防止軟體自動篡改防火牆的方法

　　win7防火牆規則設定相當強大，與xp相比先進很多，對於個人使用者來說，瞭解win7防火牆設定，可以完全甩開防毒/安全軟體那些功能差，佔用系統資源多的第三方防火牆。

　　然而，雖然使用防火牆規則可以把系統完全和網路隔離阻斷開來，只對個別使用者執行的程式放行***比如QQ，瀏覽器***，但是防火牆規則本身也是可以被一些程式更改的。小編的win7防火牆是白名單工作模式，然而，總有一些程式會在後臺把自己新增進白名單裡***比如百度電腦專家線上安裝程式***，從而在使用者不知情的情況下進行聯網，如何避免這一問題呢?請看小編的介紹。

　　解決這一問題，小編利用了win7的防火牆設定許可權的分級。

　　修改win7的防火牆設定的許可權可以分為兩級，一層在組策略***開始->執行->gpedit.msc->本機設定->windows設定->安全策略->windows防火牆******如圖1***，一層在普通使用者***網路與共享中心->windows防火牆->高階設定******如圖2***。

　　兩層使用同一套設定規則，分別工作。區別在於，在組策略設定一些規則之後，普通使用者只能讀取，不能修改。只有組策略沒有設定部分，普通使用者才可以在"windows防火牆"中修改。而在防火牆啟動後，兩套規則同時篩選。

　　在組策略中更改的設定，在"windows防火牆"只會顯示成灰色，不可更改。***如圖3***

　　由於只有系統管理員才可以修改組策略，而一般軟體是沒有系統管理員許可權。因此如果禁止一般使用者賬戶、系統服務賬戶等對"windows防火牆設定"的讀寫，那麼保持原來的兩套防火牆規則仍然執行的情況下，軟體和普通使用者將無法通過控制面板配置防火牆，只留下組策略中的防火牆配置供管理員修改，問題就解決了。

　　由於控制面板中的"windows防火牆"是儲存在登錄檔中的，因此修改登錄檔相應位置的讀寫許可權就可以達到目的。

　　開始->執行->regedit，開啟登錄檔編輯器，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy處，右擊FirewallPolicy***如下圖1***，開啟許可權對話方塊。

　　點選高階，點選新增，在彈出的使用者賬戶列表中，點選查詢，找到Users使用者組，點選確定，在Users的許可權列表中，把"設定鍵值"，"修改子鍵"，"刪除"對應的"拒絕"框勾上，點確定。***如下圖2***

　　繼續新增，在使用者賬戶列表中查詢LOCAL SERVICE使用者，把它對防火牆設定的修改許可權也禁掉***如下圖3***

　　連點確定***彈出的警告框也點選確定***，退出登錄檔編輯器。

　　4經過這樣的操作，一般軟體和使用者都無法更改控制面板的防火牆規則了。而組策略中的規則，只有管理員可以更改。這樣，就不必擔心軟體篡改防火牆規則，未經授權的情況下與網際網路通訊了。

　　再次進入控制面板->網路與共享中心->windows防火牆->高階設定，頁面中顯示已經沒有許可權操作防火牆規則，如圖。