为我的电脑打造最强护甲

来源 :计算机应用文摘 | 被引量 : 0次 | 上传用户:lhcming
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  为了让电脑安全、稳定、干净运行,我定了以下几个目标:第一,他不能安装任何软件,特别是那些乱七八糟的游戏和流氓软件;第二,他不能运行任何未指定的程序,免得又中毒;第三,他不能打开任何未指定的文件类型(我电脑里有些源代码文件是要保密的)。工具嘛,就用系统自带的“组策略编辑器”来完成吧。
  点击“开始”→“运行”,输入“gpedit.msc”回车打开组策略编辑器,我们会发现,在“计算机配置”和“用户设置”下都各有一个软件限制策略的条目。简单地说,“计算机配置”下的设置会对所有登录到本地计算机的用户生效,“用户配置”下的设置则只会对某个特定用户或用户组生效。为了防止夜长梦多,我选择了“计算机配置”下的策略。
  
  启用安全护甲
  
  WinXP操作系统,默认一般用户就可以运行任何应用程序,所以我们必须先用组策略关闭这个安全大漏洞。
  
  Step1开启软件运行限制
  在组策略编辑器窗口中,依次展开“计算机配置”→“Windows设置”→“安全设置”→“软件限制策略”。初次打开右边窗口会显示“没有定义软件限制策略”,只需右键单击“软件限制策略”,选择“创建新的策略”即可。
  创建好新的策略后,就可以看到“软件限制策略”下增加了“安全级别”和“其它规则”以及三条属性。
  
  Step2默认不准通行
  
  即使启用了软件限制策略,由于策略的默认安全级别为“不受限的”,仍不能满足我的要求,必须将默认安全级别设为“不允许的”,让未经授权的任何程序都无法运行。设置方法是打开“安全级别”,右键点击“不允许的”,在弹出菜单中选择“设置为默认”项。
  
  Step3给自己留条后路
  不过,这种限制方法会在限制小孩的同时,将自己也限制了,得留条后路。
  我的做法是:首先双击右边窗口中的“强制”属性项目,勾选“除去库文件之外的所有软件文件”和“除本地管理员以外的所有用户”两个选项并“确定”,
  然后给小孩创建了一个属于Power User组的账号。这样他受限制,而作为管理员的我却并没有受到任何限制。
  
  想如何限制,就如何限制
  
  组策略可以通过不同的方式,让使用者运行执行相应的程序,下面我就来为他开通QQ以及其他程序的使用权限。
  
  1.指定地方程序才准执行
  软件限制策略启用之后,非管理员账号就只能执行系统目录(Windows和WindowSystem32)和ProgramFiles下的软件。如果你的常用软件安装在其他目录中,比如QQ安装在D:ToolsTencent,就需要额外为该目录开通运行权限才行。
  右键点击“软件限制策略”下的“其它规则”,选择“新路径规则”。路径设置为D:Tools(由于D:Tools下还安装有其他常用软件,所以小要只指定QQ安装目录),在安全级别中选择“不受限的”,这样Tencent目录的QQ程序就能执行了。
  
  2.开通开始菜单中程序的访问权限
  上述限制还有不合理的地方,比如默认配置下非管理员账号访问开始菜单中的任何程序,都会得到“由于一个软件限制策略的阻止,Windows无法打开此程序”的错误提示。这是因为开始菜单中的程序都是快捷方式(LNK文件)受到限制,另外,URL是lE收藏夹中的网址,SHS则是Office的片段文件也受到限制,为了不影响开始菜单、IE收藏夹、Office的正常使用,还是取消限制为好。
  展开“软件限制策略”,双击右侧的“指派的文件类型”,分别选中LNK、URL、SHS文件并删除(如图5)。
  
  3.防止运行特定程序
  以上设置还有漏洞,比如按照默认配置,ProgramFiles目录下的程序都可以运行,可实际情况是,我的很多软件都安装在该目录下,要是系统管理软件也可以执行,我们做的这些限制估计很快就被攻破了……
  我们可以为不允许执行程序的目录加上数字签名,这个签名微软称之为“散列规则”。散列规则的优先级大于路径规则,只要用散列规则规定Program Files目录下的哪些程序文件不允许执行,那么用户就无法执行它们了。
  散列规则是以哈希值为依据的,程序升级后,文件的哈希值也会改变了,这时就必须修改散列规则。这样虽然比较麻烦,但也有好处,比如程序文件被病毒感染了的话,它的哈希值也会改变,那么散列规则就会阻止用户执行这些带病
  至于如何防止他误删我编写的源程序、如何防止他访问我的私人隐私资料,虽然可以通过组策略来实现(设置不允许访问的路径规则),但对于所有分区都是NTFS格式的我来说,采用NTFS权限限制更方便一些。比如我在“源代码”目录上单击右键,选择“安全和共享”,然后设置只允许管理员访问就可以了.
  在WinXP下,默认文件夹右键菜单是没有“安全和共享”选项的,我们必须在菜单中选择“工具”→“文件夹选项”,然后切换到“查看”页面,找到“使用简单文件夹共享”一项,把它前面的勾去掉。
  
