用电脑学易更要学安全保护自己

正丰

我们不但用电脑学易更重要保护自己！以下是一些基本知识也很有用。

微软GDI+图片漏洞 2008年最流行“JPEG恶意代码图片漏洞”网上论谈专题

　 该漏洞涉及处理JPEG图片的GdiPlus.dll文件动态链接库，涉及面极广：如WinXP SP1、MS Office SP3、QQ2004等，WinXP SP2不受其影响。此漏洞可能类似冲击波、震荡波一样，会被利用此漏洞造出恶性病毒...

近日，微软爆出有史以来最大的安全漏洞。通过该漏洞，攻击者可以将木马藏于图片中，网民无论是通过浏览器浏览、还是用各种看图软件打开、或者在即时聊天窗口、电子邮件、Office文档里查看这些图片，只要看了就会中招！哪怕只是看了一个QQ表情！其危害程度远远超过以往微软公布过的任何安全漏洞。

　　针对这一突发情况，迅速组织力量进行研发，在第一时间独家推出了完整的解决方案，能够同时修补windows系统和第三方软件中存在的漏洞。为此紧急呼吁，请广大网民立即下载安装微软GDI+图片漏洞专用补丁包，并同时使用360安全卫士给您的系统打补丁，以确保您的电脑能够尽快远离木马威胁。

　　据工程师介绍，此次微软爆出的GDI+图片漏洞非常严重，有点类似以前的“光标漏洞”和“wmf漏洞”，但涉及的图片格式更多，包括bmp、wmf、gif、emf、vml等，因此漏洞涉及面广，影响网民数众多，危害程度特别巨大，堪称“微软有史以来最大的安全漏洞”。

　　受此漏洞影响，几乎所有浏览器、即时聊天工具、Office程序以及看图软件等第三方软件都可能成为木马传播的渠道。网民即便没有点击运行任何程序，只要浏览了BBS、博客、电子邮件或即时聊天窗口里带木马的图片，就会立即中招。一旦网民查看了这些带木马的图片，或浏览了带木马图片的网站，攻击者就能利用这一GDI+图片漏洞远程执行代码和安装程序，随意查看、更改或删除用户的电脑数据，或者创建能完全访问用户电脑的新帐户。也就是说，攻击者可以利用该漏洞完全控制受你的电脑！

　　该漏洞影响范围不但包括IE浏览器、Office软件以及windows自带的图片浏览工具，还波及了目前几乎所有能查看、展示主要图片格式的第三方软件，包括主流聊天工具、浏览器（除了360安全浏览器的超强安全模式）、看图软件和视频播放软件。

　　特别提醒广大网民，一定要养成定期打补丁的好习惯！在木马泛滥的今天，只有经常使用360安全卫士给自己的系统打补丁，彻底摒弃“事后查杀”的侥幸心理，才能真正防患于未然，最大程度地确保您的电脑安全。

本地安全策略设置

服务器安全设置之--本地安全策略设置

安全策略自动更新命令：GPUpdate /force (应用组策略自动生效不需重新启动) 

　　 开始菜单—>管理工具—>本地安全策略

　　 A、本地策略——>审核策略 

　　 审核策略更改　　　成功　失败　　

　　 审核登录事件　　　成功　失败

　　 审核对象访问　　　　　　失败

　　 审核过程跟踪　　　无审核

　　 审核目录服务访问　　　　失败

　　 审核特权使用　　　　　　失败

　　 审核系统事件　　　成功　失败

　　 审核账户登录事件　成功　失败

　　 审核账户管理　　　成功　失败 

　　B、本地策略——>用户权限分配

　　 关闭系统：只有Administrators组、其它全部删除。

　　 通过终端服务拒绝登陆：加入Guests、User组

　　 通过终端服务允许登陆：只加入Administrators组，其他全部删除

　　C、本地策略——>安全选项

　　 交互式登陆：不显示上次的用户名　　　　　　　启用

　　 网络访问：不允许SAM帐户和共享的匿名枚举　　 启用

　　 网络访问：不允许为网络身份验证储存凭证　　　启用

　　 网络访问：可匿名访问的共享　　　　　　　　　全部删除

　　 网络访问：可匿名访问的命　　　　　　　　　　全部删除

　　 网络访问：可远程访问的注册表路径　　　　　　全部删除 

　　 网络访问：可远程访问的注册表路径和子路径　　全部删除 

　　 帐户：重命名来宾帐户　　　　　　　　　　　　重命名一个帐户 

　　 帐户：重命名系统管理员帐户　　　　　　　　　重命名一个帐户

金山清理专家2.5携强大“漏洞修复”功能 

畅游巡警安装程序或者360啊都可以GDI+图片漏洞修复！

[ 本帖最后由 正丰 于 2008-10-8 16:08 编辑 ]

