由於大部分的病毒都是針對 windows 系統核心做攻擊,再加上 TSOD 使用 guest 帳號來防隨身碟病毒 (如同 Linux),所以我試著修改 windows 目錄的權限來預防病毒修改資料。Windows 群組大致如下:
- Administrators:擁有所有權限
- Power Users:擁有大部分的系統權限
- Users:一般使用者,可以使用但不能安裝應用程式
- Guest:唯讀……
我的方法是將帳號分為管理員及一般使用者,一般使用者雖然也是 Administrators 但特別針對該帳號設定 windows 目錄的權限。這個方法目前對 kavo 與 notepad 病毒有效,但仍有下面幾個缺點:
- 病毒仍然可以修改登陸檔 (但因執行檔無法寫入 system32 無影響)
- 無法使用一般帳號做 windows update
- 一旦忘記管理員帳號的密碼就只好 say goodbye
- 若超過二個使用者帳號,會設定的很累….. XD
如果看到這邊還有興趣,再來看看是如何做設定的吧。
- 移除 administrators 在 windows 目錄下的權限
- 新增管理員在 windows 目錄下的權限
- 新增一般使用者在 windows 目錄下的權限為 read only
- 將 windows 目錄下的所有檔案擁有者改為「管理員」
要修改權限時,先在 windows 資料夾上點滑鼠右鍵選擇「內容」,並切換到「安全性」頁籤,我們要做的修改較為複雜,請點選該頁籤底下的「進階」選項。
第一步是因為 administrators 在 windows 目錄預設擁有完全存取的權限,管理員和一般使用者都屬於該群組 (我忘記當初為什麼沒有使用 power users),所以有了這條規則,即使另外設定某帳號唯讀也沒有用。
一般使用者權限的選項繁多,這邊設定的除了所有的讀取選項外,另外加一個「周遊資料夾、執行檔案」(周遊是啥?)。在按下「確定」時,別忘記選擇將規則套用至檔案以及子目錄。
最後一步,也是最容易忘記的一步,將所有檔案、目錄的擁有者設定成「管理員」帳號,子目錄下的檔案也要一起修改。
我的測試機上只有二個帳號,權限設定完成後,整個設定大致如下:
上圖中的第一個「administrator」是使用者不是群組,請不要看錯。真不知道為什麼他們喜歡玩文字遊戲…..(英文單數、複數)
權限設定好之後,請記得管理員的密碼,不然密碼忘了就沒辦法對系統做任何修正與更新,到最後可能只好格式化重灌。