防止 Windows 7 無線網(wǎng)絡(luò)連接屬性顯示明文密碼

Windows 7 無線網(wǎng)絡(luò)連接屬性的“安全”選項(xiàng)卡有一項(xiàng)名為“顯示字符”的復(fù)選框，勾選此復(fù)選框可以將無線網(wǎng)絡(luò)連接的密碼以明文的形式顯示出來。Windows 7 提供“顯示字符”原本是方便用戶在忘記密碼時(shí)
可以查看，然而此功能卻普遍被視為無線連接密碼泄露的安全隱患。很多用戶都希望將“顯示字符”復(fù)選框設(shè)置為禁用以避免自己的無線連接密碼外泄。

遺憾的是，Windows 7 無論在網(wǎng)絡(luò)連接設(shè)置還是在組策略中均未提供直接禁用“顯示字符”的選項(xiàng)。這是
因?yàn)?Windows 7 的設(shè)計(jì)初衷是希望我們通過用戶帳戶與密碼來保護(hù)個(gè)人數(shù)據(jù)的安全。換言之，Windows 7希望我們將電腦臨時(shí)借給別人使用時(shí)，能夠暫時(shí)注銷或切換用戶帳戶返回歡迎屏幕，讓別人以其它用戶帳戶重新登錄，這樣一來就沒有必要禁用我們自己帳戶的“顯示字符”。可是眾所周知，微軟在幾代 Windows一直大力推薦的這種“快速用戶切換”理論一直沒能在普通用戶中流行起來。自從 Windows XP 首次引入“快速用戶切換”功能至今，大多數(shù)用戶依然只在自己的電腦中設(shè)置一個(gè)用戶帳戶，并經(jīng)常慷慨大方地借給別人使用。因此對(duì)于這些用戶而言，我們確實(shí)有必要想辦法禁用無線網(wǎng)絡(luò)連接的“顯示字符”功能。

經(jīng)過 Process Monitor 對(duì)“顯示字符”調(diào)用的注冊(cè)表項(xiàng)的監(jiān)視，筆者發(fā)現(xiàn)“顯示字符”復(fù)選框與注冊(cè)表項(xiàng)
HKEY_CLASSES_ROOT\AppID\{86F80216-5DD6-4F43-953B-35EF40A35AEE} 存在著關(guān)聯(lián)。在默認(rèn)的
系統(tǒng)設(shè)置中此注冊(cè)表項(xiàng)的“默認(rèn)”值為 CElevateWLANUI，有一個(gè)名為 AccessPermission 的二進(jìn)制值、一個(gè)名為 DLLSurrogate 的字符串值。此注冊(cè)表項(xiàng)的默認(rèn)權(quán)限設(shè)置非常嚴(yán)格，只有 TrustedInstaller 具有完全控制權(quán)限，包括 SYSTEM 以及所有管理員帳戶、非管理員帳戶對(duì)此注冊(cè)表項(xiàng)均只具有“讀取”權(quán)限。

 
如果我們希望一個(gè)用戶帳戶的“顯示字符”功能失效，需要將此用戶所在的組對(duì)此注冊(cè)表項(xiàng)僅有的“讀取”權(quán)限也取消掉。為實(shí)現(xiàn)此目的，我們必須首先獲取此注冊(cè)表項(xiàng)的所有權(quán)，將此注冊(cè)表項(xiàng)的所有者由默認(rèn)的TrustedInstaller 修改為我們執(zhí)行修改操作的管理員帳戶。拿到注冊(cè)表項(xiàng)的所有權(quán)后我們就可以重新編輯此注冊(cè)表項(xiàng)的權(quán)限設(shè)置，將希望禁用“顯示字符”的用戶帳戶組從此注冊(cè)表項(xiàng)的用戶列表中刪除，或者將僅有的“讀取”權(quán)限也取消即可。例如，假設(shè)一臺(tái)計(jì)算機(jī)已加入域，如果我們將此注冊(cè)表項(xiàng)中的所有本地用戶組均從列表中刪除或取消其全部權(quán)限，只保留域管理員對(duì)此注冊(cè)表項(xiàng)的權(quán)限，那么這臺(tái)計(jì)算機(jī)就只有域管理員登錄后才可以使用“顯示字符”查看密碼，從本地登錄的所有用戶都將無法再使用“顯示字符”。
 
另外一個(gè)可以針對(duì)所有的用戶帳戶組統(tǒng)一生效的方法是修改字符串值 DLLSurrogate，將其值由默認(rèn)的空白修改為 1。這樣無論我們以何種用戶帳戶登錄，雖然“顯示字符”復(fù)選框看起來還可以勾選，但設(shè)置卻無法生效，并且會(huì)自動(dòng)恢復(fù)為未選中的狀態(tài)。當(dāng)然由于 DLLSurrogate 繼承了父級(jí)注冊(cè)表項(xiàng)的權(quán)限，默認(rèn)也是歸TrustedInstaller 所有并無權(quán)修改，所以我們也必須首先獲取注冊(cè)表項(xiàng)的所有權(quán)才能將 DLLSurrogate 的值由空白修改為 1。
 
除了可以直接顯示明文密碼的“顯示字符”復(fù)選框外，Windows 7 無線網(wǎng)絡(luò)連接屬性中還提供了導(dǎo)出無線
連接配置文件的功能，也可能會(huì)成為無線連接密碼泄露的隱患。對(duì)那些基本不使用快速用戶切換重新登錄的用戶來說，可能也很想將這個(gè)導(dǎo)出功能一并禁用。經(jīng)過 Process Monitor 的監(jiān)視，此導(dǎo)出功能與注冊(cè)表項(xiàng) HKEY_CLASS_ROOT\AppID\{C100BEBB-D33A-4A4B-BF23-BBEF4663D017} 有關(guān)。我們可以參照之前對(duì) {86F80216-5DD6-4F43-953B-35EF40A35AEE} 的處理，首先獲取其所有權(quán)，然后取消希望禁用導(dǎo)出的用戶帳戶組對(duì)此注冊(cè)表項(xiàng)的全部權(quán)限，即可禁用相應(yīng)用戶帳戶導(dǎo)出無線連接配置的功能。