內容區域信息也會被保存下來。它是保存在NTFS的文件流中。

 

有了上述信息后,附件管理器就會按照下面的規則來決定改采取阻止執行,或者彈框提示:


tip

 

 

配置附件管理器

通過組策略或者注冊表可以來配置附件管理器。我推薦組策略(它也是改注冊表。好處是不用記住具體哪個鍵值)。

打開組策略編輯器的方法是在“運行”中輸入gpedit.msc

然后選擇“用戶配置”-“管理模板”-“Windows 組件”-“附件管理器”。如下圖:

image

image

可以看到大部分內容都可以配置。具體內容請大家參考 這些設置的幫助,還是很容易理解的。

如何關閉附件管理器檢查?

關閉的方法也很簡單,就是配置上面的策略。

有兩種方法:

第一種是增加一個全局的環境變量SEE_MASK_NOZONECHECKS,設置值為1.

[HKEY_CURRENT_USER \Environment]
SEE_MASK_NOZONECHECKS = "1"

第二中是修改組策略中的配置:

1.文件類型的默認風險級別,設置為“啟用”,“低風險”。

2.低風險文件類型的包含列表,設置為“啟用”,擴展名增加.exe;.msi

3.文件附件值中不保留區域信息,設置為“啟用”

參考資料

Windows XP Service Pack 2 中的附件管理器工作方式的說明

http://support.microsoft.com/kb/883260

How to bypass the security warning "Unknown Publisher" with the checkbox "Always Ask Before Opening this File"

http://blogs.msdn.com/b/askie/archive/2009/06/19/how-to-bypass-the-security-warning-unknown-publisher-with-the-checkbox-always-ask-before-opening-this-file.aspx

How to Disable the Open File Security Warning in Windows XP
http://www.ehow.com/how_5804009_disable-security-warning-windows-xp.html#

Microsoft Attachment Manager blocks files that have crossed the internet

http://www.lansa.com/support/notes/p0348.htm

Configure the Attachment Manager in Windows XP SP2

http://smallvoid.com/article/ie-attachment-manager.html

使用IE下載的文件屬性里老有”解除鎖定”

http://www.iefans.net/ie-xiazai-wenjian-shuxing-jiechusuoding/

Removing 'Security Warning' on files downloaded with Firefox 3.0

http://blog.case.edu/bes7/2008/04/21/removing_security_warning_on_files_downloaded_with_firefox_30

IAttachmentExecute Interface

http://msdn.microsoft.com/en-us/library/bb776297(VS.85).aspx

The Open File - Security Warning dialog box is displayed when you try to silently install a hotfix or an update by using a Visual Basic script in Windows XP Service Pack 2

http://support.microsoft.com/?scid=kb;en-us;889815&x=8&y=14

0
0
 
標簽:Windows
 
 

文章列表

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 大師兄 的頭像
    大師兄

    IT工程師數位筆記本

    大師兄 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