为阿妈打造安全电脑

杏林小草

妇女节到了，看到卡饭们纷纷发帖为阿妈们挑选杀软，小草煞是感动。其实，小草春节回家的一项重要任务就是为阿妈打造一台安全电脑，当时也把心得记下，不过，春节假期结束后一直没时间编辑、张贴。现在就借妇女节，以我妈为例，整理成文发在卡饭里吧。
    兵法云：“知己知彼，百战百胜”，定制安全的系统，首先要了解用户的习惯和目的，然后，分析在这些习惯容易遇到哪些安全威胁。
    我妈是半个电脑白痴，好不容易才学会用鼠标点开桌面的图标、浏览网页和上网看行情。小草归纳了她的电脑行为：
       1.上网炒股
       2.下载歌曲、电影
       3.浏览网页
       4.家中可能有小破孩来访，淘气鬼们可能会用电脑。
    阿妈电脑的最大共同点是，阿妈们甚少安装新软件，这就决定了可将系统还原作为核心的安全方法。
   可能遇到的安全威胁：
       1.恶意软件(病毒、木马、蠕虫、后门、垃圾软件等)
       2.阿妈或小破孩无意或恶意破坏系统文件
   明白任务后，我们就要对症下药。

一、操作系统及应用软件
   1.Linux vs Windows？
    总体而言，Linux的安全性优于Windows。目前大多数恶意软件主要针对Windows平台；Linux具备优秀的用户权限管理，可以保证阿妈在有限的权限下运行她的软件，还可最大程度地防止误操作伤及系统。但是，Linux最大的缺点在于了解它的人不多。一旦电脑出故障，阿妈只能求助于周围的朋友----而小草的叔伯姨婶们都是用windows的，毕竟Windows才是桌面操作系统的主流。再加上小草老家小镇上没几个计算机高手，所以，从取得“技术支持”的角度上讲，应该选择Windows。鉴于XP的成熟性，小草选定XP。
    2.分区。
    分区方案要配合具体的安全部署，一般的原则是系统盘和数据盘分开。小草的部署(后述)决定了分区方案是C:系统盘、D:应用程序盘、E:数据盘、F:Ghost备份盘(此分区是隐藏的)。所有的分区都取NTFS格式，原因之一是NTFS为日志式文件系统，比较抗掉电，异常关机不至于造成磁盘逻辑错误。
    3.安装操作系统、打补丁。
    4.安装应用软件。
    注意设置各应用软件的数据储存目录。例如，FlashGet的默认下载目录是“E:\下载”。
    5.用户权限 管理员 vs 普通用户？
    从计算机安全的角度讲，需要坚持“最小特权”原则；从方便的角度讲，权限越大越方便。几经考量，最后还是倾向于最大的方便，所以给了管理员权限。
    6.密码和自动登录
    无论如何，管理员密码不能空，需要设置一个强密码，以保证计算机不受远程连接攻击；然后辅以本地自动登录，免去阿妈记密码的麻烦。实现自动登录的方法有很多，小草用的是命令“rundll32 netplwiz.dll,UsersRunDll”，在弹出的界面中去掉“用户必须输入账号和密码登陆”。
    7.将不必要的服务由自动改为手动。
    8.在组策略中禁止全部帐户远程登录。

二、安全软件方案
    1.总体规划
    小草的基本方案是系统自动还原+杀软+防火墙。系统自动还原解决了无意或恶意破坏系统文件的问题，杀软则防止类似机器狗(一种破坏系统自动还原的恶意程序)的东东，防火墙的作用显而易见，就不多说了。
    系统自动还原软件有很多，小草选择了一款免费的，不过，它没有“洞穿”功能，选定保护的分区后，无法设置不还原该分区下的某个目录。因此，杀软需要安装到应用程序盘，以防止升级的病毒库被还原掉。
    防火墙的重要性不用说了，小草选用XP自带墙。
    2.杀软
    杀软怎么选？要考虑如下因素：
       ①key容易得到；
       ②中文、易用；
       ③防毒效果好。
    根据第一条，可以排除很多D版的杀软。用D版最大的不好就是经常换key。杀软经常要上网更新病毒库，所以，杀软厂商最容易利用key验证的方法打击盗版。阿妈可不会上论坛找key，因此，不要用D版产品。小草选择了免费杀软。
    免费杀软有很多，选谁呢？小红伞第一个被淘汰，因为阿妈“目不识ABC”。小草选择了Avast，经测试，发现Avast作为阿妈首选杀软有如下特点：
       ①免费正版，key有效期一年。遗憾的是，它不像小红伞那样会自动续约，但是只要再次申请，key很快就到。小草是春节假期给阿妈装的，下个春节回家，正好帮阿妈换key。就算届时没空回家，把key发短信给阿妈亦可。
       ②中文界面，简洁易懂。
       ③具有静默模式，选择好默认的处理方式后，监控、升级可以静悄悄地进行，免得阿妈看到警告窗口后不知所措。这是小草最看重的一点。
       ④杀毒效果公认的好，不多说了。
       ⑤具有屏保杀毒功能，它自带一个屏保程序，当这个屏保启动时可以扫描指定的目录。将自动还原没有保护的目录全部进行屏保扫描，又增加了安全性。顺便提醒一下，帐户是采用强密码保护的，所以千万不要不要勾选屏保的密码项，免得阿妈退出屏保后无法登录。
    3.安全软件的配置。诸如启发式开到最大，防火墙开放IE、炒股软件访问互联网等，不赘述。附注，可以去掉Avast界面开启时的扫描记忆体功能，以便加快速度。小草认为，在这样的布防下，无需该功能。
    4.测试一切运行妥当，开启系统还原。
    5.设置一键还原，将备份的Ghost文件再备份到移动硬盘或者刻碟保存。

