论文部分内容阅读
■策划/《电脑爱好者》编辑部 ■监制/Cornel
我,周楚,一个在准知名广告公司混饭吃的有为青年。拿着高薪住着豪华白领公寓的我却时常在月末去朋友家蹭“百家饭”,无拘无束地生活惯了,嗯,是该找个女朋友了。
咦?办公室里竟然出现了一个陌生的美女,相貌10+、气质10+……上一分钟仍在后悔前几天拒绝前台如花MM示爱的我此时已经完全放开了心中的包袱。该出手时就出手,于是,我大方地走了过去。
“美女,刚来这里上班吧?我叫周楚,他们都管我叫‘大周’。以后电脑坏了可以找我,我可是高手啊。对了,还没问你的工位在哪里?”由于紧张,我的语速快得都让我自己有些反应不过来。
美女笑而不答,只是指了指右手边的独立办公室。
开什么玩笑?那可是我的顶头上司策划部部长光头男的办公室,没听光头男说要换秘书啊,虽然这个小妞实在比原来的秘书好看一千倍……
“大家静一静,我现在宣布一个消息。”光头男的大嗓门打断了我的胡思乱想,“我今天起调到总部工作,你们的新上司是原DL市分公司负责人Jenicca Wang。”
Jenicca Wang在大家的目光中走到了光头男的一旁,简单介绍自己之后就召集大家开会。她介绍自己时我已经呆掉了,唯一只听到她说她叫王雪。
美女让我去她家
直到开会结束我都精神有点恍惚,散会后Jenicca把我单独留了下来(嗯!?难道我跟她搭讪就要报复我)。
“大周,你刚才说你是电脑高手。正巧我家里电脑坏了,周末方便来帮我修修吗?”Jenicca灿烂的笑容让人无法拒绝(再说为什么要拒绝?)。
于是,周末去了Jenicca家,花了1个小时就把系统装好了。正好是下午2点,怎么能撑到6点然后找借口和美女一起吃饭呢?
装完系统别上网
“大周,装完就帮我接上网线吧!”Jenicca见系统已经修好,便迫不及待地要上网看看邮箱。
我说:“千万别,系统补丁还没装好,这样上网太容易中毒了。”
不看网页也会中毒
互联网在中国刚兴起时,上网只要不收类似“我的照片.exe”之类的文件并且不胡乱下载程序,一般不会中毒。而后的那几年,由动网(那一段时间被黑客戏称为“洞网”)漏洞为主的网页木马出现,那时只要不胡乱访问奇怪的网址也不太容易中毒。但自从5年前“冲击波”冲击了全球无数PC后,人们才知道:“噢,原来上网什么都不干都会中毒啊!”
上网就中毒,凭什么
“冲击波”只能算是溢出漏洞大行其道之前的一记警钟。任何程序(当然也包括Windows)在编写时都有可能在一些细节上忽略了代码安全,程序在执行时,实际读到内存中的数据既有存放用来执行代码的执行区域,也有用来存放变量数据(比如QQ上收到的消息便需要先存在变量中)的数据区。如果黑客制作了一个特殊的数据包(网络中的任何传输都依赖数据包来传递),超出了程序原本用来保存这段数据的长度,而程序恰好又没有检查,那么这段多出的数据就有可能流到执行区里,如果那段数据又恰好是一段恶意代码(比如执行“下载某个网址中的木马并运行”),那么溢出攻击便完成了。你可能会有2个疑问,黑客怎么知道你的IP地址?因为他们都是扫描整个IP段,有漏洞的IP自然就被扫到了;这么多“恰好”可能吗?这绝非凑巧,在研究溢出漏洞时都会对要攻击的程序本身进行分析,溢出的代码也通常会用“NOP”指令(什么也不执行的CPU指令)留一个余量,这样即使多出的长度并非正好也能保证执行。
我们之所以经常使用Windows Update来安装系统补丁,目的就是为了修复系统中存在安全漏洞的部分,防止黑客溢出。而新装好的系统一般都有很多漏洞,在没安装补丁时上网自然就是很危险的。
先有蛋还是先有鸡
不安装补丁有漏洞,因此无法上网;不上网又无法用Windows Update升级补丁,这可如何是好?
