蛊哥带你们玩Win 8.1 2014-05-04 基础篇（二） 高手请无视此贴

蛊钺龙彡

以后就准备每个月更新一篇左右好了，因为的确有点忙...

嗯，文接上篇。
装完Windows 8.1 With Update之后，当然要做的第一件事就是，装各种软件。


鉴于8.1的高安全性（优化设置之后），我个人给出的建议是，如果没有特殊的上网需求，比如最近在严打的神马....可以不用装神马第三方杀软了，自带的WD很强的，而且，WD我会在后面介绍开启WD启发之类的。让WD和WF越来越强。

---------------------------------------EMET篇--------------------------------------------------------------------

最近，在XP停止更新后，IE爆了个0Day，对于这种恶心的0Day，除了用第三方安全软件，我们还有什么办法防御呢？
答案就是EMET，这是微软出的一个防护软件，简介复制粘贴如下：

增强减灾体验工具（Enhanced Mitigation Experience Toolkit，EMET）是一款安全工具，它能为旧版Windows平台和应用程序（包括第三方应用程序）提供最新的安全方案和技术，比如随机地址空间分配（ASLR）、数据执行保护（DEP），让用户免受未修复漏洞的影响并保护用户不受攻击。

截至我发帖时间，EMET最新版本有2个（EMET是英文的，没中文）

Enhanced Mitigation Experience Toolkit 4.1 Update 1 这个链接包含4.1和4.1的PDF说明文档

下载地址：http://www.microsoft.com/en-us/download/details.aspx?id=41138

Enhanced Mitigation Experience Toolkit 5.0 Tech Preview 这个是5.0的PDF说明文档

下载地址：http://www.microsoft.com/en-us/download/details.aspx?id=41963

Enhanced Mitigation Experience Toolkit 5.0 这个是5.0的安装程序

http://download.microsoft.com/do ... 67/EMET%20Setup.msi

鉴于，5.0事实上好像官网撤销掉了。所以，我建议大家先用正式版的4.1安装就一路下一步就行，微软官网下载的工具不会捆绑例如百度杀毒/搜狗浏览器/金山毒霸/瑞星杀毒/风行之类的东西的。
安装时，UAC和Smart的弹窗如果出现，一律点“通过”“是”，出现如下图的时候，选上面的选择：

装完之后，会在右下角有个小锁的图标，那个就是EMET了
开机会自动启动，个人感觉不占用什么系统资源。

个人英语水平≈0 也不去翻译这些设置都什么意思，默认设置的界面如下：


注意！一般情况下，选择默认设置即可，不要乱调...

同时，DEP和SEHOP2个项目，如果选Always On，那么将会是最高系统安全防护状态，不过据说会莫名其妙的影响部分软件使用（虽然我一直没遇见过这样的问题）


这是选最高防护的状态，要记住一点，更改EMET设置之后，要重启系统才生效!


好了，既然我们有了EMET，那么一般情况下的0Day漏洞我们是无视的（有记录的EMET4.0被破过一次，不过现在的4.1没有被突破过的记录）。
当然，有EMET也需要打补丁，因为EMET设计的初衷是为了需要的客户提供在0Day之类的问题上的防护，而不是代替补丁程序。


EMET搞定之后，我们要开始搞定系统自带的防护软件，WD。
那么，去那里找WD呢？

----------------------------------------Windows Defender 篇------------------------------------------------------
首先，可以在开始屏幕上：


控制面板也可以找到：


记住在控制面板里选图标模式才可以找到WD的直接入口哟。


打开WD之后，我们首先要先更新WD：


最新版本的病毒防护可以为你的电脑保证安全。


在设置页面，可以设置排除，扒拉扒拉扒拉、、、



另外，推荐下搞基模式这么设置：




MAPS：




这个管理员模式我要说明下：


如果你这台电脑有多个用户，且（知道且啥意思吧，是而且的意思），有多个管理员帐号。
且！有可能多个管理员帐号同时登陆，切换使用。
此时，建议勾选此选择。








阿希，WD也基本搞定了，搞基应用我会放后面的篇章里，不放基础篇。

好了，剩下一个WF！



------------------------------Windows Firewall 篇-------------------------------
WF呢，就是Windows防火墙，7/8.1系列的防火墙其实蛮强的，这也是为什么例如红伞/趋势之类的厂家会在个人版上放弃自己的墙而改做增强系统墙。
这货，貌似最方便的方法是从控制面板进去。
首先，是要点这里，框框的地方：


然后，在新的窗口把用不到的联网程序都取消掉，统统取消掉！



要知道，Windows防火墙不会自己一个一个一个程序的弹出来让你选择是否允许网络访问，也就是我们常说的，没有交互模式，只有安全模式。

-----------------------------Internet Explore 篇-----------------------------------
IE11，虽然兼容性的确是有点问题，但是，还是那句话，IE也好，Windows也好，都是平台，软件应用都应该去兼容平台，而不是平台去兼容软件。


