安全“例外” 效率兼顧

隔離“例外”讓共享高效

單位局域網某臺計算機中存儲有非常重要的數據，為了防止普通用戶隨意通過共享方式，偷窺到單位的隱私內容，網絡管理員在這臺計算機系統中啟用了Windows系統內置防火墻，以實現與其他終端計算機的軟式隔離。但這么一來，單位領導就無法通過網絡共享方式，訪問到這些重要的數據內容，每次到重要計算機現場去訪問，又會影響工作效率，這該如何是好呢？

圖1 選擇“自定義列表”

很簡單！巧妙利用Windows系統防火墻的“例外”功能，就可以僅讓單位領導的計算機能夠共享訪問重要計算機系統，而其他計算機則無權訪問。以系統管理員登錄進入重要計算機系統，依次單擊“開始”、“設置”、“控制面板”命令，彈出系統控制面板窗口，雙擊其中的“Windows防火墻”圖標，展開系統防火墻配置對話框。選擇“常規”標簽，選中該標簽設置頁面中的“啟用”選項，開啟防火墻的運行狀態。之后點選“例外”標簽，選中該標簽頁面中的“文件和打印共享”復選項，單擊“編輯”按鈕，切換到編輯服務設置框中，將“TCP 139”、“TCP 445”、“UDP 137”、“UDP 138”等端口選項同時選中，再按下“更改范圍”按鈕，進入如圖1所示的設置界面。選中“自定義列表”選項，在對應選項文本框中，輸入單位領導計算機的IP地址，如果要輸入多臺計算機地址，必須要注意每個地址之間用逗號隔開，同時添加子網掩碼255.255.255.0地址。例如，可以輸入“10.176.0.131，10.176.0.132，10.176.0.133,10.176.0.134/255.255.255.0”，單擊“確定”按鈕保存設置操作。

這個時候，因為局域網中的其他計算機受到了防火墻軟式隔離，將不能正常共享訪問那臺保存有重要數據的新計算機了，但是具有防火墻例外功能的領導計算機是能夠訪問到它的。

虛擬“例外”讓升級高效

為了防范病毒木馬的攻擊，不少用戶安裝使用了虛擬系統，這樣日后遭遇到的病毒木馬不管破壞性有多么強大（例如修改IE瀏覽器設置、偷偷創建陌生帳戶等），只要簡單地重新啟動計算機系統，所有破壞性操作都會被強制還原，Windows系統的工作狀態也將毫發無損。

然而，虛擬系統常常一股腦地將所有發生變化的數據自動刪除掉，對安全工具的升級數據也會毫不手軟，這顯然會影響殺毒軟件的升級效率。

為了既能保護Windows系統的工作狀態，又能不影響殺毒軟件的病毒更新效率，我們可以利用一些虛擬系統的“例外”功能，將殺毒軟件的病毒庫更新文件夾排除在安全保護之外，讓特定位置能夠正常存儲數據，這就相當于在虛擬系統中打開一扇“暗門”，從而很好地解決病毒庫及時更新問題。

例如，在“Shadow Defender”虛擬系統環境下，我們可以利用它的“例外列表”功能，來存儲病毒庫所在的文件夾，讓還原操作不影響到病毒更新操作。首先退出虛擬系統狀態，讓計算機系統進入正常工作狀態，在該狀態下打開“Shadow Defender”程序主操作界面，單擊“模式設置”按鈕，進入模式設置頁面，選中該頁面中的所有磁盤分區，點擊“啟動影子模式”按鈕，讓所有磁盤分區都能受到“Shadow Defender”工具的還原保護。

圖2 例外列表選項

圖3 注冊表編輯器

接著返回到主程序界面，選擇并點擊“例外列表”選項（如圖2所示），按下其后界面中的“添加文件夾”按鈕，點擊文件夾選擇對話框中的“瀏覽”按鈕，將病毒庫的文件夾選擇并導入進來，當然也可以將其他需要排除在安全保護之外的文件夾添加進來，確認后執行重新啟動操作，強制系統進入虛擬系統狀態。

