在实际的使用过程中,发现这个方法在大多数时候可以正常工作,但是如果在打开IE之前,已经调用过紫光拼音,则可能无法在IE浏览器里顺利启动紫光拼音。有人曾说,Windows vista没有自带的工具,无法查看和设置文件夹的完整性级别。
果真是这样吗?
笔者有幸在Tech.Ed北京听了IE保护模式的负责人Robert Gu的一堂课,了解到Windows Vista其实自带了一款命令行工具Icacls.exe,可以用它来查看和设置指定文件夹的完整性级别。
提示
Robert Gu,微软总部的首席开发主管,目前负责IE 7安全的开发。他是EFS算法的发明者,曾主导EFS、PKI的开发,是华人中的骄傲。
现在我们可以大胆猜测,既然有现成的Icacls.exe可供使用,则完全可以用它来把紫光拼音的工作目录“%Appdata%\Unispim”的完整性级别设置为“低级”,这样无论是IE进程(低级)和外部的进程(中级),都可以访问该工作目录,紫光拼音就可以工作正常。
说做就做,接下来就以Windows Vista RC2 Build 5744为例进行介绍(需要注意的是,该Icacls命令在RC1下无法正常工作):
1.首先需要给当前的帐户增加“修改一个对象标签”特权,其内部名称为SeRelabelPrivilege。方法是运行secpol.msc,打开“本地安全策略”管理单元,在左侧控制台树中展开本地策略、用户权限分配,在右侧详细窗格里定位到“修改一个对象标签”策略项,双击该策略项,把当前的登录帐户添加进去,如附图所示。
2.注销重新登录,然后以管理员权限运行命令提示符,在命令提示符下输入以下命令:
Whoami/all |find /i "SeRelabelPrivilege"
结果如附图所示,这表示当前登录用户已经拥有SeRelabelPrivilege特权,只是状态为禁用。
3.然后运行以下命令:
Icacls.exe %AppData%\Unispim /SetIntegrityLevel Level:L
命令结果如附图所示,表示成功完成。
4.可以继续运行以下命令,查看%Appdata%\Unispim目录的完整性级别:
Icacls.exe %AppData%\Unispim
命令结果如附图所示,表示该目录的强制完整性级别为“低”。
经过这样处理以后,就可以正常在IE浏览器里启用紫光拼音了,而无法针对特定网站禁用IE保护模式。如果偶尔发现无法在IE里启动紫光拼音,这时候不要着急,只需关闭其他启用输入法的程序,一般是Outlook、Word、Notepad等编辑程序,然后就可以在IE里正常使用紫光拼音。
接下来,还有两个问题:
1.细心的读者朋友发现用Whoami/all命令查看当前用户的访问令牌时,发现SeRelabelPrivilege特权是禁用的。而这个特权正是用来设置对象的完整性级别,那么这时候为什么Icacls命令可以成功运行?
当运行Icacls命令设置目录的完整性级别时,该Icacls进程的访问令牌会自动启用SeRelabelPrivilege特权,以便命令能够顺利完成。
2.由于Windows Vista RC1下的Icacls命令不能正常工作,这里可以下载一个第三方的命令行工具chml.exe。