从中华学习机开始用电脑到现在了,吃过很多亏,也学了不少东西,总希望能找出不需要杀软的系统防御办法,相信有很多朋友也一定会有同感。前后经过多次改进,慢慢形成了一整套方法,已获得小成,08年一直在用这样的系统,没有杀软的拖累,感觉非常好。拿出来给大家分享,请提出您的宝贵意见!
总体来说由以下几条:
(1)改名administrator用户,并建立user作为日常
(2)利用组策略建立系统白名单,然后禁止一切windows、system、system32等敏感目录下的EXE,禁用IE临时文件夹下所有文件运行,禁用WINDOWS系统临时文件夹下文件运行,禁用注册表,禁止在一切根目录下运行文件。
(3)使用windows自带的IP筛选器,关闭TCP中除了必需外其他所有端口。
(4)浏览器的适当优化。
(5)最后一道保险,影子系统。
(6)ghost备份。
优点:虽然占用不少内存,和杀软不相上下,但CPU资源几乎不占用,除了内存占用,用户根本感觉不到它的存在。且打开文件和目录时没有杀软的延迟,开机神速,滚动条在2下以内,计算机对操作反应迅速。由于是主动防御,所以没有杀毒过后的后遗症,有经验的朋友都知道,中毒后即使杀掉了,系统也很难完全恢复到以前了。
防御对象:U盘病毒完全不怕,往SYSTEM32文件夹里放东西的病毒也不怕,网页夹带病毒不怕,浏览器劫持有可能,但是重启以后就恢复了,因为权限不够,所以对注册表和系统文件做手脚的病毒和木马都不怕。对于悄悄建管理员帐户的东东,我没有net命令。。。总的来说是一种新的防御办法,具体效果需要大家一起来检验。
具体实施过程:
首先必须强调的是一定要新装系统,因旧系统不能保证干净,硬盘使用ntfs格式。正版的XP本身安全性挺好的,以前办公室的正版HOME裸奔了一年多,自己再注意些,什么问题都没有。盗版的能打补丁就打。
(1)装完系统后,尽量安装完你所需要的软件,否则以后再安装会相对麻烦一些。
(2)本地连接属性(无线连接的也按本地连接一样设置)TCP/IP高级属性内打开IP筛选器,选择“只允许”,添加:25,110(邮件),4000,8000(QQ),16000(淘宝),1863,443(MSN),常用的就这些。特别指出:要局域网共享的需要137,138,139,但这三个端口较危险,不推荐。此外需要用到Xwindows的朋友需要添加6000和1035-1041任意一个。很多网友老把80端口也放上,其实只要你的主机不做服务器,没有必要开80端口的,不影响上网,开了反而是个很大的漏洞。
(3)关了没用的服务,比如remote registry,比如messenger,telnet。。。这个网上介绍的大把,请自己遄谩?br />
(4)重点在此,打开组策略(gpedit.msc)。
常用的:
禁用修改主页,禁止自动播放等等,视情况而定,这个就不多说了。
特别加入的:
a.禁止修改系统时间,(这个在发布的组策略里没有,请自行修改,专门对付改时间的病毒)
b.禁用注册表编辑器,(这个有点变态,在发布的组策略文件里没有,请自行斟酌)
c.禁用命令行(这个有点变态,在发布的组策略文件里没有,请自行斟酌)
d.隐藏控制面板中“用户”项(对付菜鸟的,对老鸟无效……)
e.禁用登陆欢迎画面,使用Ctrl+Alt+Del的输入用户名方式登陆
f.“本地策略-安全设置-软件限制策略”中,加入所有\WINDOWS,\SYSTEM,\SYSTEM32目录下面的exe文件(笔者整整加了2天)并设为“不受限制”
g.然后加入\windows\*.exe ,\system\*.exe ,\system32\*.exe设为不允许访问,并且“\IE缓存文件夹”整个目录设为不允许访问,“\windows临时文件夹”整个文件夹不允许访问(但这个会影响程序运行,所以要添加“\windows临时文件夹\”下的dll,exe不受限制才行)。网上所说的关于**代表所有子目录是错误的,其实**只代表本目录下的所有文件,并不包括子目录。
h.加入常见病毒的文件名(前后加*号),比如*auto.exe*,*svochost.exe*"等等,可以随意加,并设为不允许访问。
i.附件奉上我经过多次修改后目前在使用的组策略。使用方法:解压缩后,把machine\Registry.pol文件复制到C:\INDOWS\system32\GroupPolicy\Machine\下覆盖同名文件,把user\Registry.pol文件复制到C:\INDOWS\system32\GroupPolicy\User\下覆盖同名文件(这是隐藏文件,覆盖前记得把原来的Registry.pol文件做好备份,以防不测),重启计算机,试验一下,方法是把一个EXE文件放到任意盘根目录下运行,如果被阻止则说明生效,如果可以运行则需要再次重启(具体原因我也不知道)。
(5)再次打开组策略,在“用户策略”-“系统”里面找到更改管理员帐户名,把administrator改成其他的名字,这里暂叫做myadmin,(当然如果你喜欢the "f" word and "s" word也行。。。^.^)。这样可以大大减少管理员帐号被利用的可能。以后你的电脑的默认管理员帐户就是它了。
(6)把C:\WINDOWS\system32\net.exe改成你喜欢的,比如netx.exe等等。这样想偷偷建立帐户的木马就郁闷了(万恶的net user命令。。。)然后千万别忘了去组策略里面把白名单中的net.exe改成你修改后的名字,例如上面的netx.exe,不留后门。以后请记住了,net命令全部都改成你起的名字了。
(7)建立一个日常使用的user帐户,以下暂称为:myuser,把它改成管理员权限,注销,登陆到myuser,然后更改所有你想改的个性化界面。最关键的是重新按照(2)中设定一下TCP/IP筛选器,并把环境变量中桌面移到非c盘去,为的是以后的影子系统,然后还有IE缓存,第三方浏览器缓存文件夹,邮件储存位置,CAD的快捷键定义,还有系统待机时间(这个对看电影及其重要,^_^)等等。。。然后注销,再登陆到最初myadmin帐户,进入控制面板-管理工具-计算机管理-用户和组里面把myuser权限改回user权限(这一步直接用控制面板的用户不行,必须用计算机管理工具),然后资源管理器-文件夹选项-启用简单共享的勾子去掉,然后逐一给你需要全面控制的文件授予myuser控制权(比如工作文档和图纸目录等)。
(8)ghost一下,保存好映象文件。
(9)登陆admin,安装影子系统。
(10)大功告成!
使用系统的时候,一般都使用myuser登陆,正常使用没问题。
trouble shooting:
(1)出现磁盘已满或写保护提示:user权限默认下在windows目录里不能新建,不能更改和删除,在其他目录下可以新建和更改自己的文件,但不能更改其他的文件。
(2)安装程序失败:首先保证用myadmin帐户,其次这个组策略是不支持从光盘直接安装的,把安装文件拷贝到硬盘非根目录下进行安装,再不行就检查一下白名单里面有没有添加“windows缓存文件夹temp”的dll和exe的“不受限制”项。
(3)程序不能执行:处理方法同上。
(4)c盘保存的文件丢失:因为有影子系统,所以不要在c盘保存资料,但是myuser的桌面可以,因为不在c盘。
(5)除非政府网站和银行等必须要IE的网站外,其他的应使用第三方的浏览器,被黑几率会小很多。
(6)如果如果这个帐号中毒了,删之,重新建一个user就行。 |
发表于 2008-7-7 12:52
关于我们