个人计算机安全

网络环境下的个人计算机的安全对于电脑安全问题，除非关着的电脑外加隔离，能达到100%安全，其它状态不可能绝对安全。所以，尽量让你的电脑远离隐患，就是我们要做的事。我们主要从以下几个方面来讲述：来使我们的电脑出于相对安全的网络环境中。一、启动项启动项目，就是开机的时候系统会在前台或者后台运行的程序。Windows在启动的时候，自动加载了很多程序。许多程序的自启动，给我们带来了很多方便，这是不争的事实，但不是每个自启动的程序对我们都有用；更甚者，也许有病毒或木马在自启动行列。1.开始如何取消不必要的开机启动开始--所有程序--启动，点击打开后把里面全部删掉。2.注册表注册表(Registry)是Windows9x/Me/NT/2000操作系统、硬件设备以及客户应程序得以正常运行和保存设置的核心“数据库”，也可以说是一个巨大的树状分层结构的数据库系统。它记录用户安装在机器上的软件和每个程序的相互关联信息，包括计算机的硬件配置，其中包括自动配置的即插即用设备和已用的各种设备说明、状态属性以及各种状态信息和数据。注册表中相应的启动加载项目注册表的启动项目是病毒和木马程序的最爱，非常多的病毒木马的顽固性就是通过注册表来实现的，特别是在安装了新的软件程序，一定不要被程序漂亮的外表迷惑，一定要看清楚它的实质是不是木马的伪装外壳或者是捆绑程序，必要的时候可以根据备份来恢复注册表。我们也可以通过手动的方法来检查注册表中相应的位置，注意同安全、清洁的系统注册表相应键进行比较，如果发现不一致的地方，一定要弄清楚它是什么东西!不要相信写在外面的“system”、“windows”、“programfiles”等名称，尤其是如果你仔细观察的话，有些字符是不一样的，比如0和o的区别，1和l的区别等，如果经过详细的比较，可以确定它是不明程序的话，不要手软，马上删除。通过注册表来检测一些异常：1.)检查注册表看HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrenVersion和HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion下，所有以“Run”开头的键值名，其下有没有可疑的文件名。如果有，就需要删除相应的键值，再删除相应的应用程序。2.)检查启动组木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为：C:＼windows＼startmenu＼programs＼startup，在注册表中的位置：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼ShellFoldersStartup=C:＼windows＼startmenu＼programs＼startup。要注意经常检查这两个地方哦！3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所，要注意这些地方比方说，Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的，如果有了那就要小心了，看看是什么；在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所，因此也要注意这里了。当你看到变成这样：Shell=Explorer.exewind0ws.exe，请注意那个wind0ws.exe很有可能就是木马服务端程序！赶快检查吧。4.)对于下面所列文件也要勤加检查，木马们也很可能隐藏在那里C:＼windows＼winstart.bat、C:＼windows＼wininit.ini、Autoexec.bat。5.)如果是EXE文件启动，那么运行这个程序，看木马是否被装入内存，端口是否打开。如果是的话，则说明要么是该文件启动木马程序，要么是该文件捆绑了木马程序，只好再找一个这样的程序，重新安装一下了。6.)万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动所以，平时多注意一下你的端口，查看一下正在运行的程序，用此来监测大部分木马应该没问题的。（二）组策略组策略是系统策略的高级扩展，是管理员为用户和计算机控制程序、网络资源、系统、Windows组件的主要工具，可对系统的各种特殊属性进行设置。简单地解释就是：组策略是调整注册表的一个所见即所得编辑器。系统高手们往往不仅精通注册表，还经常通过组策略完成一些系统的高级调整与修改。下面就介绍三招，如何利用组策略提升系统安全性。第一招：清理IE上网痕迹在WindowsXP系统中，关于组策略“InternetExplorer维护”的技巧有很多，我们可以进行个性化设置。其中，可以通过添加脚本的方法，实现在退出IE时对上网痕迹进行自动清理。具体步骤是找一台Windows2000操作系统，将Deltree.exe文件复制到WindowsXP系统的system32目录下。用记事本编写一个如下内容的文本文件：@echooffcdc:\documentsadsettings\administrator\localsettings\temporaryinternetfilesc:\winnt\system32\deltree.\*.*/y将文本保存为.bat批处理文件。在“开始”“运行”中输入“gpedit.msc”打开组策略对话框，依次进入“用户配置”“Windows设置”“脚本(登录/注销)”，双击右边窗口中的“注销”，在“添加”项目中导入这个脚本文件即可。常见的端口号对应的协议及用途21：FTP（文件传输）23：TELNET（远程登录）25：SMTP（发送E-mail）80：HTTP（服务）110：POP3（接收e-mail）119：NNTP（新闻服务）常见木马的入侵端口号灰鸽子：3389黑洞：2000冰河：7626广外女生：6267第二招：禁用指定软件程序在组策略中，可以采取禁用注册表或光驱、隐藏磁盘分区等一系列设置。这些功能在Windows2000中就能实现。