武裝到牙齒 07個人電腦安全配置手冊

前言

　　幾年前在社區中也發過類似的帖子，但是之後時間由於各種原因並沒更新重發。今年由於熊貓的原因我決定發布新版本的安全手冊。

　　本貼僅面相普通的計算機使用用戶，說以我盡量避免使用復雜的系統設置圖解而是盡可能用第三方軟件代替。軟件的使用宗旨也是盡量使用免費軟件和中文軟件。

　　思路我的重點並沒有放到查殺上，而是注重防上。一切都圍繞這個主題進行。

　　由於這是一個很龐雜的帖子，一次不可能完成所以帖子會不斷進行更新，某些內容可能來源其它網友我會盡可能署上作者姓名，如有 相關問題請聯系我：)更新前後會效仿軟件的版本號的形式注明。我已經向社區的版主征集相關的稿件，並會把相關的內容及時更新上來。

　　面相對象

　　目前本貼僅面相單機普通個人用戶的系統安全。但是考慮到很多朋友已經擁有二台或兩台以上的計算機設備，而且多機聯網可以有更大的安全空間，和更多安全選擇以及更好的安全效果。說以相關的內容會在後面的時間更新(已經在朋友那裡組建完畢三機〔兩台式一筆記本〕測試平台，目前正在測試並收集相關的數據)

　　系統安裝前

　　分區應該是大家在安裝系統前最先碰到的一個問題，也是第一個被大家忽略的問題。給大家的意見就是系統盤也就是大家說的c盤應該在10G左右考慮到新系統(VISTA)可適當的擴展到15G。而工具盤也是說的D盤也應該在10G左右的空間。剩下的盤符大家可以自便，但是最後一個區空間應該適當的大一些因為我們用它來作資料備份使用。

　　磁盤格式的選擇

　　強烈建議大家的把C,D兩個盤符分成NTFS格式。因為WINDOWS的安全全都是建立在NTFS基礎之上的。拋棄了NTFS也就不要談什麼安全了(大家注意的是使用NTFS格式後在 DOS下是 看不到NTFS分區的，你看到的C：應該是NTFS分區之後的那FAT32個區，但是借助其它軟件也可以查看DOS下的 NTFS的 數據)但是我也不推薦全部分區都使用NTFS，因為這樣你備份以及一些其它的操作可能會受到一些影響。所以個人的意見是把最後一個區也就是備份區分成FAT32。

　　系統選擇

　　微軟的VISTA系統已經上市了，但是由於其極高的硬件要求更因為第三方軟件軟件兼容性上的問題。我們暫時沒有選擇VISTA而是選擇成熟的 WINDOWS XP SP2 PRO。(放棄了2003是因為其設置上對於很多用戶是巨大的瓶頸，而且2003對很多軟件尤其是安全軟件都存在兼容性的問題。但是在以後涉及到多機安全上我們將涉及2003或服務器版本的 VISTA)

　　系統安裝

　　對於普通用戶來說系統安裝是最簡單的問題了，看似沒有說的必要。但是往往問題都是出在我們忽略的小事情上。比如系統，補丁，驅動等的安裝順序上。我的建議是系統→SP補丁(當然目前的XPSP2已經沒有必要)→Microsoft .NET Framework，IE, Windows Media Player更新包→安全更新→驅動的順序進行安裝。當然並不是說你不安這個順序安裝有什麼問題，但是這樣作做少會降低很多不必要的隱患。

　　首次備份時間點

　　這樣安裝完驅動後，我們的系統就基本本宣告安裝完畢了。此時建議你使用備份軟件對系統進行備份，並最好把備份文件進行光盤存檔。

　　軟件提示

　　由於眾所周知的問題，在進行以上安裝的時候用戶會碰到第一個棘手的問題。就是無法下載WINDOWS的安全更新!此時建議相關的用戶安裝Windows Updates Downloader，該軟件是免費軟件，首次使用需要到其官方網站下載相應語言版本的文件(有WINDOWS和OFFICE二種)之後就可以點擊DOWNLOAD更新，它不僅僅提供安全更新，還提供SERVICE PACKS(也就是SP)更新和FRAMEWORK更新。唯一需要注意的就是該軟件不會檢測你 系統中已經安裝的補丁，它之會把所有更新全部列出，所以用戶下載時請酌情下載相應的補丁。它還會下載非關鍵更新OTHER：)但是不一定沒有用，很有意思哦!

　　操作系統設置

　　以前是非常難說的問題，也是最費筆墨的一個部分。但是現在有了XP-ANTISPY這個軟件一切都變的非常簡單了!它同樣也是一個免費軟件，它將系統設置的各個的方面以選項的的 形式放在用戶面前，最讓人興奮的的 是每個選項作者都給出了詳細說明，用戶根據提示就可以把為復雜的系統的設置變成簡單的點擊。

　　非管理員賬戶的創建及設置

　　說VISTA的安全性的 提高，一個重要的原因就是。微軟借鑒LINUX的對管理員賬戶進行嚴格管制的思路，不讓用戶直接進入管理員賬戶即使要進入也輸入密碼……其實我們在非VISTA系統也可以這樣作。(由於時間的關系該內容以後更新)

密碼管理

　　前言

　　為什麼要設置密碼，很多用戶都不去設置密碼或設置簡單得罪你密碼都是為了方便。但是在實際情況中，用戶擁有什麼權限病毒木馬就有什麼樣的權限。沒有權限控制的的計算機也就對病毒木馬全開綠燈。最關鍵是用戶不要以為有了安全軟件和防火牆就可以不設置密碼了因為這是完全沒有關系的二個安全體系。由於密碼設置的特使原因我無法對所有的密碼管理都進行詳盡的設置，用戶最好根據自己的軟、硬件使用說明以及自己的使用情況進行設置!但是唯一要提醒用戶你自己最好不要忘記自己設置的密碼：)

