原来我也使用杀毒软件的,用过金山、Norton、瑞星,都是正版的,个人感觉还是Norton的效果更好些,但都很占用系统资源,当时也没特别的应用要求,就那么忍了~~后来,单位要求使用宽带上网,问题就出来了:理论上,不论使用哪种杀毒软件,都会被病毒入侵;而且,只要计算机出问题,领导一定会先问到我——这才是最关键的!没办法,把曾经看到的所有安全方法排列组合,试验,终于,做成现在这样,同事们可以随意上网,数据安全也能有个保证了。
在整个方案中,只是NTFS、账户权限和GHOST的使用。对病毒和木马的防范,以严格的本地策略为主,将可能出现漏洞的环节集中处理。
安装操作系统时,应断开公网,确保安装盘可以信赖。系统安装后,不要立即安装“补丁”。
第一部分:分区
为确保操作系统“干净”,最好删除原有分区。
安装操作系统时,创建系统分区(C,在这个方案中,本地硬盘将只形成一个以C:\为前缀的路径)并格式化成NTFS文件系统。这里,要设计好系统分区的大小,需保证系统的正常运行和常用软件的空间。
安装系统完成后,进入“计算机管理”,在“磁盘管理”中创建其他分区,并且不指派驱动器号。建议除留下一个FAT32分区外,其余分区使用NTFS文件系统。
更改逻辑分区的路径。“计算机管理”“磁盘管理”,右击新建分区图标,选择“更改驱动器名和路径…”,将预留的FAT32分区之外的所有分区装入NTFS文件夹中。
这个部分就是我这个方案的核心。
主要是对木马的策略。木马程序需要在本地存放文件,一般来说,C盘、“WINDOWS(WINNT)”、“System32”、“dllcache”是它们的首要目标,然后是各分区的根目录、“Temp”、 IE缓存、“C:\Documents and Settings”。现在,我的电脑中只有一个C分区,所有的问题将在这里被集中。
我的个人文件数据是放在几个分区里的,习惯上的“我的文档”被禁用了(后面会讲到)。分区(就是文件夹)的位置,以方便访问为原则。
这里也有一个问题,就是在已装入NTFS文件夹的分区上新建文件夹后,有时会出现不能删除文件夹的问题。我在网上搜过,有别人也提出了这个问题,但没看到回答。可为分区分配盘符后删除,只是那样做就使得整个方案没有意义了。所以新建文件夹时,要慎重些,当认为需要以后删除时,一定要在物理的C分区上建立文件夹。
可在不分配分区路径时,即此步之前,先用GHOST作一个系统分区的镜像。当有特殊的情况时,先恢复这样的镜像,在这个环境下,可以放心大胆的操作,只要不对计算机的物理硬件攻击(CIH之类),所有的软件信息都不能在你的计算机中留下痕迹。