致各位網友的一封個人電腦安全白皮書

　　文章出自：

　　最新xp系統下載

　　xp系統下載

　　筆記本xp系統下載

　　這個是我個人打造“絕對安全”的方法，其實也不能保證“絕對安全”，永遠沒有“絕對安全”的系統，只不過對於個人電腦來說可以很大程度上防止入侵以及病毒的干擾（不是說沒有病毒）。

　　我的理念是寧可不使用殺毒軟件，也不能浪費系統資源（這就是為什麼要弄這篇，好爭取不用殺毒軟件^-^）。

　　本例中的環境：xpsp2、寬帶上網、家裡外置路由器分配兩台機上網（有路由器省得安防火牆了^-^），使用avast！和360安全衛士（平時不開監控，偶爾無聊殺毒玩）

　　（一）設置安全

　　原理：

　　1、在路由器設置禁止部分危險端口（不是用路由器的可以利用防火牆進行設置）

　　2、對注冊表的危險項目（常被病毒、木馬修改的項目）設置權限

　　3、在“組策略”中進行安全設置

　　4、建立特殊文件夾進行免疫

　　組策略設置：（進入方法：點擊“開始”——“運行”——輸入“gpedit.msc”）

　　1、禁止修改ie浏覽器的主頁

　　如果您不希望他人或網絡上的一些惡意代碼對自己設定的ie浏覽器主頁進行隨意更改的話，我們可以選擇“用戶配置”→“管理模板”→“windows組件”→“internetexplorer”分支，然後在右側窗格中，雙擊“禁用更改主頁設置”策略啟用即可。

　　2、關閉自動播放

　　位置：“用戶配置”→“管理模板”→“系統”

　　如果你啟動這項設置，你還可以在cd-rom驅動器禁用自動運行或在所有驅動器上禁用自動運行。此設置不阻止自動播放音樂cd。

　　注意：有些設置出現在“計算機配置”和“用戶配置”兩個文件夾中。如果兩個設置都配置，“計算機配置”中的設置比“用戶配置”中的設置優先。

　　注冊表設置：

　　進入方法：點擊“開始”——“運行”——輸入“regedit”

　　設置權限方法：右鍵單擊需要設置權限的分支或項，可根據需要設置部分用戶禁止修改某些項，點“添加”後輸入“everyone”點“確定”建立“everyone”用戶，然後選中everyone用戶“允許”下方的“讀取”，再點“高級”後選中“everyone”點“編輯”，把“拒絕”下面的“設置數值”、“創建子項”、“創建鏈接”、“刪除”、“寫入dac”、“寫入所有者”這幾項選上，就可以防止病毒自動修改這些項目（需要手動修改時把允許的“完全控制”臨時鉤上即可）

　　1、啟動項：可以開機自啟動的項目有

　　hkcu\software\microsoft\windows\currentversion\run

　　hkcu\software\microsoft\windows\currentversion\policies\explorer\run

　　hkcu\software\microsoft\windowsnt\currentversion\windows下的”load”鍵

　　hkcu\software\microsoft\windowsnt\currentversion\winlogon的shelluserint等鍵值

　　hklm\software\microsoft\windowsnt\currentversion\winlogon的shelluserint等鍵值

　　hklm\software\microsoft\windows\currentversion\run

　　hklm\software\microsoft\windows\currentversion\policies\explorer\run

　　hklm\system\currentcontrolset\control\terminalserver\wds\rdpwd\startupprograms

　　正常情況下有（各人情況不同一般再第四項上），核實這些地方沒有錯誤之後可設置權限拒絕

　　2、防止映像劫持

　　所謂的映像劫持就是ifeo，imagefileexecutionoptions

　　hklm\software\microsoft\windowsnt\currentversion\imagefileexecutionoptions

　　在該鍵值下建立以應用程序命名的項，則之後該應用程序無法運行，項下面的“debug”值可以使運行該程序變為運行“debug”下的程序，對普通用戶無用（也可以用這種方法來免疫病毒）。確認無誤後可以設權限拒絕掉。

　　3、防止服務行木馬

　　服務行木馬一般通過在hklm\system\currentcontrolset\services中建立鍵值來運行

　　檢查設置好平常運行的服務正常後可以把這個鍵值設置權限拒絕掉。

　　4、保護安全模式不被修改

　　病毒感染後破壞安全模式是靠修改hklm\system\currentcontrolset\control\safeboot來實現的，51自學網，把這個項設置權限拒絕掉即可。

　　系統設置：

　　1、禁止guest用戶，給administrator等系統用戶設置密碼。

　　2、關閉默認共享

　　在cmd（點擊“開始”——“運行”——輸入“cmd”）下依次鍵入後回車

　　netshareadmin$/del

　　netshareipc$/del

　　netsharec$/del

　　netshared$/del

　　netsharee$/del

　　netsharef$/del

　　netshareg$/del

　　用特殊文件夾免疫：

　　建立特殊文件夾方法：在cmd下用“md”命令建立一個與須免疫東西同名的文件夾（前提是已經刪除該東西，並且需要相同後綴），然後進入新文件夾輸入“mdxxx..\”（..\不可少，xxx是任意名字）即可創建一個不可正常刪除、修改的文件夾（cmd下可用rd命令刪除），這樣就可以使病毒無法復制自身到該處，達到免疫目的。

　　一般需要免疫：各個盤符下的“autorun.inf”（包括u盤、mp3、手機等），這樣可以避免通過u盤、手機、mp3傳播病毒（已經中了毒也不會觸發傳播病毒），常見的病毒需要免疫（如我們學校經常出現的ravmone.exe、sxs.exe等）

　　（二）使用安全

　　通過上面的設置，基本上已經可以保證正常使用時“百毒不侵”了，但是還是注意一些使用上的安全，比如上網、運行程序等等。

　　上網：推薦浏覽器組合為ie+x，x裡面推薦firefox、opera或者mozilla，反正必須是非基於ie內核的浏覽器，因為現在大部分的網頁掛馬、病毒是針對ie的，但是ie必不可少，因為有些不符合網頁浏覽標准的網站只能用ie（基於ie內核），如：qzone、用碩網盤等等。

　　運行程序：運行一些從網上下載下來的exe文件之前，先右鍵單擊看有沒有rar的解壓縮選項（前提是安裝有winrar），有則說明是自解壓文件，最好用rar解壓後分析裡面的各種東西沒有問題後再運行（很多流氓軟件和病毒就是通過這種方法進入你的電腦的）。

　　必備軟件：

　　1、殺毒軟件：無特別推薦，各自根據喜好選擇

　　2、防流氓軟件：推薦使用360安全衛士

　　3、防火牆：推薦使用ashampoo或者zomealarmpro

　　4、安全軟件系列：icesword、prosessexplore（在手動殺毒的時候會應用到）

　　5、其他：矮人dos工具箱、winpe2.0（參照《電腦愛好者》2007-18的p34安裝）、totalcommander等等

　　（三）手動殺毒（以及流氓軟件）

　　即使設置和使用都非常安全了還是無法避免有病毒和流氓軟件滲入，這就需要我們手動殺毒了。只在這裡介紹一般步驟，手動殺毒是一個長期積累實踐的過程。

　　發現病毒：1、殺毒軟件或者360安全衛士報警（但無法

（電腦問答網 關注電腦知識，解決電腦問題！）