三、Q & A  (欢迎跟帖质疑)
    Q1：自动还原会不会影响Avast主程序的升级？
    A1：经小草实测，Avast将其毒库及扫描器、GUI程序都放置在安装目录中，只要安装目录不会自动还原，就不会受影响。需要注意的是，大部分杀软的监控功能借助过滤型驱动实现，需要在windows的系统目录中安装驱动程序。杀软升级最频繁的部件是毒库，其次是扫描器，驱动很少升级，所以，小草不太担心这个问题。

  
Q2：Avast会不会误报率高？
    A2：Avast是否容易误报，小草不敢评论，因为小草给阿妈用Avast，自已却用Antivir。退一步说，就算Avast容易误报，小草认为，也不会妨碍它在本例的应用。理由是：阿妈的电脑很少频繁地安装软件，更多的是利用已经装好的软件进行数据处理，而杀软很少会误报数据文件的。再加上Avast独特的静默模式，不会频繁跳框吓唬阿妈。众多免费杀软中，小草认为Avast家庭版的免费是最真心实意的。对比一下Antivir、Avast、AVG这三款小草用过的免费杀软，Antivir很优秀，但迟迟不出中文版，难倒很多用户；AVG无法设置自动处理，每次都弹框，很烦人；而Avast的家庭版虽然免费，但其功能非常强大、完善、实用，界面也漂亮，还有中文版，真是贴心的大馅饼。所以，小草虽自己不用Avast，但经常推荐普通用户使用Avast，而且，每次帮别人申请key的时候，小草都要花上几分钟，在申请页面上用热情洋溢的语言赞颂Avast团队，鼓励他们继续提供免费、实用的Avast。小草也希望受惠于Avast的用户们，当您在Avast主页上申请key的时候，不妨多写两句感谢的话，在精神上支持一下开发团队，支持的人多了，Avast会继续延续免费的政策。
    附带解释一下，为何小草自己不用Avast，最主要的原因是嫌它的界面太豪华，占资源。对操作系统和安全软件这类不能缺少的底层软件，小草一向的观点是开发者要珍惜用户的资源。所以，小草选择了朴素的Antivir和高度可定制的Linux，抛弃华丽的Vista和Avast。                                                                                                                                                                                       

四、有待改进之处
    至此，阿妈专用的安全电脑制作完毕。聪明的读者可能会发现本方案的一个明显不足----既然Avast安装在没有自动还原保护的D盘，那么谁来保护Avast？这是小草的疏忽，读者可以加装一个简单的HIPS进行保护，让系统安全更上一层楼。

    谨借卡饭一角，向天下的母亲们问好！
    感谢Avast团队制作了如此优秀的软件，并且慷慨地供家庭用户免费使用。不用说，社区的投票，小草投给Avast。

杏林小草

于 中山医科大学

[ 本帖最后由 杏林小草 于 2008-3-10 20:21 编辑 ]

想念天堂

呵呵，小A的却是非常适用的，不过上网炒股的话，还是再多设定一个好点的防火墙好一点，设定好规则，呵呵

qqcxmz

小A的用户还挺多

hzj27

wo ye 觉得长辈用不错

small1981

我发现小A常常误报。

opensharp

老爸也想配电脑了，进来借鉴一下楼主的经验！

sareny

孝顺！

有必要学习

fsr717af

还炒股啊 我妈妈不会电脑  一点也不会
有空要教教她

shery0000

很值得借鉴

jeter

上网炒股，防火墙安装不当反而影响交易。