标签:电脑安全知识,个人电脑安全,电脑安全设置,
致各位网友的一封个人电脑安全白皮书 (一),http://www.2xuewang.com
这个是我个人打造“绝对安全”的方法,其实也不能保证“绝对安全”,永远没有“绝对安全”的系统,只不过对于个人电脑来说可以很大程度上防止入侵以及病毒的干扰(不是说没有病毒)。
我的理念是宁可不使用杀毒软件,也不能浪费系统资源(这就是为什么要弄这篇,好争取不用杀毒软件^-^)。
本例中的环境:XPSP2、宽带上网、家里外置路由器分配两台机上网(有路由器省得安防火墙了^-^),使用Avast!和360安全卫士(平时不开监控,偶尔无聊杀毒玩)
(一)设置安全
原理:
1、在路由器设置禁止部分危险端口(不是用路由器的可以利用防火墙进行设置)
2、对注册表的危险项目(常被病毒、木马修改的项目)设置权限
3、在“组策略”中进行安全设置
4、建立特殊文件夹进行免疫
组策略设置:(进入方法:点击“开始”——“运行”——输入“gpedit.msc”)
1、禁止修改IE浏览器的主页
如果您不希望他人或网络上的一些恶意代码对自己设定的IE浏览器主页进行随意更改的话,我们可以选择“用户配置”→“管理模板”→“Windows组件”→“InternetExplorer”分支,然后在右侧窗格中,双击“禁用更改主页设置”策略启用即可。
2、关闭自动播放
位置:“用户配置”→“管理模板”→“系统”
如果你启动这项设置,你还可以在CD-ROM驱动器禁用自动运行或在所有驱动器上禁用自动运行。此设置不阻止自动播放音乐CD。
注意:有些设置出现在“计算机配置”和“用户配置”两个文件夹中。如果两个设置都配置,“计算机配置”中的设置比“用户配置”中的设置优先。
注册表设置:
进入方法:点击“开始”——“运行”——输入“regedit”
设置权限方法:右键单击需要设置权限的分支或项,可根据需要设置部分用户禁止修改某些项,点“添加”后输入“EveryOne”点“确定”建立“EveryOne”用户,然后选中EveryOne用户“允许”下方的“读取”,再点“高级”后选中“EveryOne”点“编辑”,把“拒绝”下面的“设置数值”、“创建子项”、“创建链接”、“删除”、“写入DAC”、“写入所有者”这几项选上,就可以防止病毒自动修改这些项目(需要手动修改时把允许的“完全控制”临时钩上即可)
1、启动项:可以开机自启动的项目有
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows下的”load”键
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon的ShellUserint等键值
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon的ShellUserint等键值
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\System\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\StartupPrograms
正常情况下有(各人情况不同一般再第四项上),核实这些地方没有错误之后可设置权限拒绝
2、防止映像劫持
所谓的映像劫持就是IFEO,ImageFileExecutionOptions
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions
在该键值下建立以应用程序命名的项,则之后该应用程序无法运行,项下面的“Debug”值可以使运行该程序变为运行“Debug”下的程序,对普通用户无用(也可以用这种方法来免疫病毒)。确认无误后可以设权限拒绝掉。 3、防止服务行木马
服务行木马一般通过在HKLM\System\CurrentControlSet\Services中建立键值来运行
检查设置好平常运行的服务正常后可以把这个键值设置权限拒绝掉。
4、保护安全模式不被修改
病毒感染后破坏安全模式是靠修改HKLM\System\CurrentControlSet\Control\SafeBoot来实现的,把这个项设置权限拒绝掉即可。
系统设置:
1、禁止Guest用户,给Administrator等系统用户设置密码。
2、关闭默认共享
在CMD(点击“开始”——“运行”——输入“CMD”)下依次键入后回车
netshareadmin$/del
netshareipc$/del
netsharec$/del
netshared$/del
netsharee$/del
netsharef$/del
netshareg$/del
用特殊文件夹免疫:
建立特殊文件夹方法:在CMD下用“md”命令建立一个与须免疫东西同名的文件夹(前提是已经删除该东西,并且需要相同后缀),然后进入新文件夹输入“mdXXX..\”(..\不可少,XXX是任意名字)即可创建一个不可正常删除、修改的文件夹(CMD下可用RD命令删除),这样就可以使病毒无法复制自身到该处,达到免疫目的。
一般需要免疫:各个盘符下的“Autorun.inf”(包括U盘、MP3、手机等),这样可以避免通过U盘、手机、MP3传播病毒(已经中了毒也不会触发传播病毒),常见的病毒需要免疫(如我们学校经常出现的RavMone.exe、Sxs.exe等)
(二)使用安全
通过上面的设置,基本上已经可以保证正常使用时“百毒不侵”了,但是还是注意一些使用上的安全,比如上网、运行程序等等。
上网:推荐浏览器组合为IE+X,X里面推荐FireFox、Opera或者Mozilla,反正必须是非基于IE内核的浏览器,因为现在大部分的网页挂马、病毒是针对IE的,但是IE必不可少,因为有些不符合网页浏览标准的网站只能用IE(基于IE内核),如:Qzone、用硕网盘等等。
运行程序:运行一些从网上下载下来的EXE文件之前,先右键单击看有没有RAR的解压缩选项(前提是安装有WinRAR),有则说明是自解压文件,最好用RAR解压后分析里面的各种东西没有问题后再运行(很多流氓软件和病毒就是通过这种方法进入你的电脑的)。
必备软件:
1、杀毒软件:无特别推荐,各自根据喜好选择
2、防流氓软件:推荐使用360安全卫士
3、防火墙:推荐使用ashampoo或者ZomeAlarmPro
4、安全软件系列:IceSWord、ProsessExplore(在手动杀毒的时候会应用到)
5、其他:矮人DOS工具箱、WinPE2.0(参照《电脑爱好者》2007-18的P34安装)、TotalCommander等等
(三)手动杀毒(以及流氓软件)
即使设置和使用都非常安全了还是无法避免有病毒和流氓软件渗入,这就需要我们手动杀毒了。只在这里介绍一般步骤,手动杀毒是一个长期积累实践的过程。
发现病毒:1、杀毒软件或者360安全卫士报警(但无法,致各位网友的一封个人电脑安全白皮书 (一)