11.1  提高安全意识

首先本节会告诉大家如何提高自己的安全意识，尽量将恶意软件拒之门外。毕竟与其等系统中被安装了恶意软件后再处理，不如一开始就将这类软件进入系统的渠道彻底堵死。

对于通过ActiveX控件的形式从网页上安装的恶意软件，我们首先需要注意的就是Internet Explorer的信息栏。在Internet Explorer 6发布之前，在Internet Explorer中如果访问了需要安装控件的网页，Internet Explorer会使用所示的对话框询问用户是否安装。因为直接面对询问是否需要安装的对话框，很多不明就里的用户直接就会单击“确定”，在自己不知情的情况下将恶意软件装进系统。而且很多人在明知道不需要这个控件，但不得已必须安装的原因在于，老版本Internet Explorer中，如果网页试图安装控件，首先会检测系统中是否已经安装该控件，而这个过程会导致整个Internet Explorer长时间不响应（在网络速度慢的时候尤其严重），很多人不堪其扰，不得已才会安装不需要的控件。

不过在Internet Explorer 6 SP2以及Internet Explorer 7上情况就要好很多，如果在这些浏览器上访问了需要安装控件的网页，Internet Explorer并不会直接显示询问是否安装的对话框，而是会首先在地址栏上显示一个信息栏，里面列出了介绍性文字（如图11-5所示）。要安装该插件，必须首先注意到信息栏的存在，并单击信息栏。

图11-5  新版Internet Explorer使用信息栏取代了直接显示的询问对话框

实践证明，很多粗心的用户在实际使用中甚至根本没有注意到信息栏的存在，自然也就不会看到相关的安装选项。而且在新版本Internet Explorer中，在出现询问是否安装的信息栏时，实际上还没有检测系统中是否安装了该控件，因此不会影响Internet Explorer的操作流畅程度。

因此如果足够细心，每次都能注意到Internet Explorer弹出的信息栏，那么在遇到类似上图的信息栏时，最好能多留个心眼。毕竟我们都知道，ActiveX控件的主要作用就是为了支持网页上的一些特殊功能，而一旦网页本身都已经打开了，而且所有功能都可以正常使用的情况下，依然显示了一个黄色的信息栏询问是否安装某ActiveX控件的话，很明显这个控件并不是显示网页所必需的，对于这种控件，自然是越少越好，能不装就别装。

其次，如果觉得对于一个频繁遇到的控件，每次都显示信息栏比较烦人的话，也可以采取下列方式将其禁用：

·在询问是否安装ActiveX控件的信息栏上单击鼠标右键，选择“安装ActiveX控件”（不用担心，虽然选择的是安装，不过在安装前还有选项要处理，并不需要安装它）。

·随后如果是Windows Vista，系统会首先显示“UAC提升”对话框，要求在提升后才可以安装，Windows XP不需要这一步（从这一点上看，Windows Vista中的改进还是有必要的，至少没有管理员权限的用户将无法随意安装任何ActiveX控件）。

·随后会出现图11-6所示的安全警告。在“安全警告”对话框上单击“更多选项”按钮，展开该对话框。

图11-6  确定是否安装一个ActiveX控件

·在图11-6所示的对话框中选中“从不安装来自…的软件”，然后单击“不安装”按钮。

请留意图11-6中“发行者”一栏显示的内容，经过上述方法处理后，Internet Explorer不仅不会再次询问是否安装这个控件，甚至以后来自同一个发行者的控件、加载项以及软件都将不再被询问。这个发行者信息是通过安装程序中包含的数字签名决定的，因此无法伪造，而且只要开发恶意软件的公司不更换数字签名，那么日后该公司发布的其他控件也不会被安装到本机上来。

经过上述处理后，我们可能因为各种需要而想要安装曾经被设置从不安装的内容，这种情况下可以按照下列方法操作：

·运行“certmgr.msc”打开证书控制台窗口。

·从控制台窗口左侧的树形图中依次进入“证书→不信任的证书→证书”节点。

·在右侧的窗口中删除被阻止的软件对应的证书。

·重启动Internet Explorer，并访问需要安装控件的网页，如果操作正常，那么Internet Explorer将会使用信息栏提示是否安装控件。

注意  “不信任的证书”节点下为何会有微软的证书

按照上文的方法打开证书控制台，并进入到“不信任的证书→证书”节点后，我们还会发现里面列出了两个颁发给“Microsoft Corporation”的证书，为什么微软自己的操作系统会不信任颁发给微软的证书？其实仔细检查这两个证书的“截止日期”就可以发现，这两个证书在2002年初就已经过期了。根据说明（参见http://www.microsoft.com/technet/security/bulletin/ms01-017.mspx），微软无意中遗失了这两个证书对应的私钥，而获得该私钥的人可能会利用私钥将自己开发的软件伪装成微软的产品，诱骗用户安装。为了安全，微软已经在证书颁发机构撤销了这两个证书，也就是说已经将这两个证书设置为不被信任，这主要是为了保护Windows用户不受骗。因此不要因为看到证书是颁发给微软的就将其删除。