一、方案思路
该方法主要是通过WINDOWS系统提供的用户权限管理分配机制使用不完整权限帐户,再配合其他帐户启动程序的方式来规避一些恶意程序所带来的风险,并配合用户帐户管理机制清除受到影响的帐户,以达到系统内核的安全目的。
二、具体实施步骤
1、准备工作
在操作系统安装完成后,作的第一件事就是使用超级管理员账户安装一切所需要的安全软件和应用软件等需要使用的软件。并对保存在计算机中的软件、文档等资源进行一次全面的病毒扫描,以保证计算机是可靠并且安全的。
2、分配用户权限
从前面的思路中大家都了解到了,这套方案主要是通过对用户权限设置来完成了,在第一步中我们已经使用管理员安装好了需要使用的软件,为了防止管理员账户成为方案的薄弱点被盗用,这里首先对管理员账户名称进行修改,不使用初始用户名,同时设置密码,这个密码能多复杂就多复杂,并且请用户记录好,以备日后操作使用。当然,如果能多设置一个管理员账户并作好安全工作就更好了,避免自己被恶意程序锁在门外。
做好管理员账户的工作后,开始对日常使用的账户进行设置。首先创建2个权限为USER级别的账户,为了安全还是应该设置密码。这里假定两个账户为“boy”和“girl”使用管理员账户对USER组的NTFS权限进行设置,将系统分区中的权限设定为只读,其他分区的权限可以不做限制,有必要的话将程序目录也设置为只读。使用时,不使用管理员账户和girl账户,只使用boy。并且在使用前对程序进行设置用“其他身份运行程序”并输入girl的用户名和密码,这么作的目的是使用非活动用户运行程序,目前大多数恶意程序对非活动用户的破坏都还不起作用或者说是效果不明显。即使感染也是girl帐户感染,暂时不会波及到boy用户,对用户的电脑损伤就不大。
3、发现中招后的处理
而在这个时候如果发现计算机状态异常,用户就可以再次利用帐户管理系统对girl帐户进行管理操作,删除该帐户并重新建立一个新用户,windows系统这方面做的还是比较完善,删除用户的时候会要求将用户关联的所有文件夹包括文件删除,这样就可以将被感染的文件清除。重新再创建一个用户并按照文章前面写的一样操作,就还给你了一个整洁干净的操作系统。如果实在不能恢复我们之前还备份了一套操作系统还恢复。其实这个方案在VISTA系统中已经使用了这个概念,通常情况下运行的程序已经被限制了权限,在需要使用管理员权限的时候即便用户使用的是管理员帐户也会要求用户对该操作授权。
三、方案的好处和不足
至于坏处就是对病毒等一些更强大的破坏性程序防备有不足,有可能放过一些病毒程序进驻系统造成一些安全隐患。一些程序权限分配混乱的程序有不能运行的可能,对系统权限分配要有一定的认识,否则可能导致计算机应用软件无法正常使用的情况发生。
四、针对不足的辅助方法
1、考虑使用安全性能更高的计算机安全产品。
2、更多的了解WINDOWS用户权限管理控制解决方案。
3、更多的了解NTFS分区格式的安全应用方案。
4、养成良好的计算机使用习惯,不访问来源不明的网址,不运行来源不明的软件程序。
5、关注计算机使用安全信息,保证计算机系统是最新状态。
6、及时更新计算机系统补丁,报纸计算机为最佳状态。
7、备份好计算机操作系统,以做到及时恢复计算机的正常使用状态。