我个人是很喜欢用IE11的，但是同时还是搭配了360SE7 原因很简单，首先，IE不能同步我的收藏夹，而我做测试要用很多很多套系统，看帖的要是有熟悉我的人，应该知道我电脑上一般是有150+套系统的，在那么多套系统上，同步收藏夹是个蛋疼的事情，所以我用SE7来同步收藏夹。

同时，为什么用SE7不用其他Chromium核心的，原因很简单，用下来就SE7占用小。


题外话说完，下面是IE基础搞基设置：

警告！以下设置会导致基本上所有第三方IE插件无法使用，会给你一个完全不怕插件入侵的安全IE！
警告！以下设置会导致基本上没有任何注册表方式可以修改你的IE主页！
警告！以下设置会导致IE自动清除大量浏览时产生的零食文件以及涉及用户隐私的记录！

首先，IE版本：



在这里，找到Internet选择打开IE设置页面



在常规页面设置你的主页：


勾选“退出时删除浏览历史记录”


在安全页面，每一个区域都勾选上启用保护模式！



隐私页面，调整到中高，再高会影响浏览...


勾选弹出窗口阻止程序，勾选Inprivate时禁用工具栏和扩展（Inprivate模式就是IE的隐私模式，开启该模式不会记录和保存任何在此模式下的浏览记录。“当然，微软到底会不会收集你的隐私，你也不知道，除非，不用微软”）

内容页面，按照图示，123！



连接不用修改什么
在程序页面，如图勾选一下：


这样可以把磁铁的IE关闭掉，直接调用桌面IE，磁铁IE吧，又难用，又难看。。。。

下面是我的搞基页面设置！你们对比下，然后按照个人喜好勾选吧，我反正是这么勾的：
注意！注意我框出来的选择，这些选择我个人觉得很重要！








图片顺序可能有点乱，凑合看吧....后背疼，懒得调整了


------------------------Windows Update----------------------------------------
Windows自动更新自从7开始，就已经和之前版本完全不一样，或者说，我推荐XP之后的系统，都用系统自带的更新来进行更新


但是，说实话，有时候Windows推广的一些更新也是没必要安装的。比如所谓的恶意软件删除工具啊，还有Bing工具栏，Bing缤纷桌面啥的。
于是，我们要设置下Windows Update
如图设置，就可以自选相应的补丁了



注意！如果你安装Office2013后没有首次运行Office2013或者在首次运行的时候没有选择通过Windows Update更新Office2013 那么，在Windows Update中是不会为你推广Office 2013的系统补丁的，鉴于最近收集到好多Office 漏洞利用的病毒，我觉得不更新Office 组建，是一件非常危险的行为！

同时，如果用了修改版本的Office，系统很有可能无法识别你的Office状态，而造成不修补补丁或者补丁检测错误！

所以，还是那句话！请使用原版软件！


---------------------安全中心（Security Center）-----------------------------------------
很多人有从XP时代带来的坏毛病，关闭安全中心。
事实上，从7开始，安全中心越来越好用。

安全中心我觉得说明很清楚，所以我就说明以下几个小地方。

首先，根据我的Windows Update设置之后，安全中心会提示：


点关闭有关纤细就行了，这样就不会提示了

-----------------------疑难解答----------------------------
有时候，我们用Windows Update 会出现更新补丁出问题，失败等
如果反复失败，可以点下面的疑难解答


然后选择：


等进度条走完，一般的Windows Update问题都可以解决。

------------------------恢复选择--------------------
从Windows8.1开始，Windows还原变得越来越屌！
8.1已经可以把系统还原到初始安装的情况了。
所以，XP时代的关闭系统还原的办法，也不再实用
事实上，我建议大家开启C盘的系统还原，系统出问题的时候，这货是个超级急救箱。



----------------------------UAC 用户账户控制 User Account Control--------------------------


这货好多人都喜欢关掉，但是，我想说，在Win8.1下，一个病毒程序如果想能成功执行，那么绕过UAC和EMET，将是重要的要求！
换句话说，我这里很多样本，都过不去UAC，包括百度/金山/瑞星/搜狗的静默包等！

UAC设置如下图：


我用这个设置，基本上没有遇见可以过我UAC的静默包
如果有谁手里有过这个UAC设置的静默包，请提供下。


----------------------------------------蛊哥带你们玩Win 8.1 基础篇（二） 到此结束------------------