A.IP过滤器规则
系统中容易被病毒利用的TCP/UDP端口有134-139.445.4444.39213,Windows 2000开始就提供了一种称为“IP安全策略”的防范方法。
第一步:点击“开始→设置→控制面板→管理工具→本地安全策略”,在弹出窗口左侧窗格中点击“IP安全策略,在本地计算机”,然后在右侧窗格空白处右击,选择“创建IP安全策略”并设置一个任意的名字(比如“我的IP安全策略”),一路“下一步”使用默认选项直至完成。
第二步:在弹出的策略属性窗口的“规则”选项卡中,取消“IP安全规则”列表框中“<动态>默认响应”项的勾选状态。点击“添加”,在弹出窗口中点击“下一步”并选择“此规则不指定隧道”,然后选择“所有网络连接”,继续下一步后别理会弹出的警告,在“IP筛选器列表”界面点击“添加”(见图1)。
(1)
第三步:在弹出的“IP筛选器列表”中仍点击“添加”,“源地址”选择“任何IP地址”,“目标地址”选择“我的IP地址”,在“协议类型”中根据要屏蔽的端口类型选择TCP或者UDP,然后在“下一步”中选择“从任意端口”和“到此端口”(要屏蔽的端口),继续点“下一步”直到“完成”。根据同样的方法将所有要屏蔽的端口都加入列表(见图2)。
(2)
第四步:回到刚才“IP筛选器列表”窗口中点击“下一步”,刚才新创建的筛选器窗口。在“IP筛选器列表”点击“添加”,然后在筛选器操作中选择“阻止”,一路下一步直到完成。最后回到最初的“本地安全设置”窗口,右击刚才建立好的策略选择“指派”,策略即被激活。
小提示
如果你嫌IP安全策略太麻烦
如果怕麻烦也可以使用别人创建好的策略,在http://work.newhua.com/cfan/200820/myipsec224.rar下载myipsec224.rar(解压缩后的文件为“我的安全策略v2.24单机版.ipsec”)。在“本地安全设置”窗口的右侧空白处右击,选择“所有任务→导入策略”然后依向导行事。
B.使用路由器
路由器是用来干嘛的?很多人一定会说家里有几台电脑要用一条宽带上网就需要路由器。不过路由器有另一种很重要的功能就是“硬件防火墙”,通过路由器连接到宽带上,那么你对于互联网上的其他计算机(当然也包括正想扫描IP段的黑客)来说就是不可见的,因为你实际上处于局域网中,而只有路由器是直接对外的。因此,即使家里只有一台电脑,为了防止随时可能爆发的溢出型蠕虫,也有必要使用一个路由器。
小提示
网络防火墙“惧内”
只听过人惧内,防火墙怎么也会惧内呢?因为很多网络防火墙(包括路由器的防火墙功能和Windows XP自带的防火墙)都只能防止从外网到内网的攻击(比如黑客从互联网上扫描你的IP),而从内网到外网的连接则规则非常宽松。这也就是说,网络防火墙不是万能的,至少对于目前主流的被动连接(受害者主动连接黑客,黑客被动接受连接)木马来说是无效的。
C.网络防火墙软件
这是三种未安装补丁时安全上网的方法中最不推荐的一种。因为基于软件的网络防火墙依赖电脑本身的运行速度,因此在传输较频繁或者系统资源不宽裕的情况下经常会因网络防火墙而大大拖慢网速。同时很多软件防火墙为了证明自己有用,在你上网时就会隔三差五地弹出“XX软件为您阻拦了XXXX网络攻击”。对于初学者来说设置网络防火墙规则又跟“天书”一样,稍有不慎就会使系统或软件功能不正常。
美女不打补丁
“原来这么麻烦啊,”Jenicca松了口气,“那现在已经有了安全策略了,看来很安全,我能上网了吗?”
“可以连上网线了,但是你还不能看网页,需要先把补丁打上。”我回答。
Jenicca显得有点纳闷:“这和补丁有什么关系?我可从来不穿有补丁的衣服哦~”
漫长等待和N次重启
如果装完系统后想使用Windows Update来完成所有系统补丁的安装,那无疑是件可怕的事。即使安装光盘中已经集成SP2或者SP3,但仍有几十甚至上百个补丁需要安装,不但等的时间超长而且安装过程中需要多次重启,如果你中途等不及要关电脑,那么下次又得一切重来。
使用360安全卫士
第一步:打开360安全卫士主界面,选择“常用”,点开“修复系统漏洞”选项卡,在“已修复漏洞”右侧点击“管理漏洞补丁”。
第二步:在“360漏洞修复”窗口中,点开“待修复系统漏洞”选项卡,如果没有列出需要安装的补丁则点击“重新扫描”。
第三步:全选扫描到的漏洞补丁,点击窗口下方的“修复选中漏洞”,360安全卫士的补丁下载速度要比Windows Update快得多,而且很多情况下无需重启。
小提示
跳过下载补丁的漫长之路
尽管360安全卫士装补丁快得多,但毕竟仍需要从网络中下载那么多补丁程序,如何能把这部分时间省下来呢?在重装系统前,打开“360漏洞修复”,选择“已装补丁管理”选项卡,点击下方的“打开补丁安装源文件存放目录”,将打开目录中的补丁文件保存好(放在重装后不会格式化掉的地方)。在重装系统完成后,重新安装360安全卫士,打开“360漏洞修复”,在“高级设置”选项卡中将“补丁下载&安装设置”设置为“从指定网络路径或本机目录下载并安装补丁”,这样再修复漏洞时就无需重复下载补丁了(见图3)。
看网页不怕新漏洞
即使安装了所有补丁,也并非完全安全。因为IE浏览器的漏洞经常尚未发布补丁就已经被黑客广泛利用,而有些陌生的链接却又不得不看。
第一步:点击“开始→运行”,输入“net user safeweb 123456 /add”并回车,这样系统中就添加了名为“safeweb”密码为“123456”的账户。这个账户默认只有Users组的权限,只能运行许可的程序,不能对系统关系位置进行修改(比如注册表启动项)。
第二步:打开“C:\Program Files\Internet Explorer”(系统安装在“C:”情况下),右击Internet Explorer.exe选择“发送到→桌面快捷方式”。然后在桌面上右击刚才创建的IE快捷方式,选择“属性”,在“快捷方式”选项卡中点击“高级”,勾选“以其他用户身份运行”选项。
第三步:不得不访问陌生链接的时候,就可以双击这个快捷方式,然后以用户“safeweb”和密码“123456”运行IE(见图4)。
(4)
三、小外甥防治计划
Jenicca看来很满意我的工作,又接着问我:“上次小外甥来我家非要玩电脑,结果不但把我的照片发到网上了,还把我的企划案文档给删除掉了。”
人人都是管理员
Windows XP安装完成后会提示你建立一个或多个账户用于登录,大多数人都对此习以为常。Windows XP的权限机制在这个习惯下变得毫无意义。如果人人都是管理员,那还要Users(用户)这个账户组干什么?