在WindowsXP系统中还增加了对软件的限制策略。在此以常用即时通讯软件QQ为例进行实例说明。打开组策略对话框，依次进入“计算机配置”“Windows设置”“安全设置”“软件限制策略”“其它规则”“新路径规则”，点击“浏览”，找到QQ安装目录下的“QQ.exe”文件，在“安全级别”下选择“不允许”。重启计算机后，就无法用QQ了。若要重新使用QQ，把安全级别选为“不受限的”即可第三招：打造系统防火墙在“组策略”中还可以打造系统防火墙。在默认设置下，Windows有很多端口是开放的，网络病毒和黑客可以通过这些端口接入你的电脑。为了资料的安全，应该把不必要的端口封闭，减少居心不良者入侵的机会。以封闭80端口为例：先在“计算机配置”的“IP安全策略”中单击右键，创建一个新的IP安全策略，在“属性”中添加“筛选器列表”，在“编辑规则属性”中选择“新IP筛选器列表”对话框并点击“添加”。现在用三个步骤屏蔽80端口。第一步寻址，源地址选“任何IP地址”，目标地址选“我的IP地址”；第二步选协议，选择“TCP”，在“到此端口”下的文本框中输入“80”；第三步创建，返回后进入“编辑规则属性”的“筛选器操作”，选择“请求安全（可选）”，确定后返回，再对“创建IP安全策略”选择“指派”。这样就对TCP的80端口的服务进行了屏蔽，因为端口80是HTFP的协议，提供服务，因而屏蔽之后HTFP协议网站也将无法打开(要重新开放可对以上各项进行修改和删除)。同理我们也可对一些易被木马入侵的端口进行屏蔽，让木马靠边站其他组策略安全技巧1、隐藏电脑的驱动器位置：用户配置\管理模板\Windows组件\Windows资源管理器将“隐藏‘我的电脑’中的这些指定驱动器”和“防止从‘我的电脑’访问驱动器”设置为“已启用”并设置欲阻止访问的驱动器。2、禁用注册表位置：用户配置\管理模板\系统将“组织访问注册表编辑工具”设置为“已启用”。3、禁用控制面板位置：用户配置\管理模板\控制面板将“禁止访问控制面板“设置为“已启用”；或启用“隐藏指定的控制面板程序”并设定隐藏的项目，如想在控制面板中隐藏Internet选项，则在隐藏控制面板程序里添加Inetcpl.cpl，具体名称可查看Windows\System32里以cpl结尾的文件。4、隐藏文件夹位置：用户配置\管理模板\Windows组件\Windows资源管理器将“‘工具’菜单删除‘文件夹选项’菜单”设置为“已启用”。服务与进程若PC没有特殊用途，基于安全考虑，打开控制面板，进入管理工具——服务，关闭以下服1.Alerter[通知选定的用户和计算机管理警报]2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]3.DistributedFileSystem[将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远程计算机无法访问共享4.DistributedLinkTrackingServer[适用局域网分布式链接]5.IndexingService[提供本地或远程计算机上文件的索引内容和属性，泄露信息]6.Messenger[警报]7.NetMeetingRemoteDesktopSharing[netmeeting公司留下的客户信息收集]8.NetworkDDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]9.NetworkDDEDSDM[管理动态数据交换(DDE)网络共享]10.RemoteDesktopHelpSessionManager[管理并控制远程协助]11.RemoteRegistry[使远程计算机用户修改本地注册表]12.RoutingandRemoteAccess[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]13.Server[支持此计算机通过网络的文件、打印、和命名管道共享]14.TCP/IPNetBIOSHelper[提供TCP/IP服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持而使用户能够共享文件、打印和登录到网络]15.Telnet[允许远程用户登录到此计算机并运行程序]16.TerminalServices[允许用户以交互方式连接到远程计算机]17.WindowsImageAcquisition(WIA)[照相服务，应用与数码摄象机]如果发现机器开启了一些很奇怪的服务，如r_server这样的服务，必须马上停止该服务，因为这完全有可能是黑客使用控制程序的服务端。进程任何病毒和木马存在于系统中，都无法彻底和进程脱离关系，即使采用了隐藏技术，也还是能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多，哪些是正常的系统进程，哪些是木马的进程，而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢？请看本文。病毒进程隐藏三法当我们确认系统中存在病毒，但是通过“任务管理器”查看系统中的进程时又找不出异样的进程，这说明病毒采用了一些隐藏措施，总结出来有三法：1.以假乱真系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发现过系统中存在这样的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下，发现区别了么？这是病毒经常使用的伎俩，目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却完全不同。又或者多一个字母或少一个字母，例如explorer.exe和iexplore.exe本来就容易搞混，再出现个iexplorer.exe就更加混乱了。如果用户不仔细，一般就忽略了，病毒的进程就逃过了一劫。2.偷梁换柱如果用户比较心细，那么上面这招就没用了，病毒会被就