2009/04/04

更改 NTFS 使用權限來預防病毒

由於大部分的病毒都是針對 windows 系統核心做攻擊,再加上 TSOD 使用 guest 帳號來防隨身碟病毒 (如同 Linux),所以我試著修改 windows 目錄的權限來預防病毒修改資料。Windows 群組大致如下:
  • Administrators:擁有所有權限
  • Power Users:擁有大部分的系統權限
  • Users:一般使用者,可以使用但不能安裝應用程式
  • Guest:唯讀......
我的方法是將帳號分為管理員及一般使用者,一般使用者雖然也是 Administrators 但特別針對該帳號設定 windows 目錄的權限。這個方法目前對 kavo 與 notepad 病毒有效,但仍有下面幾個缺點:
  • 病毒仍然可以修改登陸檔 (但因執行檔無法寫入 system32 無影響)
  • 無法使用一般帳號做 windows update
  • 一旦忘記管理員帳號的密碼就只好 say goodbye
  • 若超過二個使用者帳號,會設定的很累..... XD
如果看到這邊還有興趣,再來看看是如何做設定的吧。

設定步驟大致如下:
  1. 移除 administrators 在 windows 目錄下的權限 
  2. 新增管理員在 windows 目錄下的權限
  3. 新增一般使用者在 windows 目錄下的權限為 read only
  4. 將 windows 目錄下的所有檔案擁有者改為「管理員」
要修改權限時,先在 windows 資料夾上點滑鼠右鍵選擇「內容」,並切換到「安全性」頁籤,我們要做的修改較為複雜,請點選該頁籤底下的「進階」選項。



第一步是因為 administrators 在 windows 目錄預設擁有完全存取的權限,管理員和一般使用者都屬於該群組 (我忘記當初為什麼沒有使用 power users),所以有了這條規則,即使另外設定某帳號唯讀也沒有用。

一般使用者權限的選項繁多,這邊設定的除了所有的讀取選項外,另外加一個「周遊資料夾、執行檔案」(周遊是啥?)。在按下「確定」時,別忘記選擇將規則套用至檔案以及子目錄。



最後一步,也是最容易忘記的一步,將所有檔案、目錄的擁有者設定成「管理員」帳號,子目錄下的檔案也要一起修改。



我的測試機上只有二個帳號,權限設定完成後,整個設定大致如下:



上圖中的第一個「administrator」是使用者不是群組,請不要看錯。真不知道為什麼他們喜歡玩文字遊戲.....(英文單數、複數)

權限設定好之後,請記得管理員的密碼,不然密碼忘了就沒辦法對系統做任何修正與更新,到最後可能只好格式化重灌。

8 則留言:

  1. 「周遊」該不會是「explorer」吧 @_@a

    回覆刪除
  2. 早點睡黑@@

    回覆刪除
  3. 多謝關心,不過我認不出你是哪為 @_@a

    回覆刪除
  4. 這方式我做過了! 我還是用另一個OS做權限的鎖定
    旦對於新型病毒這方法整個是無效的

    回覆刪除
  5. 感謝指點!
    看來要另外想解決辦法哩

    回覆刪除
  6. 「bsp.cmd」隨身碟病毒防禦成功 XD

    回覆刪除
  7. 不愧是日落大大,估狗怎麼搜都會搜到這裡XD

    回覆刪除
  8. 阿栽
    聽說昨天有人搜尋 zero 找到 Google Profile ... Orz

    回覆刪除