之所以做此比较，是因为与人争论一个问题：既然已经在“系统加固”中选中了“系统目录”防护，是否还有必要在“应用程序访问控制”中设置针对系统目录中某些敏感程序的防护规则。

系统是：XPSP3全补丁。



RIS2010的“系统加固”选项中有一项“系统目录”。


勾选此项，选择“触发规则时提示”。点击“应用”、“确定”。



然后，看看它防止硬连接替换系统文件userinit.exe的防护效果如何：

事先在C盘根目录下创建一个0字节的空文件0.exe。然后，通过下图所示的操作用这个0.exe替换系统目录下的userinit.exe：



整个过程RIS2010无任何提示。


看看系统目录下的userinit.exe，已经被0.exe替换成功：




此userinit.exe就是C盘根目录下事先创建的空文件0.exe：




那就再看看用户自己设置的这条“应用程序访问规则”能否拦截：




再次输入创建硬连接命令，按回车后（图中第三个命令行），RIS2010弹出询问对话框：



点击“阻止”后，看看。硬连接没创建成，防护规则生效。





由此可见：到目前为止，“系统加固”中的“系统目录”防护默认设置并不能防止通过硬连接法替换系统文件；而“应用程序访问规则”中用户自定义的针对fsutil.exe的访问规则可以弥补系统加固这一缺陷。

用户系统信息：Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1