利用Windows XP的权限设置打造一台无需杀毒软件并百毒不侵的电脑

n400c是给计算机病毒高危人群——妈妈用的,除了进行必要的安全教育外,想要这台电脑能够正常使用(而不是成为一个病毒俱乐部),更重要的是计算机系统自身的抗病毒能力——预防为主。

而P3 850/256M的配置也不允许安装多牛多猛的杀毒软件——况且杀毒软件的防病毒能力也并不让人放心。还有一个选项是影子系统,这倒确实是一个很牢固的东西,但也有点过于僵硬。综合起来,利用Windows XP自己本身的权限控制能力,精心设置,也许是最佳的一个解决放案。

根据常见流行病毒、木马的感染原理,可以总结出几大主要的感染途径:

  1. U盘双击/自动播放;
  2. 硬盘双击/自动播放;
  3. 添加自启动项(注册表,服务);
  4. IE浏览器插件下载;
  5. ……

利用受限用户来防止病毒感染,已经有许多的尝试,效果也还不错。下面是所做设置的清单:

  1. 安装操作系统后,设置一个“管理员”账户,这个账户只用于安装程序、修改设置等,并且使用高强度密码;
  2. 使用NTFS安全设置,将C:盘,D:盘的根目录设置为Users(受限用户)组不可在该文件夹创建文件、创建文件夹、运行程序(这个基本上防止了硬盘根目录被感染的可能);
  3. gpedit.msc,“计算机配置->管理模板->系统”里取消所有驱动器的自动运行;
  4. gpedit.msc,“用户配置->管理模板-Windows组件->Windows资源管理器”阻止从我的电脑访问所有驱动器,这个选项将我的电脑里所有的盘符都隐藏,根本就无法双击“自动播放”了,如果需要访问的话,一可以通过建立快捷方式,二可以在地址栏里输入“C:”等来实现;
  5. 建立一个以用户名字命名的受限用户,记住,这个才是妈妈们日常使用的用户,可以不设密码;
  6. 在某个硬盘建立一个文件夹,让受限用户拥有除运行以外的所有权限,并将受限用户的“我的文档”移至此文件夹,这个文件夹就是用于存放妈妈们的文档、资料、音乐、电影等等一切东西,可以随她们胡来,因为没有运行的权限,病毒们在这里就算被双击也不可能发作;
  7. IE必须更新到IE7,并且禁止一切ActiveX的下载和运行(即使不是流氓插件,老机器也吃不消);
  8. 其他(比如Documents and Settings下面)受限用户自己的文件夹,也必须要去除运行的权限;反正一条原则就是:可以执行的目录不可写,可以写的目录不可以执行;这条原则保证了除已安装的必备软件外,受限用户不可能再运行别的程序(大部分是病毒);
  9. 开始菜单里的快捷方式不会被妈妈用到的比如远程协助、超级终端等等等全部删除,其他的全部放在All Users下面,受限用户不能改写,禁用拖放,可防止误操作使得开始菜单变乱,不会让妈妈突然找不到自己常用的程序。

有了这些设置,我觉得已经差不多跟影子系统一个级别了,接下来就看实际的使用效果了。