這時候，在該狀態下執行病毒庫更新操作時，升級數據就不會被虛擬系統自動刪除了。

遇到某些虛擬系統沒有“例外”功能時，不妨將一些重要文件夾轉移到系統分區之外，因為虛擬系統一般保護的多是系統分區。在日常辦公過程中，有些用戶經常喜歡將工作文檔存儲到“我的文檔”、“桌面”等系統文件夾中，要將這類文件夾轉移到系統分區以外的位置時，可以依次單擊“開始”、“運行”命令，彈出系統運行對話框，輸入“regedit.exe”命令并回車，開啟系統注冊表編輯器運行狀態。在該窗口的左側列表中，將鼠標定位到“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders”注冊表節點上，如圖3所示。找到目標節點下與“我的文檔”、“桌面”等系統文件夾有關的項目，將它們重新指向其他的磁盤分區即可。

如果計算機安裝使用的是Windows 7系統，那么也可以直接打開特定文件夾的右鍵菜單，點擊其中的“屬性”命令，進入對應文件夾屬性對話框，在其中修改該文件夾的分區路徑即可。

掃描“例外”讓殺毒高效

對付那些悄悄藏匿于移動硬盤或優盤中的自啟動類型病毒，最有效、最快捷的應對辦法，就是使用版本最新的殺毒程序，智能掃描移動設備中的數據文件，保證這些設備中的自啟動類型病毒在沒有發作之前，已經被強制清除干凈。

只是，大家平常使用的移動設備分區很可能多是沒有病毒的，如果讓殺毒程序每次自動掃描用戶自己的移動設備，需要耗費很長時間，顯然這會影響系統的殺毒效率。

其實，通過正確定義殺毒程序有關參數，僅讓其自動掃描陌生用戶的移動設備分區，既能有效預防藏身于陌生移動設備中的自啟動類病毒，又能大大提升殺毒軟件的查殺效率。

例如，筆者自己的計算機系統中事先已安裝了NOD32殺毒程序，要想讓該殺毒程序自動掃描陌生用戶使用的移動設備分區，而不掃描自己的移動設備分區時，可以先打開對應殺毒程序界面中的“ESET Smart Security”設置框，在“文件系統實時防護”位置處，點擊“高級設置”按鈕，切換到殺毒程序高級設置對話框，之后按下“可移動磁盤上的文件時采用高級啟發式掃描”處的“例外”按鈕，彈出文件夾瀏覽對話框，從中將移動設備所使用的磁盤分區符號逐一選中并導入進來。經過之前的設置操作，平時頻繁使用的移動設備插入到本地計算機系統后，殺毒程序是不會對它進行掃描查殺的，而有陌生用戶的移動設備插入到本地計算機系統時，殺毒程序就會對它自動掃描查殺了，這樣就能很高效地預防自啟動類型病毒程序的惡意攻擊了。

圖4 “其他規則”子項

阻斷“例外”讓瀏覽高效

大家知道，通過Windows系統的軟件限制策略，可以輕松阻斷已知文件名稱類型病毒的運行，但這種阻斷操作容易影響一些正常程序的運行，例如一些“iexp*.exe”類型的病毒，與IE瀏覽器的應用程序名稱“iexplorer.exe”十分相近，如果簡單地利用軟件限制策略，定義“iexp*.exe”程序不能自動運行的策略時，就會同時阻斷IE瀏覽器程序的運行，從而影響用戶的正常上網瀏覽操作。

