正確用殺毒軟件 打造安全系統環境

　　使用殺毒軟件，目前存在著兩種情況：一種是不安裝任何殺毒軟件以換取系統性能;一種則是把計算機安全環境考慮得過於嚴峻，於是把殺毒軟件、防火牆、反木馬程序、隱私保護程序一股腦的安裝到系統中，惟恐系統保護得不夠嚴密。但草木皆兵不但耗費了大量系統資源，多少還會影響使用電腦的心情。如何使用殺毒軟件?能讓我們即有高的系統性能，又能好好保護系統安全。我想是大家都關心的問題。下面就來給大家介紹一下……

　　選擇優秀的殺毒軟件

　　功能強大和占用資源少一直是殺毒軟件的一對矛盾，好像既要馬兒跑，又要馬兒不吃草的味道。不過目前的殺毒軟件都兼顧到了這兩點，如卡巴斯基和江民的KV系列殺毒軟件，對於系統內存的占用在大多數情況下只有數百KB到數MB之間，這麼少的系統資源消耗對於目前的絕大多數電腦來說都開銷得起。

　　合理設置實時監控

　　現有的網絡病毒十分猖獗，對安全的威脅來自多方面，這就需要殺毒軟件具備多項實時監控能力。以KV為例，它的實時監控就包括了文件監視、郵件監視、隱私保護、木馬/注冊表監視、網頁監視等七項，如果把它們全部打開的話資源消耗自然小不了。一般來說，文件監視和網頁監視是必不可少的，而像郵件監視這樣的項目，如果很少收發郵件或只使用Web方式收發郵件，完全可以關閉它。其它的監視項目可以根據自己的實際情況來取捨。

　　優化殺毒速度

　　現在的硬盤堪稱海量，存儲的數據量也十分龐大，殺毒軟件全面掃描一次耗時很長(如卡巴斯基)，讓人覺得等起來很累，這也是許多人不願意用殺毒軟件的原因。其實，只要我們留意一下殺毒軟件的選項，就可以發現殺毒速度是可以提高的。

　　在KV的“江民殺毒軟件方案編輯器中有一個“掃描目標選項卡。我們可以把“解壓檢查取消，因為軟件檢查壓縮包的耗時非常長。即使壓縮包中有病毒，病毒也不會發作，當把病毒解壓出來的時候也會被實時監控檢測到，對系統安全不會構成威脅。基於同樣的道理，我們還可以在“文件過濾選項中，增加一些掃描排除文件類型，如ISO鏡像文件，MPG、AVI等視頻文件，MP3等音頻文件，JPG等圖像文件，這些文件在電腦中為數不少，而帶毒的可能性卻比較小。經過這樣的設置，殺毒軟件的掃描速度會得到大幅的提高。

　　選擇合適的查毒時機

　　對任何殺毒軟件來說，殺毒都是一項費時費力的活兒，而很多殺毒軟件在安全上考慮得比較保守，默認設置大都是一天查一次病毒。對普通用戶來說，這確實有些多余，一周查一次就足夠了。另外，像KV2006和金山毒霸等軟件，都具備屏保查毒功能/我們不妨開啟這項功能，讓軟件在電腦空閒的時候自動查殺病毒，這樣可做到工作殺毒兩不誤。KV還有“智能提速功能，開啟該功能後在第一次掃描病毒時會花較多時間，但以後就可以大幅提高掃描速度了，因為殺毒軟件會自動跳過一些它認為不會感染病毒的文件，速度自然就快了。

　　當然，殺毒軟件還有很多個性化的功能，限於篇幅它們的優化設置我們不可能一一涉及，不管怎樣，只要我們遵循足夠合理的原則，秉持中庸之道，既不“過，也避免“不及，就可以讓殺毒軟件高效地工作，使電腦得到合理的保護。

對所有的Linux系統和網絡管理員來說，一個最基本的技巧是知道如何從頭開始編寫一個強健的iptables防火牆，並且知道如何修改它，使其適應多種不同的情況。然而，在現實世界中，這看起來似乎少之又少。對iptables的學習並非是一個簡單的過程，不過筆者在這裡向您推薦外網上如下資料，這樣使用起來你就得心應手了。

筆者認為所有的管理員都應徹底地理解Iptables，不過，另外一個可選擇的方法是運用出色的Linux防火牆生成工具。

Firewall Builder

第一個出場的便是Firewall Builder，這是一個完善的多平台的圖形化的防火牆配置和管理工具。它運行在iptables、 ipfilter、 OpenBSD的 PF、思科的PIX之上。通過設計，它將規則設計的細節隱藏起來，而著重於編寫策略。不過，不要在你真實的防火牆上運行防火牆生成器，因為它需要X Windows。你需要將其運行在一台工作站上，然後將腳本復制到防火牆上。