小提示
微软的无奈
Windows被人诟病的安全性在很大程度上来源于权限设置问题,一个拥有几乎系统中所有权限的账户,如果运行了恶意程序,那自然恶意程序就有权在系统中做所有事情。微软对此的回应是“Windows包含基于账户的权限设置,不应以管理员账户登录并进行日常操作”,可实际上,相当一部分Windows应用程序都无法在普通用户权限状态下正常工作,而软件公司也早已经习惯在管理员账户下开发应用程序,所以用户账户实际上并不能正常地进行日常操作。
硬盘里的“圈地”行动
Jenicca平时喜欢将重要文档(当然也包括照片)放在“E:\Works”目录下,我们要让Users组的用户没有访问这个目录的权利(不但不能删除,也不能看)。
第一步:首先保证要保护的目录所在分区是NTFS格式的(FAT/FAT32不支持权限设置),在“资源管理器”中右击要查看的分区选择“属性”,然后在“属性”窗口的“常规”选项卡中就能看到“文件系统”了。
第二步:在“资源管理器”中,选择菜单“工具→文件夹选项”,在“查看”选项卡的“高级设置”中取消“使用简单文件共享”的勾选,点击“确定”。
第三步:仍是在“资源管理器”中,打开“E:”,右击“works”目录选择“属性”,然后在“安全”选项卡中将“组或用户名称”中的“Users”组删除掉,点击“确定”(见图5)。
(5)
建立无害的受限账户
其实刚才我们已经实践过建立受限账户的过程了。往前翻翻,那个用“net user”命令建立的“safeweb”账户就是。
小提示
将FAT32无损转换为NTFS
只有格式化才能把FAT32分区变成NTFS的?难道需要备份这上百GB的文件然后才能变成NTFS?当然不。点击“开始→运行”,输入“CMD”回车打开“命令提示符”,然后执行以下命令:
convertE: /FS:NTFS
接着等待转换完成,在此过程中如果断电或者强行重启可能会造成硬盘损坏。注意在转换前最好重新启动,启动后不要打开任何软件,并且将杀毒软件的文件监控设为禁用。
这个系统我不习惯
好不容易把Jenicca的系统修好,刚想邀下功,正在试用新系统的Jenicca却回头道:“哎?这个系统和原来的不一样,我用不太习惯。”
细问之下才知道,Jenicca原先的系统是另一个“高手”帮忙安装的,安装完之后对系统各项默认设置作过更改。凭借Jenicca的回忆,我尝试把系统恢复到原来的样子。
重装完系统,
打字仍然很“溜”
由于Jenicca首先测试的就是文字输入,所以我决定先帮她调整输入法。
排排座,打打字
“我用搜狗拼音,但是你得留着‘智能ABC’,而且得让搜狗排在‘智能ABC’的前面。”Jenicca甩出了一打要求。
如果按照普通输入法的设置方法,使用IMETools(下载地址:http://www.onlinedown.net/soft/37684.htm)就能完成输入法排序,可既然用的是搜狗拼音,我心里已经有了主意。
第一步:在搜狗拼音首页(http://www.sogou.com/pinyin/)下载最新版本,运行后根据提示完成安装,然后自动进行拼音设置向导。
第二步:在皮肤、词库、模糊音等设置后,“5/5”步就是“输入法管理”,勾选要使用的输入法,并用“上移”、“下移”功能调整输入法顺序后,点击“下一步”完成配置(见图6)。
(6)
“陈年老词”我依然记得
“你的搜狗用户名是?”我问。
Jenicca看起来很迷茫:“那是什么东西?”