正丰

小提示

　　由于此项较为专业，其间会涉及到很多的专业概念，一般用户用不到，在这里只是给网络管理员们提个醒，因此在此略过。

二、隐藏驱动器

平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项：选择“用户配置→管理模板→Windows组件→Windows资源管理器”（如图2）。

图
三、禁用指定的文件类型

在“组策略”中，我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型，而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件，不让系统运行REG文件，具体操作方法如下：
1. 打开组策略，点击“计算机配置→Windows设置→安全设置→软件限制策略”，在弹出的右键菜单上选择“创建软件限制策略”，即生成“安全级别”、“其他规则”及“强制”、“指派的文件类型”、“受信任的出版商”项(图3)。

图
3
2. 双击“指派的文件类型”打开“指派的文件类型属性”窗口，只留下REG文件类型，将其他的文件全部删除，如果还有其他的文件类型要禁用，可以再次打开这个窗口，在“文件扩展名”空白栏里输入要禁用的文件类型，将它添加上去。
3. 双击“安全级别→不允许的”项，点击“设为默认”按钮。然后注销系统或者重新启动系统，此策略即生效，运行REG文件时，会提示“由于一个软件限制策略的阻止，Windows无法打开此程序”。
4.要取消此软件限制策略的话，双击“安全级别→不受限的”，打开“不受限的 属性”窗口，按“设为默认值”即可。
如果你鼠标右键点击“计算机配置→Windows设置→安全设置→软件限制策略→其他规则”，你会看到它可以建立哈希规则、Internet 区域规则、路径规则等策略，利用这些规则我们可以让系统更加安全，比如利用“路径规则”可以为电子邮件程序用来运行附件的文件夹创建路径规则，并将安全级别设置为“不允许的”，以防止电子邮件病毒。

提示
：为了避免“软件限制策略”将系统管理员也限制，我们可以双击“强制”，选择“除本地管理员以外的所有用户”。如果用你的是文件类型限制策略，此选项可以确保管理员有权运行被限制的文件类型，而其他用户无权运行。

四、未经许可，不得在本机登录

使用电脑时，我们有时要离开座位一段时间。如果有很多正在打开的文档还没有处理完成或者正在下载东西、挂POPO等等，为了避免有人动用电脑，我们一般会把电脑锁定。但是在局域网中，为了方便网络登录，我们有时候会建立一些来宾账户，如果对方利用这些账户来注销当前账户登录到别的账户，那就麻烦了。既然我们不能删除或禁用这些账户，那么我们可以通过“组策略”来禁止一些账户在本机上登录，让对方只能通过网络登录。
在“组策略”窗口中依次打开“计算机配置→Windows设置→安全设置→本地策略→用户权限分配”，然后双击右侧窗格的“拒绝本地登录”项，在弹出的窗口中添加要禁止的用户或组即可实现(图4)。

图 4
如果我们想反其道而行之，禁止用户从网络登录，只能从本地登录，可以双击“拒绝从网络访问这台计算机”项将用户加上去。
五、给“休眠”和“待机”加个密码

只有“屏幕保护”有密码是远远不够安全的，我们还要给“休眠”和“待机”加上密码，这样才会更安全。让我们来给“休眠”和“待机”加上密码吧。在“组策略”窗口中展开“用户配置→管理模板→系统→电源管理”，在右边的窗格中双击“从休眠/挂起恢复时提示输入密码”，将其设置为“已启用”(图5)，那么当我们从“待机”或“休眠”状态返回时将会要求你输入用户密码。

[ 本帖最后由 正丰 于 2008-10-8 16:04 编辑 ]

正丰

六、自动给操作做个记录

在“计算机配置→Windows设置→安全设置→本地策略→审核策略”上，我们可以看到它可以审核策略更改、登录事件、对象访问、过程追踪、目录服务访问、特权使用等(图6)。这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作：几时登录、关闭系统或更改过哪些策略等等。

图
6
我们应该养成经常在“控制面板→管理工具→事件查看器”里查看事件的好习惯。比如，当你修改过“组策略”后，系统就发生了问题，此时“事件查看器”就会及时告诉你改了哪些策略。在“登录事件”里，你可以查看到详细的登录事件，知道有人曾尝试使用禁用的账户登录、谁的账户密码已过期……而要启用哪些审核，只要双击相应的项目，选中“成功”和“失败”两个选项即可。

注意
：Windows XP Home Edition没有“组策略”，只有Windows XP Professional版本才有“组策略”，这一点注意。
　　
七、限制IE浏览器的保存功能

　　当多人共用一台计算机时，为了保持硬盘的整洁，需要对浏览器的保存功能进行限制使用，那么如何才能实现呢?具体方法为：选择“用户设置”→“管理模板”→“Windows组件”→“Internet Explorer”→“浏览器菜单”分支。双击右侧窗格中的“‘文件’菜单：禁用‘另存为…’菜单项”，在打开的设置窗口中选中“已启用”单选按钮(如图7)。