要想在成功阻斷病毒的前提下，讓上網瀏覽更高效，可以在自由定義特定程序不允許自動運行的情況下，通過創建新散列規則來對特殊類型的文件實現阻斷“例外”。例如，要阻斷“iexplerer”病毒程序自動運行時，可以依次單擊“開始”、“運行”選項，展開系統運行對話框，輸入“gpedit.msc”命令并回車，開啟系統組策略編輯器運行狀態。在該編輯窗口左側顯示列表中，逐一展開“本地計算機策略”、“計算機配置”、“Windows 設 置”、“安全設置”、“軟件限制策略”選項，在目標選項下面新建路徑規則，在其后彈出的新建路徑對話框中，將路徑設置為“iexp*.exe”，從安全級別下拉列表中選擇“不允許”，確認后執行設置保存操作。

這個時候，啟動運行IE瀏覽器程序時，系統會彈出禁止運行的提示，這說明之前設置的路徑規則已經生效，因為IE瀏覽器程序名稱為“iexplorer.exe”，所以該程序會被強行禁止運行。

為了能讓IE瀏覽器程序不受影響，我們還需要定義散列規則，讓正常的瀏覽器程序排除在阻斷列表之外。在進行這種定義操作時，先返回到如圖4所示的“其他規則”子項上，打開它的右鍵菜單，單擊“新散列規則”命令，切換到散列規則創建對話框，按下“瀏覽”按鈕將“iexplorer.exe”導入進來，同時從安全級別下拉列表中選擇“不受限制”選項，單擊“確定”按鈕保存設置操作，這樣就能實現阻斷“例外”讓上網瀏覽更高效目的了。

攔截“例外”讓運行高效

惡意用戶成功發動溢出攻擊，同時竊取計算機或服務器系統的shell后，或許會執行類似“regedit.exe”、“del.exe”這樣危險的命令或程序，來對Windows系統實施進一步的非法攻擊。為了防止這樣的攻擊，很多人會簡單啟用計算機系統的“阻止訪問命令提示符”組策略，來禁止用戶在DOS命令行窗口執行所有程序命令。

很明顯，這種攔截方法會影響一些日常辦公程序的運行。為了既能攔截危險命令程序，又能保證正常工作程序的高效運行，我們可以按照如下步驟，實現攔截“例外”效果。

圖5 組策略屬性對話框

首先依次點擊“開始”、“運行”選項，在彈出的系統運行對話框中，輸入“gpedit.msc”命令開啟系統組策略編輯器運行狀態。將鼠標定位到該編輯窗口左側列表中的“本地計算機策略”、“用戶配置”、“管理模板”、“系統”節點上，用鼠標雙擊該節點下的“只運行許可的Windows應用程序”選項，打開如圖5所示的組策略屬性對話框，選中“已啟用”選項，激活并點下“顯示”按鈕，在其后界面中將那些合法的工作程序添加導入進來。

接著將鼠標定位到“本地計算機策略”、“用戶配置”、“管理模板”、“系統”節點上，找到并用鼠標雙擊指定節點下的“阻止訪問命令提示符”組策略，進入對應組策略屬性對話框，選中“已啟用”選項，單擊“確定”按鈕后，就能禁止用戶在DOS命令行窗口執行一些危險的程序或命令了。

此外，從Vista系統開始，UAC功能一直在為用戶提供安全攔截功能，但該功能也會給用戶帶來麻煩：有些經常使用的程序，明明知道是安全的，可每次運行它時，UAC功能總會重復彈出攔截提示，讓人感覺到十分不爽。

為了實現攔截“例外”效果，我們可以通過“UAC Trust Shortcut”這款工具，來為安全的程序創建特殊快捷方式，日后通過雙擊快捷圖標方式，就能跳過UAC功能的安全攔截了。開啟“UAC Trust Shortcut”程序的運行狀態，在“Name”位置處輸入安全程序的快捷圖標名稱，按下“Browse”按鈕，彈出文件選擇對話框，選中并添加安全程序文件，之后點擊“Add Now”按鈕。這個時候，就會在系統桌面上自動創建好對應程序的新快捷圖標，日后通過該圖標，就能跳過UAC功能的安全攔截，實現高效啟動運行目的了，操作也十分簡單。