利用上文提到的微软Authenticode工具包,其中有一个signcode.exe,可以专门给代码签名,能对32位的、后缀为.exe(PE 文件)、.cab、.dll 、.vbd和 .ocx 的文件进行数字签名,给自己的程序签名方法:
运行signcode.exe出现一个向导,先选择你要签名的程序文件,然后出现签名选项,选择“自定义”(右图8);当提示选择使用的签名证书时,按“从文件选择”按钮,文件类型选择X.509,选择你的签名证书lacl.cer;按“下一步”,然后点“浏览”安装私匙文件lacl.pvk;最后在提示你加入时间戳时,选择“不加入时间戳”。
完成签名后,你可以右击经过数字签名的代码文件,然后选择“属性”/数字签名,查看其签名和证书,即可得知该软件是否为你发布的。
六、保护Office文档安全
Office可以通过数字证书来确认来源的可靠,你可以利用数字证书对Office文件或宏进行数字签名,从而确保它们都是你编写的、没有被他人或病毒篡改过。
1、用数字证书进行宏的签名
宏测试完毕确认后,再对宏进行签名。打开包含要签名的宏方案的文件,在“工具/宏/Visual Basic编辑器/工程资源管理器”中,选择要签名的方案;再点击“工具/数字签名”命令即可。
如果要防止用户因意外修改宏方案而导致签名失效,请在签发之前锁定宏方案。您的数字签名只能说明您保证该方案是安全的,并不能证明是您编写了该方案。因此锁定宏方案不能防止其他用户利用另一个签名替换您的数字签名。
2、用数字证书对文档签名
打开要签名的Word 文档(Office XP),单击菜单“工具/选项”,点击打开“安全性”选项卡(见图9),其中有个“数字签名”按钮,单击之给该文件加上你的数字签名,随之会弹出一个窗口,要求添加你的数字证书,单击“添加”按钮,从你的数字证书中选择一个进行添加;然后按“确定”返回,现在你的数字证书就加到该文档中了。
以后别人打开该文档,单击“工具”/选项/安全性”菜单,在此处看到你的数字证书,就知道该文档是你编写的,因为有你的数字签名。
为了防止别人修改你的文档资料,你还应该在图9所示的画面中,给文档添加一个修改权限密码,即在“修改权限密码”一栏,输入密码123,最后按“确定”退出保存。这样以后再次打开该文档时,就会要求你输入这个修改权限密码,假如你不知道密码,就不能修改该文档、只能以只读形式打开之。
七、为加密的NTFS分区制作“钥匙”
如果你的硬盘上有NTFS分区、并且对该分区中的数据进行了加密,那么应该及时备份密钥,假如你没有这样做,以后一旦重新安装系统,你就会无法访问NTFS分区上的加密数据,备份密钥的方法是:
在IE中点击“工具/Internet选项”,进入“内容”选项卡,点击“证书”按钮,在打开的“证书”窗口中选中要导出的证书,单击“导出”;按照向导的提示,一路按“下一步”;直至向导询问你是否导出私钥,选择“导出私钥”即可,其他的选项均保留默认设置,最后输入该用户的密码和想要保存的路径并确认,导出工作就完成了。
导出的证书是一个以PFX 为后缀的文件。以后你重装系统后,可以找到该PFX 文件,鼠标右击之并选择“安装PFX”,系统将会弹出一个导入向导,按照提示导入备份密钥,这样即可打开之前加密的数据文件。
八、检查Windows是否为微软原版
如果你想知道自己的Windows是否为微软原版,只要验证其核心文件是否被替换过即可,那么如何知道核心文件未被替换过呢?你可以使用工具来检查这些文件的数字签名,Windows XP/2000中有“文件签名验证”工具,Windows 9x则提供了“系统文件检查器”,使用这些工具你可以知道系统文件的数字签名状态,假如它们都经过了数字签名,则说明Windows未被篡改过、是微软原版的,下面我们以WindowsXP/2000为例,介绍验证的方法。
单击菜单“开始/运行”,键入“sigverif”打开“文件签名验证”窗口,然后点击“开始”按钮检查每个系统文件的数字签名,过一会儿将显示一个画面(见图10),列出所有未经过数字签名的文件,如果你发现列表中有winlogon.exe、licdll.dll这两个文件,那么你的Windows就被篡改过了,否则即为微软原版的。
九、不再弹出签名验证警告
Windows XP自带的驱动程序都通过了微软的WHQL数字签名,当你安装未经过微软数字签名的驱动程序时,就会显示警告信息“没有通过Windows徽标测试,无法验证它同Windows XP的相容性”,如果要求不再弹出驱动程序签名验证警告,你可以这样设置:
单击“开始/设置/控制面板/系统”,打开“系统属性”窗口,切换到“硬件”选项页,点击“驱动程序签名”按钮,弹出一个窗口(见图11),选择“忽略—安装软件,不用征求我的同意”,在“系统管理员选项”下,选中“将这个操作作为系统默认值应用”复选框,最后按“确定”退出。
十、屏蔽插件安装窗口
众所周知,用IE上网浏览时,经常会要求你安装各种插件,例如3721、IE搜索伴侣、百度等。有些人需要安装这些插件,假如你不想安装它们,弹出的这些插件安装窗口,就会让你非常烦恼!其实使用Windows的证书机制,把插件的证书安装到“非信任区域”,即可屏蔽这些插件的安装窗口,下面我们以屏蔽Flash播放插件为例,加以说明:
在弹出的Flash播放插件安装窗口中,有个“其发行者为:”,在它下面有个发行者名称的链接(即“Macromedia”),点击该发行者链接,会出现一个证书窗口,选择“不信任的证书”的选项,把证书安装到“非信任区域”,点击确定,这样以后就不会再弹出该插件安装窗口了。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