HP:危險域君

喜闻乐见的来看悲剧

蛊钺龙彡

HP:危險域君 发表于 2014-5-4 13:07
喜闻乐见的来看悲剧

你要不是正式会员，这帖子写完你估计还进不来。。。

HP:危險域君

蛊钺龙彡 发表于 2014-5-4 13:35
你要不是正式会员，这帖子写完你估计还进不来。。。

么么哒想我素游客？

倾恋三生

好长，慢慢看

バカバカしい

太長了 眼花

蛊钺龙彡

バカバカしい 发表于 2014-5-5 21:26
太長了 眼花

我弄了好久呢

Rosa真紅

把安全设置开高很简单 开高的情况下不影响正常使用就难了
WF WD和EMET都是全自动的 企业每台PC都装一样的软体所以没问题 个人PC也没问题吗？
对EMET我想说
看你说有EMET还需要打补丁就有这个疑问了 EMET是真的封住了0day入侵还是没有被针对
微软的补丁如果不是黑客上报领悬赏的话经常等攻击泛滥了才出 防入侵的安软只能堵已知漏洞还不如不装 XP除外
对WD我想说
开高级会员资格的人胸襟好博大 电脑好干净
对WF我想说
不加WFC一类的软件的话不搞点高级设置或者组策略都不好意思出来混
对UAC我想说
不设置组策略UAC只能娱乐
对死抱着IE的人没有什么好说的

蛊钺龙彡

Rosa真紅 发表于 2014-5-7 13:20
把安全设置开高很简单 开高的情况下不影响正常使用就难了
WF WD和EMET都是全自动的 企业每台PC都装一样的 ...

首先，教程推荐的设置不会影响正常使用，而且在高安全的前提下，最大话去第三方安全软件化。
其次，EMET是干嘛用的，请自行看说明文件或者官网介绍。同时，EMET4.1全球无突破记录。
再者，WD的高级会员说明写的很清楚，请同上一条一样，详细并仔细且耐心的阅读说明和官网说明。
再者，WF本身对于用户来说，放入足够用了，在中国大陆大环境下，放行的软件有几个没有奇葩行为的？如果你想真的做到出口防御完美，那你就要一个一个控件筛选，筛选放行控件和数据包是一个庞大的任务。对于个人来说，基本不可完成。

带驱动的浏览器？锁定主页的办公软件？磁盘底层访问的聊天软件？会一年蓝屏三次的杀毒？莫名其妙安装的杀毒？莫名其妙安装的卫士？莫名其妙出现的播放器？

最后，关于UAC，如果按照你说的，不设置组策略的UAC只能娱乐，那么请提交或私下提供可过UAC的样本，我会测试。
同时，这只是基础篇，组策略之类的不包含在基础篇之内。

至于死抱着IE，那么请你用欧洲发行版本的不包含IE组建的Windows去。捎带着自己学习下在那个版本下有多少东西是无法使用的。

Rosa真紅

蛊钺龙彡 发表于 2014-5-7 14:43
首先，教程推荐的设置不会影响正常使用，而且在高安全的前提下，最大话去第三方安全软件化。
其次，EMET ...

EMET早研究过又放弃了 用的技术不是很特别 最少都有两年历史了
再说你贴出来的文本也写了它能为旧版Windows平台和应用程序（包括第三方应用程序）提供最新的安全方案和技术…………
是Win个人或server新版的功能放到老版上去 剩下的就要看微软的技术支持了 但是微软不见得能做到多好
比微软牛的安全实验室海了去了 别忘Defender最初怎么来的 再说厉害的安软哪个没点特别的功能
出了棱镜门的情况下 微软的承诺也相信 所以说WD开高级的人胸襟好博大
而且WD没交互模式曾经让我吃尽苦头 所以用WD的人使用习惯一定超好
关于WF你仔细看 设置的那个页面是管传入连接的 点上只是在传入连接列表里加上一条 传出连接的限制必须先改组策略配置文件否则只能加一条管一条 而且传入连接的规则我研究过除了艾尔之光不能玩以外 我所知的就是禁了也没事 WFC主要作用就是防火墙传出连接的管理 你想的太复杂了 不是那么难的事
UAC等着你的教程了 不过虽然我也把UAC开最高开核准但是不认为有多大用
第一就和comodo很少开疯狂模式的道理一样 绝对安全不一定是真的绝对安全 有时候反而是不安全
第二就是只要第一次失手了就必须检查启动项尤其是服务和驱动
比如安装软件就是真的小白软件只要写Pro…… Files就必须先弹一个 写注册表要弹 有时候写临时文件也要弹 你不放行吗？ 放行那就好说了 以后无论做什么都不用弹了
如果是不需要安装的软件用UAC真还不如用sandboxie
第三UAC不是万能的 Win8在CP还是RP版的时候就有好心的黑客爆出一个过UAC的方法 因为比较实际的原因现在想找也难了 就算补上了你能说肯定没有第二个吗？ 公告里语焉不详的本地提权漏洞有多少是过UAC的你知道吗？
我说别死抱着IE不是说彻底拒绝IE 你的逻辑性很强就是从一个极端跳到另一个极端上去