主動防御謹防安全死角

2015-11-30 08:27:36

網絡安全和信息化 2015年4期

防范Thumbs.db文件惹禍

大家知道，Thumbs.db文件在開啟了縮略圖這種圖片查看方式時，才會自動生成，該文件中緩存有特定文件夾中所有縮略圖的內容。對于一些極度隱私的圖片內容，很多人為了安全起見，往往會在用完之后及時刪除掉，以防泄密事件發生。可是，僅僅刪除原始圖片文件并不安全，原始圖片的縮略圖內容仍然存在于Thumbs.db文件中，一些別有用心之人可以通過專業工具，輕松查看到縮略圖緩存中的內容，也就是保存在Thumbs.db文件中的內容。很顯然，Thumbs.db文件存在安全泄密的風險。

圖1 標簽設置頁面

為了預防Thumbs.db文件惹禍，首先我們可以通過批處理文件方式，刪除已經位于各個不同磁盤分區下的Thumbs.db文件。要做到這一點，只要先開啟記事本程序，彈出文件編輯窗口，在其中輸入如下命令代碼:

在確認上面的代碼內容輸入正確后，依次點擊“文件”、“保存”命令，生成一個“aaa.bat”批處理文件。日后，我們只要用鼠標雙擊該批處理文件，就能自動刪除每給磁盤分區中的縮略圖緩存內容了。

當然，在這里大家可以根據實際情況添加或調整有關的代碼內容，確保將位于所有位置處的Thumbs.db文件都刪除掉。

其次，停用縮略圖緩存功能，強制Windows系統不自動生成Thumbs.db文件。用鼠標雙擊系統桌面上的“我的電腦”圖標，進入我的電腦管理窗口，依次點擊該窗口菜單欄中的“工具”、“文件夾選項”命令，彈出文件夾選項設置對話框。選擇“查看”標簽，進入如圖1所示的標簽設置頁面，將“高級設置”列表下的“不緩存縮略圖”選項取消選中，單擊“確定”按鈕保存設置操作。這樣，Thumbs.db文件就永遠不會再惹禍了。

圖2 標簽設置頁面

防范系統文件夾惹禍

系統文件夾本來是存儲各式各樣系統文件的地方，它是為保障系統正常運行而專門設立的，只有system或administrator權限的用戶才能對其進行各種操作，其他任何用戶都無權管理它。

正是基于這一點，很多病毒木馬程序為了躲避殺毒軟件的“圍剿”，往往會將自己偽裝成系統文件，并藏身到系統文件夾中，這樣殺毒軟件即使能發現它們，也對它們沒有任何辦法。

為了不讓系統文件夾成為病毒木馬的“幫兇”，首先我們需要將隱藏在該文件夾中的病毒文件刪除掉。例如，要刪除位于“System Volume Information”系統文件夾中的病毒時，可以先打開系統資源管理器窗口，依次點擊該窗口菜單欄中的“工具”、“文件夾選項”命令，彈出文件夾選項設置對話框。選擇“查看”標簽，在對應標簽頁面中，將“隱藏受保護的操作系統文件”、“使用簡單文件共享”等選項取消選中，確認后進入系統分區窗口。從中找到“System Volume Information”系統文件夾，打開它的右鍵菜單，點擊“屬性”命令，進入對應系統文件夾屬性對話框。點擊“安全”標簽，打開如圖2所示的標簽設置頁面，逐一點擊“添加”、“高級”、“立即查找”按鈕，從中選擇并導入當前正在使用的登錄賬號，之后將其操作權限設置為“完全控制”。經過這樣設置后，當前賬號用戶就能在“System Volume Information”系統文件夾中，手工刪除被殺毒軟件發現的病毒木馬文件了。

其次取消特定系統文件夾的訪問權限。例如，要取消普通用戶訪問“system32”系統文件夾的修改權限時，只要在系統資源管理器窗口中找到并選中目標文件夾，同時右擊該文件夾，點選右鍵菜單中的“屬性”命令，展開特定系統文件夾屬性對話框，點擊“安全”標簽，在其后標簽頁面中按下“高級”按鈕，切換到指定文件夾高級對話框。單擊“權限”標簽，導入并選中“everyone”賬號，同時單擊“編輯”按鈕，在其后界面中僅將“讀取”權限授予該用戶賬號，確認后保存設置操作。之后將其他用戶賬號從權限列表中刪除，確保只有當前登錄賬號可以正常讀寫特定系統文件夾。

防范index.dat文件惹禍

一些惡意用戶常常會通過查看Internet臨時文件的方式，來獲取他人的上網訪問隱私，所以為了避免自己的隱私外泄，很多人會定期打開Internet選項設置對話框，在常規標簽頁面中，及時刪除上網歷史記錄、臨時文件、表單記錄、Cookies內容。