　　系統賬戶密碼

　　首先我們必須要對ADMINISTRATOR賬戶進行密碼設置而且密碼應該是12位以上(因為木馬病毒都帶有弱口令密碼字典，而且黑客賬戶都帶有各種密碼字典在可接受的時間內它們可以暴力破解95%以上的用戶密碼)。而且在我的電腦→管理→計算機管理→“本地用戶和組”中用戶應該停用除ADMINISTRATOR賬外的所有賬戶比如GUEST賬戶，即使用戶需要某些賬戶也應該對這些賬戶設置足夠強健的密碼。

　　請給你的安全軟件設置密碼

　　在安全軟件中很多軟件都有密碼控制的選項，用戶很多時候都沒有理會。但是為了這些軟件自身的安全以及保護你的軟件設置請給你的安全軟件設置密碼。

　　硬件密碼

　　ADSL MODEM在默認情況下都有默認的出廠密碼，一些別有用心的人就可以通過這個“漏洞”控制並攻擊用戶!所以請參照你的硬件說明更改密碼!

　　安全軟件的選擇

　　前言

　　對於防病毒軟件來說，沒有什麼完美的軟件。甚至在一線和二線廠商之間也沒有什麼大的分別。因為幾乎每一個我們知道或不知道的廠商都有自己獨特的反病毒技術，正是因為這種理念的不同就使的各個軟件在不同方面都有自己的優點及缺陷。對於用戶來說沒有最好的，只有最適合自己的。當然這種分寸拿捏是需要用戶對自己系統了解，以及對各個軟件長時間反復測試才能的出。對於普通用戶來說這顯然是很困難的。所以我給出是一個最大眾化的配置，它在各個方面都不會是最出色的配置，但是它也應該是綜合性能最優秀的一個。

　　普通用戶方案

　　主殺毒軟件

　　瑞星二〇〇七

　　並非是因為我是IKAKA的版主或因為本貼是在社區首發，而推薦瑞星二〇〇七的。因為這個版本的瑞星改進的脫殼程序完善了網友對瑞興诟病最多的木馬查殺環節，使用“碎甲”技術，完善了啟發查毒以及對虛擬機的成功應用，這一切都讓瑞星成了用戶的不二選擇。而且只要對瑞星進行合理的設置就基本可以抵御用戶面對安全問題。

　　安全建議：社區有不少二〇〇七優化方案的 帖子大家最好看看：)

　　輔助殺毒

　　這裡的殺毒軟件僅僅是對 主殺毒軟件的一個補充，因為目前的安全形式已經很難讓用戶用單一的安全手段面對日益增長威脅。輔助殺毒一般不會有實時監控程序即使有也建議用戶取消，僅僅只在下載新軟件後手動調用輔助殺毒程序進行查殺(也就是鼠標右鍵)

　　推薦1

　　Cureit它是鼎鼎大名的Dr.web的 免費版。Dr.web是俄科學院研制供俄羅斯軍方專業的殺毒軟件，其引擎對木馬脫殼能力應該是眾多殺毒軟件中最強大的，即使是卡巴斯基單從引擎上 說也遜色三分。Cureit根Dr.web的 區別僅僅是沒有實時監控程序，其它諸如引擎和病毒庫上都是完全相同的。

　　優點：完全免費，資源占用少 缺點：沒有中文版。

　　推薦二

　　**

　　**就不用說了，其根瑞星的淵源我也不用細細道來了，選用**的理由很簡單就是其設計的初衷!一款主動防御軟件。具體的 說明大家有興趣可以到其官方網站了解。

　　優點：國貨!對主殺毒程序兼容好 缺點：付費軟件，資源占用稍大。

　　防火牆

　　前言

　　沒有安全的牆!目前大家對防火牆評測基本都是國外網站的測試的結果，而且流行的無非都是那幾款。但是非常遺憾的告訴大家這些牆都有或大或小的安全BUG，而且即使是ZA這種被網友“力捧”的牆在其設計構架中都存在致命的缺陷。最關鍵不是你看別人說什麼牆好，而是你了解什麼牆你會用什麼牆。

　　瑞星二〇〇七防火牆

　　又是瑞星?沒錯!首先它是瑞星殺毒軟件標准版中就附帶，而且經過不斷的改進瑞星防火牆已經成為一款成熟的產品。瑞星殺毒軟件 瑞星防火牆 注冊表監控，用戶只要運用好這3樣工具就基本可以從容的應付常見的安全威脅。

　　社區有網友提供瑞星防火牆規則包建議大家安裝，不錯的：)有時間我可能會更新一個新包上來：)

　　花絮：一樣的外衣不一樣的心

　　很多人都關系某某部門用了什麼軟件或軍方用了什麼軟件，其實這完全沒有什麼意義因為首先你不可能享受到想這些部門一樣的服務。其次這些殺毒軟件的DAT或防火牆的規則你是根本就接觸甚至看不到的。編譯好自己的規則才時最關鍵的。

HIPS一

　　什麼是HIPS

　　HIPSPS(主機入侵防御體系)，也被稱為系統防火牆，今年開始在比較專業的用戶中開始流行，甚至一些殺毒軟件廠商研究新病毒的時候都用它們來最終分析。HIPS可以控制限制進程調用,或者禁止更改或者添加注冊表文件。當某進程或者程序試圖偷偷運行時，