主动防御谨防安全死角

2015-11-30 08:27

网络安全和信息化 2015年4期

防范Thumbs.db文件惹祸

大家知道，Thumbs.db文件在开启了缩略图这种图片查看方式时，才会自动生成，该文件中缓存有特定文件夹中所有缩略图的内容。对于一些极度隐私的图片内容，很多人为了安全起见，往往会在用完之后及时删除掉，以防泄密事件发生。可是，仅仅删除原始图片文件并不安全，原始图片的缩略图内容仍然存在于Thumbs.db文件中，一些别有用心之人可以通过专业工具，轻松查看到缩略图缓存中的内容，也就是保存在Thumbs.db文件中的内容。很显然，Thumbs.db文件存在安全泄密的风险。

图1 标签设置页面

为了预防Thumbs.db文件惹祸，首先我们可以通过批处理文件方式，删除已经位于各个不同磁盘分区下的Thumbs.db文件。要做到这一点，只要先开启记事本程序，弹出文件编辑窗口，在其中输入如下命令代码:

在确认上面的代码内容输入正确后，依次点击“文件”、“保存”命令，生成一个“aaa.bat”批处理文件。日后，我们只要用鼠标双击该批处理文件，就能自动删除每给磁盘分区中的缩略图缓存内容了。

当然，在这里大家可以根据实际情况添加或调整有关的代码内容，确保将位于所有位置处的Thumbs.db文件都删除掉。

其次，停用缩略图缓存功能，强制Windows系统不自动生成Thumbs.db文件。用鼠标双击系统桌面上的“我的电脑”图标，进入我的电脑管理窗口，依次点击该窗口菜单栏中的“工具”、“文件夹选项”命令，弹出文件夹选项设置对话框。选择“查看”标签，进入如图1所示的标签设置页面，将“高级设置”列表下的“不缓存缩略图”选项取消选中，单击“确定”按钮保存设置操作。这样，Thumbs.db文件就永远不会再惹祸了。

图2 标签设置页面

防范系统文件夹惹祸

系统文件夹本来是存储各式各样系统文件的地方，它是为保障系统正常运行而专门设立的，只有system或administrator权限的用户才能对其进行各种操作，其他任何用户都无权管理它。

正是基于这一点，很多病毒木马程序为了躲避杀毒软件的“围剿”，往往会将自己伪装成系统文件，并藏身到系统文件夹中，这样杀毒软件即使能发现它们，也对它们没有任何办法。

为了不让系统文件夹成为病毒木马的“帮凶”，首先我们需要将隐藏在该文件夹中的病毒文件删除掉。例如，要删除位于“System Volume Information”系统文件夹中的病毒时，可以先打开系统资源管理器窗口，依次点击该窗口菜单栏中的“工具”、“文件夹选项”命令，弹出文件夹选项设置对话框。选择“查看”标签，在对应标签页面中，将“隐藏受保护的操作系统文件”、“使用简单文件共享”等选项取消选中，确认后进入系统分区窗口。从中找到“System Volume Information”系统文件夹，打开它的右键菜单，点击“属性”命令，进入对应系统文件夹属性对话框。点击“安全”标签，打开如图2所示的标签设置页面，逐一点击“添加”、“高级”、“立即查找”按钮，从中选择并导入当前正在使用的登录账号，之后将其操作权限设置为“完全控制”。经过这样设置后，当前账号用户就能在“System Volume Information”系统文件夹中，手工删除被杀毒软件发现的病毒木马文件了。

其次取消特定系统文件夹的访问权限。例如，要取消普通用户访问“system32”系统文件夹的修改权限时，只要在系统资源管理器窗口中找到并选中目标文件夹，同时右击该文件夹，点选右键菜单中的“属性”命令，展开特定系统文件夹属性对话框，点击“安全”标签，在其后标签页面中按下“高级”按钮，切换到指定文件夹高级对话框。单击“权限”标签，导入并选中“everyone”账号，同时单击“编辑”按钮，在其后界面中仅将“读取”权限授予该用户账号，确认后保存设置操作。之后将其他用户账号从权限列表中删除，确保只有当前登录账号可以正常读写特定系统文件夹。

防范index.dat文件惹祸

一些恶意用户常常会通过查看Internet临时文件的方式，来获取他人的上网访问隐私，所以为了避免自己的隐私外泄，很多人会定期打开Internet选项设置对话框，在常规标签页面中，及时删除上网历史记录、临时文件、表单记录、Cookies内容。