还记得N年前是用覆盖Tmmr.rem和User.rem文件的方法来恢复“智能ABC”词库吗?现在很多主流输入法已经具备了网络同步词库的功能,当然也包括搜狗拼音。
第一步:调出搜狗拼音,右击输入法状态栏,选择“设置属性”,在设置窗口中选择“通行证”选项卡,点击“登录通行证”。
第二步:在弹出的搜狐通行证登录窗口中点击“注册新用户”,完成注册后登录。
第三步:在搜狗拼音设置窗口的“通行证”选项卡中勾选“用户配置”和“用户词库”,点击“确定”。
(7)
这样每隔4小时搜狗拼音就会自动上传你的词库了,你也可以点击“立即同步词库”来自行完成同步。下次重装系统后,只需登录搜狗拼音的通行证就能完成以往词库的同步了。
小提示
如果在公司网络中用“搜狗拼音”
“搜狗拼音”的网络同步词库功能暂不支持代理,因此如果在使用代理服务器上网的局域网中就无法同步,可以尝试安装ISA Client(如果公司的服务器端使用ISA Server)。另外,也可以打开“搜狗拼音”设置界面的“词库”选项卡,通过“用户词库备份”将词库备份到硬盘里,重装后通过“用户词库恢复”来恢复词库。
看起来不爽的
显示一律“咔嚓”
“怎么老是提示没有安装防火墙呢?不是安装了风云防火墙吗?”Jenicca看起来很谦虚地问着这个让我不爽的问题。
“安全中心”怕生
刚才为什么说Jenicca的这个问题让我不爽呢?因为我实在很反对她用第三方网络防火墙,不但设置繁琐而且容易引发各种奇怪故障,更麻烦的是Jenicca似乎特别信任那个“高手”给推荐的防火墙品牌……
点击“开始→设置→控制面板→安全中心”,在弹出的设置窗口中点击左侧的“更改安全中心通知我的方式”,然后在“警报设置”中取消“防火墙”的勾选,点击“确定”完成。如果在此处取消“病毒保护”的勾选就能解决安全中心不识别杀毒软件而不断提示的问题(见图7)。
小提示
为什么“安全中心”不认识这些软件?
能让“安全中心”识别出的杀毒软件、防火墙都是通过了微软的安全认证的,但并不是说没有进行认证的就有问题,实际上有很多安全公司的产品在不同版本中也会出现有的能识别、有的不能识别的现象。
“我的电脑”拒绝藏污纳垢
除非是网吧里的电脑,否则每天做得最多的操作便是打开“我的电脑”。而默认的文件显示设置则很有可能让病毒或恶意程序有可乘之机,怎么设置呢?
第一步:打开“我的电脑”,选择菜单“工具→文件夹选项”,在“查看”选项卡的“高级设置”列表中取消“隐藏已知文件类型的扩展名”的勾选,这样可以避免某些使用图片文件图标伪装自己的恶意EXE文件被误打开。
第二步:勾选“显示系统文件夹的内容”,取消“隐藏受保护的操作系统文件”的勾选,在“隐藏文件和文件夹”中选择“显示所有文件和文件夹”,因为除了系统分区外,其他常用分区中的文件很少有隐藏属性的(除了各分区根目录的系统还原目录),而病毒则常利用这一点来隐藏自己。
我比那个“高手”高那么一点点
已经5点了,只要再拖那么一会儿就有机会在美女家蹭个饭(烛光晚餐貌似不太可能……)。另外,我对那个所谓的“高手”非常不服,要体现我的水准,最好的方法就是让Jenicca感觉电脑用起来比平时快。
玩游戏要快
很难想象看起来这么淑女的Jenicca竟然喜欢玩CS,令人更囧的是原来的那个高手竟然没有安装显卡驱动,而只是使用Windows自带的显卡驱动。这样不但无法使用更快的OpenGL方式来玩CS,而且在部分型号的显卡上连DirectX方式都用不了,只能使用软件加速的方式来显示游戏画面(惨不忍睹啊)。
装什么驱动合适呢?根据显卡的型号在Google中搜索发布的年代,然后在驱动之家(http://www.mydrivers.com)的显卡驱动分类中查找离这款显卡发布时间较近的驱动程序(半年内),注意最好选择WHQL版本的稳定驱动,可以避免很多麻烦。
干掉不需要的服务
Windows XP的系统服务对初学者来说一直是个神秘的存在。运行Services.msc打开“服务管理”就能看到各种系统服务状态,双击打开具体服务项将“启动类型”设置为“禁用”就能让它不再占内存(见图8)。那么停止哪些服务可以节省内存又不会影响系统正常使用呢?
小提示
关闭系统特效可以提高速度
除了使用经典主题外,还可以通过关闭系统特效来提高系统响应速度。右击“我的电脑”选择“属性”,在“高级”选项卡的“性能”框中点击“设置”,然后在“性能选项”窗口的“视觉效果”中选择“调整为最佳性能”。
(8)
开机也要快一点
提高开机速度的方法有很多,但最立杆见影的只有2种——去除多余启动项、手动设置网卡IP。
没用的东西别再启动了
推荐使用360安全卫士(http://www.360safe.com)的启动项管理功能,因为对初学者来说msconfig中的启动项看起来每项都很神秘,而360安全卫士则会对常见的启动项进行说明,让你知道它是干什么的,除了ctfmon.exe和杀毒软件外,其他建议一律“咔嚓”(见图9)。
(9)
自动分配IP很占时间
第一步:右击桌面上的“网上邻居”选择“属性”,然后右击本地连接(如果使用无线网卡则右击“无线网络连接”)选择“属性”。
第二步:在连接属性窗口的“常规”选项卡中双击“Internet协议(TCP/IP)”,取消“自动获得IP地址”和“自动获得DNS服务器地址”,IP设置为192.168.0.2、默认网关设置为192.168.0.1、DNS设置为202.106.196.115(此处假设环境是没有使用路由器的网通ADSL,否则IP设置为路由器同网段的IP,默认网关和DNS设置为路由器IP地址),点击“确定”(见图10)。
(10)
终于熬到了6点,我也将杀毒软件装好准备收工了。嗯?Jenicca没有留我吃饭的意思,反而说:“谢谢你,改天请你吃饭,我男朋友的电脑其实也坏了,你哪天有时间?”
