.Iqk666
最根本的方法是限制用户权限,我在本单位试验了几个月了,效果非常好,凡是限制权限的,没有一台感染过任何病毒。
首先是自动打windows补丁,杀毒软件自动升级,这不用说了。
其次不搞共享的,把默认共享去掉,最简单的方法是把server服务停掉。如果一定要共享,有条件就搞一台旧机器做打印机的服务器,不让上internet,再共享出几个目录,让他们随便折腾。没条件也没办法,不过做了下面这个操作,还是非常非常有效的:
1:先把administrator用户加上密码,密码不要告诉他们,反正他们又不用!
2:把他们正在用的帐号设置成“受限用户”(XP); 或者划入users组(windows 2000) 。注意,对于xp系统,一定要设置成受限用户,单单划入users组还不够安全。
3:上面两步做完,系统的/system32 等关键目录就被保护了,注册表的[HKLM]分支也被保护了,没有密码压根就不能修改,只能看。 如果感染病毒,只要重启就可以解决问题。
对了,C盘必须是NTFS格式,否则白搭!切记切记!
然后是善后工作:
这么一搞,QQ、MSN、迅雷....就不能用了。必须把 \tencent 目录 和 \MSN.... 目录的权限设置成users组可以访问。
为了设置权限,首先要作个动作:在资源管理器--工具--文件夹选项 中把“使用简单文件共享” 的勾去掉。
然后用资源管理器查看文件夹,点右键的“属性”时,就多了一个“安全”选项。在这里把需要放开权限的文件夹的权限都放给users组。
这个做法不是十全十美的,不过这是微软推荐的。 之所以没有大力推荐,是因为用户从此就不能自己安装软件了,因为大部分软件都不要把一些dll拷贝到system32下,还需要修改注册表 (病毒也需要做这个事)。
不过单位用户都不好意思要求装这装那的,所以用这个方法,顶多经常去给他们装个小游戏,你心情不好的时候还可以拒绝,这比给他们杀毒方便多了。
我的这个DELL的家庭版的XP SP2没有"简单文件夹共享"这个选项的,选"组策略"都没有!唉!
了解
一劳永逸啊!~
jesseshine ,你的C盘可能是 fat32格式的。
补充一点: xp不允许没有系统管理员,除了administrator之外,还得有个系统管理员级别的用户,否则不让降低权限。 登录的时候有个“管理员”,他们却用不成,他们会不爽,不爽久了,会上网下载破解密码的程序。 dngz.net您的电脑医生
所以,搞好后,在cmd下运行 control userpasswords2 ,让系统直接登录到桌面,这样他们就眼不见心不烦了。
设置了权限后,安装软件有些麻烦,可能有极少数软件再也没法装了,不过我不是很确定,但是微软有暗示。
安装软件的方法:
1) 直接装,有的软件很绿色环保,可以直接装。
2)对于xp,点右键,选择“运行方式”,然后选择administrator,敲入密码安装。 大部分软件都可以这么装,顶多再把那个软件所在的目录设置成users组可以访问。
3)实在不行,可以建一个快捷方式,用runas 命令。 不过这样就要告诉他们administrator的密码了。 runas 的用法很简单,自己在cmd下打一下,就有帮助,还有例子。
我把administrator也禁用了:lol