文章出自:
最新xp系統下載
xp系統下載
筆記本xp系統下載
這個是我個人打造“絕對安全”的方法,其實也不能保證“絕對安全”,永遠沒有“絕對安全”的系統,只不過對於個人電腦來說可以很大程度上防止入侵以及病毒的干擾(不是說沒有病毒)。
我的理念是寧可不使用殺毒軟件,也不能浪費系統資源(這就是為什麼要弄這篇,好爭取不用殺毒軟件^-^)。
本例中的環境:xpsp2、寬帶上網、家裡外置路由器分配兩台機上網(有路由器省得安防火牆了^-^),使用avast!和360安全衛士(平時不開監控,偶爾無聊殺毒玩)
(一)設置安全
原理:
1、在路由器設置禁止部分危險端口(不是用路由器的可以利用防火牆進行設置)
2、對注冊表的危險項目(常被病毒、木馬修改的項目)設置權限
3、在“組策略”中進行安全設置
4、建立特殊文件夾進行免疫
組策略設置:(進入方法:點擊“開始”——“運行”——輸入“gpedit.msc”)
1、禁止修改ie浏覽器的主頁
如果您不希望他人或網絡上的一些惡意代碼對自己設定的ie浏覽器主頁進行隨意更改的話,我們可以選擇“用戶配置”→“管理模板”→“windows組件”→“internetexplorer”分支,然後在右側窗格中,雙擊“禁用更改主頁設置”策略啟用即可。
2、關閉自動播放
位置:“用戶配置”→“管理模板”→“系統”
如果你啟動這項設置,你還可以在cd-rom驅動器禁用自動運行或在所有驅動器上禁用自動運行。此設置不阻止自動播放音樂cd。
注意:有些設置出現在“計算機配置”和“用戶配置”兩個文件夾中。如果兩個設置都配置,“計算機配置”中的設置比“用戶配置”中的設置優先。
注冊表設置:
進入方法:點擊“開始”——“運行”——輸入“regedit”
設置權限方法:右鍵單擊需要設置權限的分支或項,可根據需要設置部分用戶禁止修改某些項,點“添加”後輸入“everyone”點“確定”建立“everyone”用戶,然後選中everyone用戶“允許”下方的“讀取”,再點“高級”後選中“everyone”點“編輯”,把“拒絕”下面的“設置數值”、“創建子項”、“創建鏈接”、“刪除”、“寫入dac”、“寫入所有者”這幾項選上,就可以防止病毒自動修改這些項目(需要手動修改時把允許的“完全控制”臨時鉤上即可)
1、啟動項:可以開機自啟動的項目有
hkcu\software\microsoft\windows\currentversion\run
hkcu\software\microsoft\windows\currentversion\policies\explorer\run
hkcu\software\microsoft\windowsnt\currentversion\windows下的”load”鍵
hkcu\software\microsoft\windowsnt\currentversion\winlogon的shelluserint等鍵值
hklm\software\microsoft\windowsnt\currentversion\winlogon的shelluserint等鍵值
hklm\software\microsoft\windows\currentversion\run
hklm\software\microsoft\windows\currentversion\policies\explorer\run
hklm\system\currentcontrolset\control\terminalserver\wds\rdpwd\startupprograms
正常情況下有(各人情況不同一般再第四項上),核實這些地方沒有錯誤之後可設置權限拒絕
2、防止映像劫持
所謂的映像劫持就是ifeo,imagefileexecutionoptions
hklm\software\microsoft\windowsnt\currentversion\imagefileexecutionoptions
在該鍵值下建立以應用程序命名的項,則之後該應用程序無法運行,項下面的“debug”值可以使運行該程序變為運行“debug”下的程序,對普通用戶無用(也可以用這種方法來免疫病毒)。確認無誤後可以設權限拒絕掉。
3、防止服務行木馬
服務行木馬一般通過在hklm\system\currentcontrolset\services中建立鍵值來運行
檢查設置好平常運行的服務正常後可以把這個鍵值設置權限拒絕掉。
4、保護安全模式不被修改
病毒感染後破壞安全模式是靠修改hklm\system\currentcontrolset\control\safeboot來實現的,51自學網,把這個項設置權限拒絕掉即可。
系統設置:
1、禁止guest用戶,給administrator等系統用戶設置密碼。
2、關閉默認共享
在cmd(點擊“開始”——“運行”——輸入“cmd”)下依次鍵入後回車
netshareadmin$/del
netshareipc$/del
netsharec$/del
netshared$/del
netsharee$/del
netsharef$/del
netshareg$/del
用特殊文件夾免疫:
建立特殊文件夾方法:在cmd下用“md”命令建立一個與須免疫東西同名的文件夾(前提是已經刪除該東西,並且需要相同後綴),然後進入新文件夾輸入“mdxxx..\”(..\不可少,xxx是任意名字)即可創建一個不可正常刪除、修改的文件夾(cmd下可用rd命令刪除),這樣就可以使病毒無法復制自身到該處,達到免疫目的。
一般需要免疫:各個盤符下的“autorun.inf”(包括u盤、mp3、手機等),這樣可以避免通過u盤、手機、mp3傳播病毒(已經中了毒也不會觸發傳播病毒),常見的病毒需要免疫(如我們學校經常出現的ravmone.exe、sxs.exe等)
(二)使用安全
通過上面的設置,基本上已經可以保證正常使用時“百毒不侵”了,但是還是注意一些使用上的安全,比如上網、運行程序等等。
上網:推薦浏覽器組合為ie+x,x裡面推薦firefox、opera或者mozilla,反正必須是非基於ie內核的浏覽器,因為現在大部分的網頁掛馬、病毒是針對ie的,但是ie必不可少,因為有些不符合網頁浏覽標准的網站只能用ie(基於ie內核),如:qzone、用碩網盤等等。
運行程序:運行一些從網上下載下來的exe文件之前,先右鍵單擊看有沒有rar的解壓縮選項(前提是安裝有winrar),有則說明是自解壓文件,最好用rar解壓後分析裡面的各種東西沒有問題後再運行(很多流氓軟件和病毒就是通過這種方法進入你的電腦的)。
必備軟件:
1、殺毒軟件:無特別推薦,各自根據喜好選擇
2、防流氓軟件:推薦使用360安全衛士
3、防火牆:推薦使用ashampoo或者zomealarmpro
4、安全軟件系列:icesword、prosessexplore(在手動殺毒的時候會應用到)
5、其他:矮人dos工具箱、winpe2.0(參照《電腦愛好者》2007-18的p34安裝)、totalcommander等等
(三)手動殺毒(以及流氓軟件)
即使設置和使用都非常安全了還是無法避免有病毒和流氓軟件滲入,這就需要我們手動殺毒了。只在這裡介紹一般步驟,手動殺毒是一個長期積累實踐的過程。
發現病毒:1、殺毒軟件或者360安全衛士報警(但無法