  最终效果大检查
  
  经过这番设置,我的电脑最终达到了什么效果呢?
  简单地说,亲戚家的小孩使用我给他创建的账号登录系统后,没法打开存放源代码和隐私文件的文件夹;他上网时那些恶意的ActiveX控件也不能安装,流氓软件来不了;另外他下载了游戏或软件也无法安装,这样他就没法使用第三方的注册表编辑器来破解组策略限制。总之,软件限制策略是给你的组策略加了把锁,让组策略更安全。
  
  未雨绸缪补漏洞
  
  这样设置后,我的系统还有漏洞吗?答案是肯定的。
  因为软件限制策略作为组策略的一部分,各种配置对应的都是注册表的一些键值,虽然软件限制策略可以限制用户无法使用任何未经允许的注册表编辑工具,但是如果用户能想办法编辑注册表,那么软件限制策略也就会被攻破。比如SWF文件默认是不受限制的,如果有人用Flash做了个注册表编辑器,那就惨了,除非我把SWF文件也加入受限制的行列。
  另外一些默认受限制的文件格式,比如OCX、BAT、CMD、REG等等,如果用户一时头脑发热,让这些文件格式都不受限制了,那么用户就可以使用基于ActiveX控件的在线注册表编辑器,或者使用批处理文件以及注册表文件来修改注册表了。
  还有,路径规则也是软件限制策略可以被破解的一大漏洞,如果没有对用户隐藏系统盘,那么用户把程序拷贝到Program Files目录下,就能执行了,当然,通过设置文件夹权限,也能让其他用户对Program Files目录没有写入权限。
  当然,还有更绝的一招,就是干脆用深山红叶之类的维护光盘,启动光盘上的Windows PE操作系统,使用里面带的注册表编辑器去搞破坏,那样软件限制策略是根本拦不住的。或者用Windows PE里的软件清空了管理员的口令,然后用管理员身份登录,在组策略编辑器里把软件限制策略都取消掉也行。
  另外有些软件在一些环境下也能产生漏洞,比如我们可以利用Office 2000打开被组策略设置为隐藏和禁止访问的驱动器,在没打SPl补丁的Windows Server 2003系统中还可以利用McAfee杀毒软件的查看日志文件存放位置的功能打开被隐藏的驱动器,甚至还可以往里面拷贝文件。
  总之,把软件限制策略、组策略和NTFS权限都用到,并且把事情考虑周到,就能让系统的安全性上一个台阶。如果把软件限制策略用到企业的无盘终端服务器上,也能让终端服务器的系统更加安全可靠。当然,漏洞总会存在的,这就需要仔细观察,仔细考虑,通过实践来解决了。
其他文献
今年股市很火,连带着基金也成为了一种很热门的投资方式。从理论上来说,把钱交给专业的基金管理者来进行投资(炒股票、炒债券什么的都是投资手段的一种),赚钱的效率会比不懂投资的普通人高很多。但是,现在的基金种类这么多,从怎么选到怎么买,都让很多人摸不着门道。  还好还好。我们可以让电脑和网络来帮忙。    了解基金,网络资源大串烧    在投资基金之前,建议大家首先到网站上了解一下它的相关知识和近期行情
【正】 近年来,青年思想工作确有不少的改进与提高,也出现了令人可喜的现象,但是也还存在着不少观念陈旧、方法呆板的传统做法,缺乏时代意识,其中最大的问题仍是假、大、空和
用电脑可不仅仅是年轻人的专利,老人用电脑看看网页、听听歌曲、炒炒股票、看看影视节目都是非常惬意的事情、虽然现在的显示器越来越大,分辨率越来越高,可字体却越来越小,老人看
目的:比较米索前列醇、利多卡因分别联合笑气用于早期妊娠人工流产术(简称人流术)的镇痛效果。方法:将260例早孕要求终止妊娠的妇女,随机分为米索前列醇(A组)和利多卡因(B组),每组各1
春暖花开,草长莺飞,想必不少朋友的心已经按捺不住,早就飞到大自然中去了吧?现在出游可不像小时候那样简单,身上挂着.背着的各种数码产品把我们搞得像圣诞树一样。本次“DF触觉”不
大硬盘、大内存已经成为个人电脑的基本配置,容量的提升,让用户享受到了前所未有的巨大空间和更快的运行速度,但伴之而来的也有“幸福”的后遗症……
目的:通过对15例膝关节前交叉韧带损伤的关节镜下治疗,探讨高效率、创伤小、疗效佳的治疗方法。方法:采用膝关节镜微创技术对膝关节前交叉韧带损伤进行有针对性、局限化的手术治
我们使用1:2:1液(即1份地卡因、2份利多卡因,1 份生理盐水)连续硬膜外阻滞,对120例子宫切术及术后止痛进行观察现报告如下。1 资料与方法本组120例,年龄25岁~67岁。其中子宫肌腺