我:“!@#$%^&……”
我,周楚,一个在准知名广告公司混饭吃的有为青年。拿着高薪住着豪华白领公寓的我却时常在月末去朋友家蹭“百家饭”,无拘无束地生活惯了,嗯,是该找个女朋友了。
咦?办公室里竟然出现了一个陌生的美女,相貌10+、气质10+……上一分钟仍在后悔前几天拒绝前台如花MM示爱的我此时已经完全放开了心中的包袱。该出手时就出手,于是,我大方地走了过去。
“美女,刚来这里上班吧?我叫周楚,他们都管我叫‘大周’。以后电脑坏了可以找我,我可是高手啊。对了,还没问你的工位在哪里?”由于紧张,我的语速快得都让我自己有些反应不过来。
美女笑而不答,只是指了指右手边的独立办公室。
开什么玩笑?那可是我的顶头上司策划部部长光头男的办公室,没听光头男说要换秘书啊,虽然这个小妞实在比原来的秘书好看一千倍……
“大家静一静,我现在宣布一个消息。”光头男的大嗓门打断了我的胡思乱想,“我今天起调到总部工作,你们的新上司是原DL市分公司负责人Jenicca Wang。”
Jenicca Wang在大家的目光中走到了光头男的一旁,简单介绍自己之后就召集大家开会。她介绍自己时我已经呆掉了,唯一只听到她说她叫王雪。
美女让我去她家
直到开会结束我都精神有点恍惚,散会后Jenicca把我单独留了下来(嗯!?难道我跟她搭讪就要报复我)。
“大周,你刚才说你是电脑高手。正巧我家里电脑坏了,周末方便来帮我修修吗?”Jenicca灿烂的笑容让人无法拒绝(再说为什么要拒绝?)。
于是,周末去了Jenicca家,花了1个小时就把系统装好了。正好是下午2点,怎么能撑到6点然后找借口和美女一起吃饭呢?
装完系统别上网
“大周,装完就帮我接上网线吧!”Jenicca见系统已经修好,便迫不及待地要上网看看邮箱。
我说:“千万别,系统补丁还没装好,这样上网太容易中毒了。”
不看网页也会中毒
互联网在中国刚兴起时,上网只要不收类似“我的照片.exe”之类的文件并且不胡乱下载程序,一般不会中毒。而后的那几年,由动网(那一段时间被黑客戏称为“洞网”)漏洞为主的网页木马出现,那时只要不胡乱访问奇怪的网址也不太容易中毒。但自从5年前“冲击波”冲击了全球无数PC后,人们才知道:“噢,原来上网什么都不干都会中毒啊!”
上网就中毒,凭什么
“冲击波”只能算是溢出漏洞大行其道之前的一记警钟。任何程序(当然也包括Windows)在编写时都有可能在一些细节上忽略了代码安全,程序在执行时,实际读到内存中的数据既有存放用来执行代码的执行区域,也有用来存放变量数据(比如QQ上收到的消息便需要先存在变量中)的数据区。如果黑客制作了一个特殊的数据包(网络中的任何传输都依赖数据包来传递),超出了程序原本用来保存这段数据的长度,而程序恰好又没有检查,那么这段多出的数据就有可能流到执行区里,如果那段数据又恰好是一段恶意代码(比如执行“下载某个网址中的木马并运行”),那么溢出攻击便完成了。你可能会有2个疑问,黑客怎么知道你的IP地址?因为他们都是扫描整个IP段,有漏洞的IP自然就被扫到了;这么多“恰好”可能吗?这绝非凑巧,在研究溢出漏洞时都会对要攻击的程序本身进行分析,溢出的代码也通常会用“NOP”指令(什么也不执行的CPU指令)留一个余量,这样即使多出的长度并非正好也能保证执行。
我们之所以经常使用Windows Update来安装系统补丁,目的就是为了修复系统中存在安全漏洞的部分,防止黑客溢出。而新装好的系统一般都有很多漏洞,在没安装补丁时上网自然就是很危险的。
先有蛋还是先有鸡
不安装补丁有漏洞,因此无法上网;不上网又无法用Windows Update升级补丁,这可如何是好?