其實，僅僅刪除這些內容，還無法保證自己的上網隱私不被他人偷窺，因為上網隱私還會存儲在Internet臨時文件夾下面的index.dat文件中，而普通的方法是無法刪除干凈該文件中內容的。

惡意用戶可以借助專業工具，能輕松查看到保存在index.dat文件中的上網歷史記錄。例如，使用“index.dat文件查看器”這款外力工具，用戶能很方便地讀出index.dat文件中的內容，直觀查看到以前訪問過的網頁地址，以及具體的訪問時間。

很顯然，不將index.dat文件及時刪除掉，我們的上網隱私仍然存在外泄的可能。

圖3 鼠標定位注冊表分支

圖4 展開注冊表分支

為了防范index.dat文件惹禍，我們唯一要做的就是及時將該文件刪除掉。不過，index.dat文件屬于系統文件，按常規方法不能直接刪除，這時我們不妨利用“Tracks Eraser Pro”這款專業工具來刪除它。只要啟動該工具的運行狀態，在該程序界面的左側任務列表中，能直觀看到許多可以被直接刪除的項目，選中index.dat文件選項，點擊“Erase Now”按鈕，指定文件就被成功刪除掉了。這時，再次使用“index.dat文件查看器”工具嘗試讀寫index.dat文件時，會發現讀寫內容是空白，這就意味著index.dat文件內容已經被清除干凈了。

防范系統啟動項惹禍

有的時候，網絡病毒、木馬會將自己“喬裝”成系統啟動項，躲藏到系統注冊表的啟動項列表或服務列表中，日后它們會以自啟動項或系統服務方式發作運行，從而給本地運行帶來安全威脅。為了防范病毒、木馬躲藏到系統啟動項或服務列表中，我們不妨修改系統注冊表相關鍵值，下面就是具體的操作步驟:

例如，要防范惡意程序將啟動項添加到注冊表的自啟動列表中時，只要依次單擊“開始”、“運行”命令，彈出系統運行對話框，輸入“regedit”命令并回車，開啟注冊表編輯器運行狀態。在該窗口左側區域，將鼠標定位到注冊表分支“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”上（如圖3所示），逐一點擊“編輯”、“權限”命令，展開特定分支選項的權限對話框，在“組或用戶名稱”列表中選擇“everyone”帳號，將其“讀取”權限修改為“允許”，將其他權限修改為“拒絕”，再將其他用戶賬號刪除掉，確認后保存設置操作。

之后，分別將鼠標定位到“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce”、“HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows”、“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce”、“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”等注冊表分支上，將這些分支選項的“everyone”帳號權限也修改為“只讀”，同時刪除其他用戶賬號，最后重新啟動計算機系統。這樣，病毒、木馬等惡意程序就無法通過系統注冊表啟動項來惹禍了。

圖5 標簽設置頁面

此外，為了防范惡意程序將啟動項添加到服務列表中，以系統服務方式惹禍，我們可以打開注冊表編輯窗口，依次展開注冊表分支“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”（如圖4所示），展開對應分支選項的權限設置對話框。在“組或用戶名稱”設置項處，將“everyone”賬號“讀取”權限修改為“允許”，將其他權限修改為“拒絕”，同時將其他一些陌生或可疑用戶賬號全部刪除掉，再重新啟動計算機系統即可。

防范瀏覽主頁面惹禍

在上網沖浪時，IE的瀏覽主頁面常常會被病毒、木馬程序盯上，成為惡意程序的運行跳板，用戶只要卡其IE瀏覽器窗口，隱藏在主頁面背后的病毒、木馬就能自動發作運行。為了防范IE瀏覽器主頁面惹禍，我們可以采取下面的一些措施:

首先，將IE的瀏覽主頁面恢復為空白或合法內容。打開IE瀏覽器窗口，依次點擊“工具”、“Internet選項”命令，彈出Internet選項設置框，點擊“常規”標簽，進入如圖5所示的標簽設置頁面。單擊“使用空白頁”按鈕，將IE的瀏覽主頁面恢復為空白內容。

當然，也可以在“主頁”地址框中，直接輸入自己認為合法可信的地址，單擊“確定”按鈕保存設置操作。

其次，限制主頁設置調整權限。為了防止惡意程序隨意修改瀏覽主頁面設置，我們可以依次單擊“開始”、“運行”命令，打開系統運行對話框，輸入“regedit”命令，彈出注冊表編輯窗口。將鼠標定位到“HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMAIN”注冊表分支上，逐一單擊“編輯”、“權限”選項，彈出特定選項權限設置對話框；在“組或用戶名稱”位置處，將“everyone”賬號“讀取”權限修改為“允許”，將其他權限修改為“拒絕”，同時將其他一些無關的用戶賬號依次刪除掉。