[原创]个人安全方案

Total_min

 

 

前两天我在回贴中说起自己没使用杀毒软件，
    lee123
   朋友命我说一下个人的设置。

原来我也使用杀毒软件的，用过金山、Norton、瑞星，都是正版的，个人感觉还是Norton的效果更好些，但都很占用系统资源，当时也没特别的应用要求，就那么忍了~~后来，单位要求使用宽带上网，问题就出来了：理论上，不论使用哪种杀毒软件，都会被病毒入侵；而且，只要计算机出问题，领导一定会先问到我——这才是最关键的！没办法，把曾经看到的所有安全方法排列组合，试验，终于，做成现在这样，同事们可以随意上网，数据安全也能有个保证了。

在整个方案中，只是NTFS、账户权限和GHOST的使用。对病毒和木马的防范，以严格的本地策略为主，将可能出现漏洞的环节集中处理。

安装操作系统时，应断开公网，确保安装盘可以信赖。系统安装后，不要立即安装“补丁”。

[此贴子已经被作者于2007-6-22 17:35:04编辑过]

Total_min

第一部分：分区

为确保操作系统“干净”，最好删除原有分区。

安装操作系统时，创建系统分区（C，在这个方案中，本地硬盘将只形成一个以C:\为前缀的路径）并格式化成NTFS文件系统。这里，要设计好系统分区的大小，需保证系统的正常运行和常用软件的空间。

安装系统完成后，进入“计算机管理”，在“磁盘管理”中创建其他分区，并且不指派驱动器号。建议除留下一个FAT32分区外，其余分区使用NTFS文件系统。

 

更改逻辑分区的路径。“计算机管理”“磁盘管理”，右击新建分区图标，选择“更改驱动器名和路径…”，将预留的FAT32分区之外的所有分区装入NTFS文件夹中。

 

这个部分就是我这个方案的核心。

主要是对木马的策略。木马程序需要在本地存放文件，一般来说，C盘、“WINDOWS（WINNT）”、“System32”、“dllcache”是它们的首要目标，然后是各分区的根目录、“Temp”、 IE缓存、“C:\Documents and Settings”。现在，我的电脑中只有一个C分区，所有的问题将在这里被集中。

我的个人文件数据是放在几个分区里的，习惯上的“我的文档”被禁用了（后面会讲到）。分区（就是文件夹）的位置，以方便访问为原则。

这里也有一个问题，就是在已装入NTFS文件夹的分区上新建文件夹后，有时会出现不能删除文件夹的问题。我在网上搜过，有别人也提出了这个问题，但没看到回答。可为分区分配盘符后删除，只是那样做就使得整个方案没有意义了。所以新建文件夹时，要慎重些，当认为需要以后删除时，一定要在物理的C分区上建立文件夹。

 

    可在不分配分区路径时，即此步之前，先用GHOST作一个系统分区的镜像。当有特殊的情况时，先恢复这样的镜像，在这个环境下，可以放心大胆的操作，只要不对计算机的物理硬件攻击（CIH之类），所有的软件信息都不能在你的计算机中留下痕迹。

[此贴子已经被作者于2006-7-20 13:43:23编辑过]

Total_min

第二部分，账户

在安装过程中，要求录入管理员账户名称时，建议不使用 Administrator 名称。

对于管理员的账户名称，很多安全文章中都曾提到。有的还列出了一个常用的管理员名表，方便用户避免使用以增加入侵难度。还有的提出在建立账户并登录后，再修改账户名，以实现用户名与“C:\Documents and Settings”路径下的文件夹名称不同。我没想达到那么“安全”，所以也没试过，不知道实际如何。

如果未使用Administrator 账户，要将此账户禁用。

建立受限用户，新建账户，默认为USER组成员，权限比较低，在NTFS文件系统下，对“WINDOWS（WINNT）”、“Program Files”文件夹，只读权限，对“dllcache”文件夹无任何权限，对注册表部分分支只读权限。基本上能保证系统安全。

日常的操作应尽量使用受限用户。

有些软件需要管理员权限操作，例如QQ（需要读写C:\Program Files\Tencent\QQ）和一些数据库管理软件，可临时分配管理员权限。

也有文章提议建立新账户后，将新用户降为Guests组成员。理论上来说，那是最低的权限，但我没实验过，不知道会出现什么情况。

 