A.IP过滤器规则
系统中容易被病毒利用的TCP/UDP端口有134-139.445.4444.39213,Windows 2000开始就提供了一种称为“IP安全策略”的防范方法。
第一步:点击“开始→设置→控制面板→管理工具→本地安全策略”,在弹出窗口左侧窗格中点击“IP安全策略,在本地计算机”,然后在右侧窗格空白处右击,选择“创建IP安全策略”并设置一个任意的名字(比如“我的IP安全策略”),一路“下一步”使用默认选项直至完成。
第二步:在弹出的策略属性窗口的“规则”选项卡中,取消“IP安全规则”列表框中“<动态>默认响应”项的勾选状态。点击“添加”,在弹出窗口中点击“下一步”并选择“此规则不指定隧道”,然后选择“所有网络连接”,继续下一步后别理会弹出的警告,在“IP筛选器列表”界面点击“添加”(见图1)。
(1)
第三步:在弹出的“IP筛选器列表”中仍点击“添加”,“源地址”选择“任何IP地址”,“目标地址”选择“我的IP地址”,在“协议类型”中根据要屏蔽的端口类型选择TCP或者UDP,然后在“下一步”中选择“从任意端口”和“到此端口”(要屏蔽的端口),继续点“下一步”直到“完成”。根据同样的方法将所有要屏蔽的端口都加入列表(见图2)。
(2)
第四步:回到刚才“IP筛选器列表”窗口中点击“下一步”,刚才新创建的筛选器窗口。在“IP筛选器列表”点击“添加”,然后在筛选器操作中选择“阻止”,一路下一步直到完成。最后回到最初的“本地安全设置”窗口,右击刚才建立好的策略选择“指派”,策略即被激活。
小提示
如果你嫌IP安全策略太麻烦
如果怕麻烦也可以使用别人创建好的策略,在http://work.newhua.com/cfan/200820/myipsec224.rar下载myipsec224.rar(解压缩后的文件为“我的安全策略v2.24单机版.ipsec”)。在“本地安全设置”窗口的右侧空白处右击,选择“所有任务→导入策略”然后依向导行事。
B.使用路由器
路由器是用来干嘛的?很多人一定会说家里有几台电脑要用一条宽带上网就需要路由器。不过路由器有另一种很重要的功能就是“硬件防火墙”,通过路由器连接到宽带上,那么你对于互联网上的其他计算机(当然也包括正想扫描IP段的黑客)来说就是不可见的,因为你实际上处于局域网中,而只有路由器是直接对外的。因此,即使家里只有一台电脑,为了防止随时可能爆发的溢出型蠕虫,也有必要使用一个路由器。
小提示
网络防火墙“惧内”
只听过人惧内,防火墙怎么也会惧内呢?因为很多网络防火墙(包括路由器的防火墙功能和Windows XP自带的防火墙)都只能防止从外网到内网的攻击(比如黑客从互联网上扫描你的IP),而从内网到外网的连接则规则非常宽松。这也就是说,网络防火墙不是万能的,至少对于目前主流的被动连接(受害者主动连接黑客,黑客被动接受连接)木马来说是无效的。
C.网络防火墙软件
这是三种未安装补丁时安全上网的方法中最不推荐的一种。因为基于软件的网络防火墙依赖电脑本身的运行速度,因此在传输较频繁或者系统资源不宽裕的情况下经常会因网络防火墙而大大拖慢网速。同时很多软件防火墙为了证明自己有用,在你上网时就会隔三差五地弹出“XX软件为您阻拦了XXXX网络攻击”。对于初学者来说设置网络防火墙规则又跟“天书”一样,稍有不慎就会使系统或软件功能不正常。
美女不打补丁
“原来这么麻烦啊,”Jenicca松了口气,“那现在已经有了安全策略了,看来很安全,我能上网了吗?”
“可以连上网线了,但是你还不能看网页,需要先把补丁打上。”我回答。
Jenicca显得有点纳闷:“这和补丁有什么关系?我可从来不穿有补丁的衣服哦~”
漫长等待和N次重启
如果装完系统后想使用Windows Update来完成所有系统补丁的安装,那无疑是件可怕的事。即使安装光盘中已经集成SP2或者SP3,但仍有几十甚至上百个补丁需要安装,不但等的时间超长而且安装过程中需要多次重启,如果你中途等不及要关电脑,那么下次又得一切重来。
使用360安全卫士
第一步:打开360安全卫士主界面,选择“常用”,点开“修复系统漏洞”选项卡,在“已修复漏洞”右侧点击“管理漏洞补丁”。
第二步:在“360漏洞修复”窗口中,点开“待修复系统漏洞”选项卡,如果没有列出需要安装的补丁则点击“重新扫描”。
第三步:全选扫描到的漏洞补丁,点击窗口下方的“修复选中漏洞”,360安全卫士的补丁下载速度要比Windows Update快得多,而且很多情况下无需重启。
小提示
跳过下载补丁的漫长之路
尽管360安全卫士装补丁快得多,但毕竟仍需要从网络中下载那么多补丁程序,如何能把这部分时间省下来呢?在重装系统前,打开“360漏洞修复”,选择“已装补丁管理”选项卡,点击下方的“打开补丁安装源文件存放目录”,将打开目录中的补丁文件保存好(放在重装后不会格式化掉的地方)。在重装系统完成后,重新安装360安全卫士,打开“360漏洞修复”,在“高级设置”选项卡中将“补丁下载&安装设置”设置为“从指定网络路径或本机目录下载并安装补丁”,这样再修复漏洞时就无需重复下载补丁了(见图3)。
看网页不怕新漏洞
即使安装了所有补丁,也并非完全安全。因为IE浏览器的漏洞经常尚未发布补丁就已经被黑客广泛利用,而有些陌生的链接却又不得不看。
第一步:点击“开始→运行”,输入“net user safeweb 123456 /add”并回车,这样系统中就添加了名为“safeweb”密码为“123456”的账户。这个账户默认只有Users组的权限,只能运行许可的程序,不能对系统关系位置进行修改(比如注册表启动项)。
第二步:打开“C:\Program Files\Internet Explorer”(系统安装在“C:”情况下),右击Internet Explorer.exe选择“发送到→桌面快捷方式”。然后在桌面上右击刚才创建的IE快捷方式,选择“属性”,在“快捷方式”选项卡中点击“高级”,勾选“以其他用户身份运行”选项。
第三步:不得不访问陌生链接的时候,就可以双击这个快捷方式,然后以用户“safeweb”和密码“123456”运行IE(见图4)。
(4)
三、小外甥防治计划
Jenicca看来很满意我的工作,又接着问我:“上次小外甥来我家非要玩电脑,结果不但把我的照片发到网上了,还把我的企划案文档给删除掉了。”
人人都是管理员
Windows XP安装完成后会提示你建立一个或多个账户用于登录,大多数人都对此习以为常。Windows XP的权限机制在这个习惯下变得毫无意义。如果人人都是管理员,那还要Users(用户)这个账户组干什么?