其实，仅仅删除这些内容，还无法保证自己的上网隐私不被他人偷窥，因为上网隐私还会存储在Internet临时文件夹下面的index.dat文件中，而普通的方法是无法删除干净该文件中内容的。

恶意用户可以借助专业工具，能轻松查看到保存在index.dat文件中的上网历史记录。例如，使用“index.dat文件查看器”这款外力工具，用户能很方便地读出index.dat文件中的内容，直观查看到以前访问过的网页地址，以及具体的访问时间。

很显然，不将index.dat文件及时删除掉，我们的上网隐私仍然存在外泄的可能。

图3 鼠标定位注册表分支

图4 展开注册表分支

为了防范index.dat文件惹祸，我们唯一要做的就是及时将该文件删除掉。不过，index.dat文件属于系统文件，按常规方法不能直接删除，这时我们不妨利用“Tracks Eraser Pro”这款专业工具来删除它。只要启动该工具的运行状态，在该程序界面的左侧任务列表中，能直观看到许多可以被直接删除的项目，选中index.dat文件选项，点击“Erase Now”按钮，指定文件就被成功删除掉了。这时，再次使用“index.dat文件查看器”工具尝试读写index.dat文件时，会发现读写内容是空白，这就意味着index.dat文件内容已经被清除干净了。

防范系统启动项惹祸

有的时候，网络病毒、木马会将自己“乔装”成系统启动项，躲藏到系统注册表的启动项列表或服务列表中，日后它们会以自启动项或系统服务方式发作运行，从而给本地运行带来安全威胁。为了防范病毒、木马躲藏到系统启动项或服务列表中，我们不妨修改系统注册表相关键值，下面就是具体的操作步骤:

例如，要防范恶意程序将启动项添加到注册表的自启动列表中时，只要依次单击“开始”、“运行”命令，弹出系统运行对话框，输入“regedit”命令并回车，开启注册表编辑器运行状态。在该窗口左侧区域，将鼠标定位到注册表分支“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”上（如图3所示），逐一点击“编辑”、“权限”命令，展开特定分支选项的权限对话框，在“组或用户名称”列表中选择“everyone”帐号，将其“读取”权限修改为“允许”，将其他权限修改为“拒绝”，再将其他用户账号删除掉，确认后保存设置操作。

之后，分别将鼠标定位到“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce”、“HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows”、“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce”、“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”等注册表分支上，将这些分支选项的“everyone”帐号权限也修改为“只读”，同时删除其他用户账号，最后重新启动计算机系统。这样，病毒、木马等恶意程序就无法通过系统注册表启动项来惹祸了。

图5 标签设置页面

此外，为了防范恶意程序将启动项添加到服务列表中，以系统服务方式惹祸，我们可以打开注册表编辑窗口，依次展开注册表分支“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”（如图4所示），展开对应分支选项的权限设置对话框。在“组或用户名称”设置项处，将“everyone”账号“读取”权限修改为“允许”，将其他权限修改为“拒绝”，同时将其他一些陌生或可疑用户账号全部删除掉，再重新启动计算机系统即可。

防范浏览主页面惹祸

在上网冲浪时，IE的浏览主页面常常会被病毒、木马程序盯上，成为恶意程序的运行跳板，用户只要卡其IE浏览器窗口，隐藏在主页面背后的病毒、木马就能自动发作运行。为了防范IE浏览器主页面惹祸，我们可以采取下面的一些措施:

首先，将IE的浏览主页面恢复为空白或合法内容。打开IE浏览器窗口，依次点击“工具”、“Internet选项”命令，弹出Internet选项设置框，点击“常规”标签，进入如图5所示的标签设置页面。单击“使用空白页”按钮，将IE的浏览主页面恢复为空白内容。

当然，也可以在“主页”地址框中，直接输入自己认为合法可信的地址，单击“确定”按钮保存设置操作。

其次，限制主页设置调整权限。为了防止恶意程序随意修改浏览主页面设置，我们可以依次单击“开始”、“运行”命令，打开系统运行对话框，输入“regedit”命令，弹出注册表编辑窗口。将鼠标定位到“HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMAIN”注册表分支上，逐一单击“编辑”、“权限”选项，弹出特定选项权限设置对话框；在“组或用户名称”位置处，将“everyone”账号“读取”权限修改为“允许”，将其他权限修改为“拒绝”，同时将其他一些无关的用户账号依次删除掉。