去年年底到现在,算不清处理了多少台的windows了:无穷无尽的病毒、流氓软件、rootkit......
实在是郁闷,microsoft明明有说过不推荐windows用户工作在管理员权限底下,结果不仅有microsoft的头面人物在演示会上表演一开机直接进入administrator,而且有后来的winxp给用户设置的默认用户默认就是administrator!
如今的流氓整个网络到处乱飞,不要说那些不懂的用户了,就是很多精通windows的工程人员,一不小心就可能中招啦。而且现在的这些流氓软件开始往rootkit的方向发展,而且经常有多重保护,经常好不容易杀了一个,又立马冒出来:象以往的停服务、杀进程已经是越来越跟不上形式了。很多情况,就算进了安全模式一样的没有法度。
总结一下如今我对这些中招的windows的处理流程:
拆硬盘,直接用根转usb的转接线挂到自己的计算机上用杀毒软件过一遍:管你再顽固的病毒,只要没有在运行状态,完全就没有抵抗能力了----直接的后果就是我自己机器上的symantec上面的威胁列表已经到了每次打开都需要1~2分钟才能刷得完。
花上20分钟~2个小时做完第一步之后,把硬盘挂接回原来的机器上,百分之八九十,开机的时候会跳出一堆的找不到程序的错误提示框,然后这时就用Sysinternals的autoruns搞定这些僵尸启动项。
之后,如果你今后不想再继续接到这台电脑来维护的话,就继续。否则的话,就可以把机器交回用户了。
继续的话,我们就要从根本上防止用户无意中中毒。要做到这点,唯一的方法就是让用户运行windows的时候不使用administrator用户,改用权限较低的用户:我一般是把这个用户单独放到users组里面去。
单单作上面的那步的话,只怕用户立马就会跳起来:怪就只怪microsoft的做法,让多少没有了权限意识的程序员写出了堆只能使用在administrator权限的程序。所以之后我们还得继续做一堆的调整,让限制了的权限用户感觉不到更改。
对windows来说,一个是要在本地安全策略里面允许users组可以更改系统时间、关闭系统、弹出NTFS可移动磁盘。再来就是对用户有用的软件挨个测试是不是能正常使用:一般来说,不能正常使用的软件大都是因为某些写入的文件扔到了不该扔的地方,于是我们就要把这些文件找出来,然后让users用户组可修改----推荐一下用filemon来完成查找工作。另外一个可能导致的就是那些windows 98年代走过来的程序,它们以为windows里面只有一个administrator用户,于是所有的软件设置都写到了administrator的注册表分支内、HKEY_LOCAL_MACHINE分支内:对付这些思想古旧的软件,我们就只能找出这些注册表项,导入新的限制权限的用户注册表分支、给与HKEY_LOCAL_MACHINE底下相应设置项的修改权限。
经过了以上的工作,95%以上的软件也都可以正常使用了,剩下的那5%,我们就只好自求多福不要碰到有用户在使用了,可是......唉
最后,让windows在用户保证有开机的时候自动安装patch,这是一定要做的!
最后的最后,不要忘记了告诉用户系统设置的更改,把系统的管理员密码设置一个强力密码,然后把它保存在一个用户伸手可及的地方:我的习惯一般是打印一张标签把administrator和普通用户的用户名和密码都打印出来,然后贴到机器上~~~~
最后的最后的最后,真是好辛苦啊