小提示
微软的无奈
Windows被人诟病的安全性在很大程度上来源于权限设置问题,一个拥有几乎系统中所有权限的账户,如果运行了恶意程序,那自然恶意程序就有权在系统中做所有事情。微软对此的回应是“Windows包含基于账户的权限设置,不应以管理员账户登录并进行日常操作”,可实际上,相当一部分Windows应用程序都无法在普通用户权限状态下正常工作,而软件公司也早已经习惯在管理员账户下开发应用程序,所以用户账户实际上并不能正常地进行日常操作。
硬盘里的“圈地”行动
Jenicca平时喜欢将重要文档(当然也包括照片)放在“E:\Works”目录下,我们要让Users组的用户没有访问这个目录的权利(不但不能删除,也不能看)。
第一步:首先保证要保护的目录所在分区是NTFS格式的(FAT/FAT32不支持权限设置),在“资源管理器”中右击要查看的分区选择“属性”,然后在“属性”窗口的“常规”选项卡中就能看到“文件系统”了。
第二步:在“资源管理器”中,选择菜单“工具→文件夹选项”,在“查看”选项卡的“高级设置”中取消“使用简单文件共享”的勾选,点击“确定”。
第三步:仍是在“资源管理器”中,打开“E:”,右击“works”目录选择“属性”,然后在“安全”选项卡中将“组或用户名称”中的“Users”组删除掉,点击“确定”(见图5)。
(5)
建立无害的受限账户
其实刚才我们已经实践过建立受限账户的过程了。往前翻翻,那个用“net user”命令建立的“safeweb”账户就是。
小提示
将FAT32无损转换为NTFS
只有格式化才能把FAT32分区变成NTFS的?难道需要备份这上百GB的文件然后才能变成NTFS?当然不。点击“开始→运行”,输入“CMD”回车打开“命令提示符”,然后执行以下命令:
convertE: /FS:NTFS
接着等待转换完成,在此过程中如果断电或者强行重启可能会造成硬盘损坏。注意在转换前最好重新启动,启动后不要打开任何软件,并且将杀毒软件的文件监控设为禁用。
这个系统我不习惯
好不容易把Jenicca的系统修好,刚想邀下功,正在试用新系统的Jenicca却回头道:“哎?这个系统和原来的不一样,我用不太习惯。”
细问之下才知道,Jenicca原先的系统是另一个“高手”帮忙安装的,安装完之后对系统各项默认设置作过更改。凭借Jenicca的回忆,我尝试把系统恢复到原来的样子。
重装完系统,
打字仍然很“溜”
由于Jenicca首先测试的就是文字输入,所以我决定先帮她调整输入法。
排排座,打打字
“我用搜狗拼音,但是你得留着‘智能ABC’,而且得让搜狗排在‘智能ABC’的前面。”Jenicca甩出了一打要求。
如果按照普通输入法的设置方法,使用IMETools(下载地址:http://www.onlinedown.net/soft/37684.htm)就能完成输入法排序,可既然用的是搜狗拼音,我心里已经有了主意。
第一步:在搜狗拼音首页(http://www.sogou.com/pinyin/)下载最新版本,运行后根据提示完成安装,然后自动进行拼音设置向导。
第二步:在皮肤、词库、模糊音等设置后,“5/5”步就是“输入法管理”,勾选要使用的输入法,并用“上移”、“下移”功能调整输入法顺序后,点击“下一步”完成配置(见图6)。
(6)
“陈年老词”我依然记得
“你的搜狗用户名是?”我问。
Jenicca看起来很迷茫:“那是什么东西?”