Firestarter

第二位是Firestarter，它是一款優秀的圖形化的防火牆生成向導，它可以引導你一步一步地通過構建防火牆的過程。對於與局域網共享唯一公共IP地址的NAT防火牆來說，這是一個不錯的選擇，並且在防火牆之後，它還有一些公共服務，或者一個分離的DMZ。它擁有打開或關閉防火牆的一些簡易命令，可以查看狀態視圖和當前的活動。你可以將其運行在一台headless計算機上，並遠程監視之，或者將其用作一個獨立的防火牆。

Shorewall

第三位Shorewall是一個流行的防火牆生成器；它比Firestarter更加復雜和靈活，並且它適合用於更加復雜的網絡。Shorewall的學習曲線類似於iptables，不過，其文檔資料豐富，並且提供提供不同情況的解決方法指南，如單一主機防火牆，兩接口和三接口防火牆，以及擁有多個公共IP地址的防火牆等等。你可以獲得許多關於過濾P2P服務的幫助，如Kazaa速率限制、QQS(質量服務)、VPN轉移歸向等內容。

我們向你推薦這三個軟件的目的是讓你不用花錢購買商業的防火牆軟件，後者無論如何不如內置的Linux和Unix包過濾器。用戶應該將有限的資金用於購買更高質量的硬件上。

　　不管你遇到的是什麼病毒，它想霸占你的系統，侵害你的文件，大部分都要在每次系統重啟時將自己加入自動運行，如果我們有方法讓它喪失這個能力，那麼你將遠離大多數病毒木馬。

　　改注冊表就想自動運行，不行

　　病毒木馬一般都通過修改注冊表將自己設置為自動運行，我們可以針對他們修改的三種方式，來設置相應的三種對策：

　　1.設置注冊表自啟動項為everyone只讀權限(Run、RunOnce、RunService)，防止木馬、病毒通過自啟動項目啟動。

　　2.設置.txt、.com、.exe、.inf、.ini、.bat等文件關聯為everyone只讀權限，防止木馬、病毒通過文件關聯啟動。

　　3.設置注冊表HKLM/SYSTEM/CurrentControlSet/Services為everyone只讀權限，防止木馬、病毒以“服務方式啟動。

　　我們特地為大家准備了一個批處理文件，只要你下載後運行一下，就可以完成上述的權限設置，一次免除後顧之憂(點擊下載批處理文件)。

　　白名單：只運行許可的Windows應用程序

　　設置白名單可以有效地防范外來的惡意程序在你系統中運行或者設置自動運行，方法簡單有效。

　　第一步：首先以管理員賬戶(Administrator)登錄WinXP。

　　第二步：選擇“開始菜單裡面的“運行項，輸入“gpedit.msc命令，然後單擊“確定按鈕打開“組策略編輯器窗口。

　　第三步：在“組策略窗口的左側窗格中依次展開“用戶配置→管理模板→系統分支，然後在右側窗格中雙擊“只運行許可的Windows應用程序策略項打開“只運行許可的Windows應用程序屬性窗口。

　　第四步：在“只運行許可的Windows應用程序屬性窗口中轉到“策略選項卡，先選擇“啟動項，再單擊“顯示按鈕打開“顯示內容對話框。

　　第五步：在“顯示內容對話框中單擊“添加按鈕打開“添加項目對話框，再在相應文本框中輸入允許運行程序的命令行，然後單擊“確定按鈕將它添加到“顯示內容對話框的列表中。

　　當設置完成後，在WinXP中除了列表中指定的程序外，其他程序一律將被禁止運行，更別說病毒想方設法將自己加入到自動運行的行列，也無法在系統啟動時運行。

　　限制病毒木馬容身之所

　　通過浏覽網頁時下載到本地被執行的病毒木馬，很多時候對會先著陸在一些常見的系統目錄中，比如Temp、system32、drivers等，我們對這寫目錄做一定的權限設定，很容易將它們攔阻，防止它們自動運行。這裡要求我們的C盤必須是NTFS格式的，這樣才能設置權限，這裡我們以Temp目錄為例：

　　第一步：選擇“我的電腦→工具→文件夾選項→查看→去掉‘隱藏受保護的系統文件’→選中‘顯示所有文件和文件夾’→確定。做這一步是為了顯示出temp文件夾，以便設置權限。

　　第二步：右鍵單擊“temp文件夾→屬性→安全→高級，現在開始設置，選擇名稱為你用戶名的權限項目，點擊“編輯。在“遍歷文件夾/運行文件勾選“拒絕，依次確定。

　　小提示：FAT2NTFS

　　如果你的C盤不是NTFS格式，可以過Dos命令來轉換：convert c： /fs：ntfs，而且不必強制卸下該卷，繼續下一步，系統會計劃下次重啟後執行。

　　當然，比如著名的sxs病毒，除了C盤之外，也在其它盤的根目錄下生成兩個或三個文件autorun.inf、sxs.e