第三部分，设置

组策略的设置(因实际情况而异，下面介绍的是对系统实际应用影响不大的几个)：

1、    [计算机配置\管理模板\系统]：关闭所有驱动器的自动播放

2、    [用户配置\管理模板\Windows 组件\Windows 资源管理器]：启用从 Windows 资源管理器上下文菜单删除“管理”项目

3、    [用户配置\管理模板\任务栏和「开始」菜单]：启用从「开始」菜单中删除“我的文档”图标和子菜单项

4、    [用户配置\管理模板\任务栏和「开始」菜单]：从「开始」菜单删除“运行”菜单

5、    [用户配置\管理模板\桌面]：启用从桌面删除“我的文档”图标项

下面的这项很好，但不知道会不会影响一些应用：[计算机配置\管理模板\系统\远程协助]：禁用请求的远程协助

 

禁用USB设备，强的本地安全策略。

CMD.exe设成只允许管理员组（最好是在用的读写，删除所有的其他组权限。许多的入侵，都是从这里开始的）。

[此贴子已经被作者于2006-7-20 13:44:03编辑过]

Total_min

第四部分，GHOST

操作系统设置完成，安装其他专用、应用软件，整个过程中，尽量不要使用USB设备——保证系统“干净”。（使用USB，必将分配新的分区路径，就会有可能触发木马，建议使用可信赖的光盘）

重启进入DOS，使用GHOST对C分区镜像，镜像文件到预留的FAT32分区。

需要说明一下，如果没有特殊的软件，在DOS下是不能访问到NTFS文件系统分区的，就是说，当你转到C盘时，实际上是在那个预留的FAT32分区中，与在WINDOWS环境下的C盘是不一样的。

简单说一下GHOST的使用，执行GHOST后，进入界面，使用导航键扩展菜单至“To Image”，确认。

在提示键入文件名的对话框中，可使用 Tab 和导航键选择目标路径。

因为我的GHOST是正版的，涉及到版权的原因，就不上传了，大家可以在网上搜一下，应该能下载的。

 

返回WINDOWS，将原来的个人数据复制回装入NTFS文件夹的分区中。结束后最好恢复一次系统镜像，以保证系统“干净”。

恢复镜像后，可以给系统打“补丁”了。

以后，每当觉得系统被病毒感染或者需要一个干净的系统时，只要恢复镜像就可以了，又能保证个人数据的实时更新。

[此贴子已经被作者于2006-7-20 13:46:07编辑过]

Total_min

没有什么配置是绝对安全的，一些好习惯比设置更重要：

1、  设置显示文件的扩展名，显示隐藏文件、系统文件。

2、  使用右键菜单，不要使用双击。当你习惯于右键“打开”后，可以通过右键的快捷菜单发现各类型对象的区别。有时，原以为的双击“打开”实际已被更改为“自动播放”。除非经过特意的设置，否则当文件夹出现“自动播放”项并成为双击的默认行为时（在右键菜单中以高亮显示），基本可以判定有病毒木马入侵了。

3、  常看“任务管理器”中的进程。尽管现在很多病毒木马已使用DLL，但仍然会有开进程的，而且，熟悉系统的进程也是应该的。

4、  查看文件、文件夹的属性信息，注意描述栏、状态栏信息。

5、  关闭网络连接。

 

知道一些第三方软件，也许不会经常使用到它们，但当你遇到麻烦的时候，你应该知道，它们可以为你提供丰富的信息。

1、  冰刃 IceSword v1.12  可查看进程调用的DLL文件信息，查系统中的木马后门，并做出处理。

2、  第三方的资源管理器 如Total Commander、Speed Commander ，有的黑客软件具有隐藏文件的功能，在系统的资源管理器中，不能查看到被隐藏软件的信息，这时就需要使用一些第三方的资源管理器，或许能查看到软件。

 

在这个方案中，还有一个漏洞我没想出应付的方法，就是NTFS的数据流信息（利用Streams工具可查看），如果有病毒利用NTFS的这个空间，我不知道该如何做。也请方家指教。

[此贴子已经被作者于2006-7-20 13:46:47编辑过]

member99999

不错..我也有类似的问题..谢谢!

lee123

谢谢你,朋友.

一个很平常的提问,得到你如此重视,真的非常感谢!

再致以最诚挚的谢意!

sjs2001aq

用卡巴斯基吧！

lee123

只要是查毒软件,没有不点资源的.只是多少的问题.

BIN_YANG168

正好用上,偶要重装系统,谢谢楼主.

[此贴子已经被作者于2006-7-27 8:43:39编辑过]