使用word打開下載的文件時,經常會出現一下提示,正常的文件無法打開:
在文件上右鍵-》屬性:
之后點擊解除鎖定之后,就可以使用了。但是總不能一直這樣吧,太麻煩了吧!為什么會這樣呢?
附件管理器(Attachment Manager)
這一切都要從XP的SP2說起。在SP2之前,大概是2004年吧,由於當時互聯網得到了一個比較大的發展,導致很多病毒木馬都借助於互聯網傳播。當時的傳播方式主要就是通過互聯網交換文件,然后病毒得以擴展。其中,IE的文件下載、電子郵件附件,以及即時通訊軟件如MSN的文件傳輸等都成為了傳播渠道之一。為了解決通過互聯網文件交換的安全性,微軟推出了很多解決手段,其中的辦法之一就是——附件執行服務(AES),並把它作為XP SP2的一部分進行安裝。
附件執行服務(Attachment Execution Services, AES),或者說附件管理器(Attachment Manager)。按照微軟的說明,凡是用ShellExecute() API調用的程序都會經過AES檢查。 AES會從該文件的哦NTFS的流中讀取該文件的Web內容區域信息Zone.Identifier,然后根據一定的規則來決定采取什么的保護策略。
附件管理器主要是按照一定的規則,對通過互聯網傳輸的文件進行安全判斷,並在執行前給用戶提示。如果你使用的是NTFS格式的文件系統,它還會幫你自動鎖定不安全的文件。
由於這個設計起到了一定的效果,因此后很多的瀏覽器等客戶端軟件都會調用附件管理器來處理交換的文件,比如Firefox,Chrome等。這也就是這些瀏覽器里下載的文件經常被鎖定的原因。
規則
附件管理器判斷一個文件安不安全,從而決定是阻止文件執行、還是彈框提示,是結合下面三種情況來判斷的:
- 使用的程序的類型。
- 下載或嘗試打開的文件類型。
- 從中下載文件的 Web 內容區域的安全設置。
用圖來描述:
軟件,就是文件是哪個軟件來下載或者傳輸的的,比如IE,或者MSN。
文件類型則是根據PE文件,非PE文件,以及文件擴展名一起來給文件分為三類:
高風險
大部分是pe文件,如.exe,.bat,.com等。這個可以設置的。
低風險
大部分是非pe文件,如.txt,.bmp,.log等文件。
注意: 只有.txt,.log,.text文件關聯的打開程序是記事本的時候,這些文件才被標記為低風險。
圖片文件如.bmp,.jpg,.png等也是關聯的打開程序為Windows 圖片和傳真查看器才能被標記為低風險。
中級風險
除了高風險和低風險外,其余的文件都是中級風險。
如何關閉附件管理器檢查?
關閉的方法也很簡單,就是配置上面的策略。
有兩種方法:
第一種是增加一個全局的環境變量SEE_MASK_NOZONECHECKS,設置值為1.
[HKEY_CURRENT_USER \Environment]
SEE_MASK_NOZONECHECKS = "1"
第二中是修改組策略中的配置:
1.文件類型的默認風險級別,設置為“啟用”,“低風險”。
2.低風險文件類型的包含列表,設置為“啟用”,擴展名增加比如:.docx;.doc;.xls;.xlsx
3.文件附件值中不保留區域信息,設置為“啟用”