图 7
　　
提示

　　我们还可以对“‘文件’菜单：禁用另存为网页菜单项”、“‘查看’菜单：禁用‘源文件’菜单项”和“禁用上下文菜单”等策略项目进行修改，这样我们的IE将会安全一些

八、禁止修改IE浏览器的主页

　　如果您不希望他人或网络上的一些恶意代码对自己设定的IE浏览器主页进行随意更改的话，我们可以选择“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”分支，然后在右侧窗格中，双击“禁用更改主页设置”策略启用即可(如图8)。

图 8
　　
小提示

　　(1)在图8，还提供了更改历史记录设置、更改颜色设置和更改Internet临时文件设置等项目的禁用功能。如果启用了这个策略，在IE浏览器的“Internet 选项”对话框中，其“常规”选项卡的“主页”区域的设置将变灰。
　　(2)如果设置了位于“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”→“Internet 控制面板”中的“禁用常规页”策略，则无需设置该策略，因为“禁用常规页”策略将删除界面上的“常规”选项卡。
　　(3)逐级展开“用户设置”→“管理模板”→“Windows组件”→“Internet Explorer”分支，我们可以在其下发现“Internet控制面板”、“脱机页”、“浏览器菜单”、“工具栏”、“持续行为”和“管理员认可的控件”等策略选项。利用它可以充分打造一个极有个性和安全的IE。
　　
九、把Administrator藏起来

Windows系统默认的系统管理员账户名是Administrator。因此，为了避免有人恶意破解系统管理员Administrator账户的密码，我们可以将Administrator改为其他名字以加强安全。点击“开始→运行”，输入gpedit.msc，打开“组策略”，如图9所示，选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”，在右边窗格里双击“账户：重命名系统管理员账户”项，在上面输入你想要的用户名。重新启动计算机后，输入的新用户名即刻生效。如果再新建一个Guest用户，用户名为Administrator，然后再加上十分复杂的密码就更安全。

图
9

提示
：为了避免让人在Windows的登录框中看到曾经登录过的用户名，就要双击“交互式登录：不显示上次的用户名”子项，选择“已启用”将该策略启用。这样上次登录到计算机的用户名就不会显示在Windows的登录画面中。
　　
十.禁用IE组件自动安装

　　选择“计算机配置”→“管理模板”→“Windows组件”→“Internet Explorer”项目，双击右边窗口中“禁用Internet Explorer组件的自动安装”项目，在打开的窗口中选择“已启用”单选按钮(如图10)，将会禁止 Internet Explorer 自动安装组件。这样可以防止 Internet Explorer 在用户访问到需要某个组件的网站时下载该组件，篡改IE的行为也会得到遏制!相对来说IE也会安全许多!

图
10
　　
小提示

　　如果禁用该策略或不对其进行配置，则用户在访问需要某个组件的网站时，将会收到一则消息，提示用户下载并安装该组件。有时用户看也不看就选择“安装”则往往会出问题。网上的很多恶意代码往往都是这样工作的。

 

益福堂

是得要好好学习，谢谢正丰兄的无私奉献！收藏了！

正丰

不要谢！还是谢谢大家！

maxh0

哈，太复杂，太专业了。

阿一

虽看不懂　但顶一下楼主的热心分享

yudan42423956

珈齐

楼主有心了

108817

yf123

360是有防疫补丁下的，我也常用

pataxx

用卡巴,不用自带的浏览器

twwkgb

word也不安全,用专门电脑写作,存资料.不与外网连接比较安全.---黑娔大大地利害

jintengyu

补课了，真的是好贴。顶！

海天一如

楼主有心了  顶

lchn

补课了，真的是好贴。顶！

gred

好贴.顶 给朋友看一下

戊申123

受教了，非常感谢！

lxl1888

受益不浅

woyaowin123

恐怖耶。受益了。谢谢分享技术。

gza1

很详细的资料啊，不可多得，我先收藏了

centralemperor

就算不是用电脑学易，也要学安全保护自己啊！谢谢分享技术

ricaldo

不错不错啊

 

 

多学这个对俺太重要了

戊申123

确实不错，学到很多知识

chenjie

我电脑早被别人偷学习了，可惜没有人指点，偷资料又有什么用呢？如果正在到实地指点一下，可能比偷电脑知识快的多了。现在电脑肯定是不安全的，但是学习易学是需要道德的，没有道德的人偷资料可能会误入歧途的。

zhshsh091700

学习了，看看有些用处

寻道子110

谢谢师兄指引,我全按你说的做了,不过有些我还是没有搞懂,可否为我指引一下??

sunmkey

问题很专业，操作很复杂。。。。

sxm129

这么专业的问题一般初学者很难理解也不易操作，只有在实践中慢慢深入了。

易天涯

我从不相信电脑里（网络里）能学到真正有用的东西。。。。。