还记得N年前是用覆盖Tmmr.rem和User.rem文件的方法来恢复“智能ABC”词库吗?现在很多主流输入法已经具备了网络同步词库的功能,当然也包括搜狗拼音。
第一步:调出搜狗拼音,右击输入法状态栏,选择“设置属性”,在设置窗口中选择“通行证”选项卡,点击“登录通行证”。
第二步:在弹出的搜狐通行证登录窗口中点击“注册新用户”,完成注册后登录。
第三步:在搜狗拼音设置窗口的“通行证”选项卡中勾选“用户配置”和“用户词库”,点击“确定”。
(7)
这样每隔4小时搜狗拼音就会自动上传你的词库了,你也可以点击“立即同步词库”来自行完成同步。下次重装系统后,只需登录搜狗拼音的通行证就能完成以往词库的同步了。
小提示
如果在公司网络中用“搜狗拼音”
“搜狗拼音”的网络同步词库功能暂不支持代理,因此如果在使用代理服务器上网的局域网中就无法同步,可以尝试安装ISA Client(如果公司的服务器端使用ISA Server)。另外,也可以打开“搜狗拼音”设置界面的“词库”选项卡,通过“用户词库备份”将词库备份到硬盘里,重装后通过“用户词库恢复”来恢复词库。
看起来不爽的
显示一律“咔嚓”
“怎么老是提示没有安装防火墙呢?不是安装了风云防火墙吗?”Jenicca看起来很谦虚地问着这个让我不爽的问题。
“安全中心”怕生
刚才为什么说Jenicca的这个问题让我不爽呢?因为我实在很反对她用第三方网络防火墙,不但设置繁琐而且容易引发各种奇怪故障,更麻烦的是Jenicca似乎特别信任那个“高手”给推荐的防火墙品牌……
点击“开始→设置→控制面板→安全中心”,在弹出的设置窗口中点击左侧的“更改安全中心通知我的方式”,然后在“警报设置”中取消“防火墙”的勾选,点击“确定”完成。如果在此处取消“病毒保护”的勾选就能解决安全中心不识别杀毒软件而不断提示的问题(见图7)。
小提示
为什么“安全中心”不认识这些软件?
能让“安全中心”识别出的杀毒软件、防火墙都是通过了微软的安全认证的,但并不是说没有进行认证的就有问题,实际上有很多安全公司的产品在不同版本中也会出现有的能识别、有的不能识别的现象。
“我的电脑”拒绝藏污纳垢
除非是网吧里的电脑,否则每天做得最多的操作便是打开“我的电脑”。而默认的文件显示设置则很有可能让病毒或恶意程序有可乘之机,怎么设置呢?
第一步:打开“我的电脑”,选择菜单“工具→文件夹选项”,在“查看”选项卡的“高级设置”列表中取消“隐藏已知文件类型的扩展名”的勾选,这样可以避免某些使用图片文件图标伪装自己的恶意EXE文件被误打开。
第二步:勾选“显示系统文件夹的内容”,取消“隐藏受保护的操作系统文件”的勾选,在“隐藏文件和文件夹”中选择“显示所有文件和文件夹”,因为除了系统分区外,其他常用分区中的文件很少有隐藏属性的(除了各分区根目录的系统还原目录),而病毒则常利用这一点来隐藏自己。
我比那个“高手”高那么一点点
已经5点了,只要再拖那么一会儿就有机会在美女家蹭个饭(烛光晚餐貌似不太可能……)。另外,我对那个所谓的“高手”非常不服,要体现我的水准,最好的方法就是让Jenicca感觉电脑用起来比平时快。
玩游戏要快
很难想象看起来这么淑女的Jenicca竟然喜欢玩CS,令人更囧的是原来的那个高手竟然没有安装显卡驱动,而只是使用Windows自带的显卡驱动。这样不但无法使用更快的OpenGL方式来玩CS,而且在部分型号的显卡上连DirectX方式都用不了,只能使用软件加速的方式来显示游戏画面(惨不忍睹啊)。
装什么驱动合适呢?根据显卡的型号在Google中搜索发布的年代,然后在驱动之家(http://www.mydrivers.com)的显卡驱动分类中查找离这款显卡发布时间较近的驱动程序(半年内),注意最好选择WHQL版本的稳定驱动,可以避免很多麻烦。
干掉不需要的服务
Windows XP的系统服务对初学者来说一直是个神秘的存在。运行Services.msc打开“服务管理”就能看到各种系统服务状态,双击打开具体服务项将“启动类型”设置为“禁用”就能让它不再占内存(见图8)。那么停止哪些服务可以节省内存又不会影响系统正常使用呢?
小提示
关闭系统特效可以提高速度
除了使用经典主题外,还可以通过关闭系统特效来提高系统响应速度。右击“我的电脑”选择“属性”,在“高级”选项卡的“性能”框中点击“设置”,然后在“性能选项”窗口的“视觉效果”中选择“调整为最佳性能”。
(8)
开机也要快一点
提高开机速度的方法有很多,但最立杆见影的只有2种——去除多余启动项、手动设置网卡IP。
没用的东西别再启动了
推荐使用360安全卫士(http://www.360safe.com)的启动项管理功能,因为对初学者来说msconfig中的启动项看起来每项都很神秘,而360安全卫士则会对常见的启动项进行说明,让你知道它是干什么的,除了ctfmon.exe和杀毒软件外,其他建议一律“咔嚓”(见图9)。
(9)
自动分配IP很占时间
第一步:右击桌面上的“网上邻居”选择“属性”,然后右击本地连接(如果使用无线网卡则右击“无线网络连接”)选择“属性”。
第二步:在连接属性窗口的“常规”选项卡中双击“Internet协议(TCP/IP)”,取消“自动获得IP地址”和“自动获得DNS服务器地址”,IP设置为192.168.0.2、默认网关设置为192.168.0.1、DNS设置为202.106.196.115(此处假设环境是没有使用路由器的网通ADSL,否则IP设置为路由器同网段的IP,默认网关和DNS设置为路由器IP地址),点击“确定”(见图10)。
(10)
终于熬到了6点,我也将杀毒软件装好准备收工了。嗯?Jenicca没有留我吃饭的意思,反而说:“谢谢你,改天请你吃饭,我男朋友的电脑其实也坏了,你哪天有时间?”
我:“!@#$%^&……”