让流氓软件无处耍流氓

作为网络管理员的我们，一定都有这样的体会：实际工作中，绝大多数时间都从事着桌面技术支持的角色，特别是在流氓软件泛滥的今天。近日笔者就遭受到了这样的困扰，先是个别同事因为擅自下载、安装软件而感染了流氓软件，接下来又因为U盘的广泛使用等原因造成了局域网内流氓软件的大规模爆发。

客户端的流氓软件清理工作花费了很多心力，在抱怨的同时也有着些许无奈。为了防止类似的事件再次发生，不得不重新规划内网客户端的管理问题，从而能够最大程度地预防流氓软件，让自己省心更省力。

权限最小化

感染流氓软件的主要途径还是随意安装软件所引起的，因为用户对流氓软件的认知度不够，对网上下载的资源辨别能力不强，从网上下载到捆绑有流氓软件的资源时，一旦执行了相应的程序，流氓软件便进了系统。为了更好地防范，首要的任务便是阻止流氓软件被安装、执行，这时“组”便派上用场了。

Windows内部已经内置了不同的用户组别，分别拥有不同的权限，其中User组用户只具有基本的运行程序的权限，不能进行有意或无意的变更甚至程序的安装，因此将用户所使用的账户添加到User组是个不错的方法。

右键单击“我的电脑”，在弹出的快捷菜单中选择“管理”，依次定位到系统工具本地用户和组组，双击右侧的Users组，在打开的Users属性对话框中，单击“添加”按钮，将客户端使用的账户添加进来（如图1）。

给账户划分了用户组，客户端登录后便只有很小的权限了，所以对系统所能造成的危害也就更小了，从而保证系统更加安全。

小提示：采用以上方法要保证在“Administrators”组中没有“everyone”项。如果局域网采用域管理，要保证在Administrators组中没有Domain Users项，并且无需在Users组中进行添加需要登录的域账户，采用域账户登录后，默认情况下就是Users组的权限。

利用Users组的受限性来限制用户对电脑操作的随意性，在一定程度上让系统更加安全了，不过一些较厉害的流氓软件，还是有办法突破的，这时我们可以在Users组的基础上再加一层防护层――只运行许可的Windows应用程序。

运行“组策略”编辑器，依次定位到用户配置管理模板系统，双击右侧的“只运行许可的Windows应用程序”，在打开的“只运行许可的Windows应用程序属性”对话框中，选择“已启用”项，单击下方的“显示”按钮，在打开的显示内容对话框中单击“添加”按钮，依次添加只允许运行的应用程序名称（如图2）。

小提示：

1．在“允许的应用程序列表”中，一定要添加上“mmc．exe”和“gpedit．msc”这两项，否则会造成管理员账户也不能运行组策略编辑器，从而为日后的系统使用增添麻烦。

2．如果在允许的应用程序列表中忘记添加“mmc．exe”和“gpedit．msc”这两项，则需要重新启动计算机进入带命令行提示的安全模式，然后在命令行状态下运行“mmc．exe”，然后再添加组策略对象编辑器管理单元，为组策略解锁。

注册表设“限”

上面的方法虽然安全，但在实际工作中，并不是所有的用户都能添加到Users组的，毕竟添加到Users组后，系统的限制太多，在日常使用中有着诸多的不便，个别特殊用户特别是公司领导就不能使用上面的方法了，但领导的电脑更为重要，一旦感染流氓软件，影响更大。这时我们可以对注册表中的一些主键设置权限，从而阻止流氓软件的入侵。

大家都知道，流氓软件入侵最主要的就是利用了注册表中的启动项以及系统加载项等相关键位，只要将这些主键的完全控制权限全部去除，这时即可解决流氓软件入侵的问题。

运行注册表编辑器，找到相关的主键，右键单击，在弹出的快捷菜单中选择权限，在打开的对话框中，单击下方的高级按钮，在打开的“高级安全设置”对话框中，选择相应的账户，单击“编辑”按钮，在打开的权限项目对话框中，将“创建子项”及“设置数值”两项权限设置为“拒绝”，单击确定按钮返回。

小提示：需系统启动的Shell加载项是病毒经常利用的一个地方，所以这里的权限也要一起设置，注册表中具体的位置为“HKEY＿LOCAL＿MACHINE＼ SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Winlogon”。

看好脆弱的IE

笔者曾遇到过一个很厉害的流氓软件，利用IE主程序在后台自动下载其他的流氓软件到系统中，并且多个流氓软件之间相互监听，查杀起来非常麻烦。如果用户对IE的依赖性不是特别强的话，可以使用Maxthon、Theworld一类的第三方浏览器，然后将IE所在的文件夹权限锁定，这样利用IE的流氓软件也就无从下手了。

将“C:\Program Files\Internet Explorer”目录的所有账户的所有权限均设置为拒绝，不用担心权限设置之后Maxthon一类基于IE核心的浏览器无法使用，经过测试，将IE所在的文件夹权限锁死之后，不会影响基于IE核心的第三方浏览器使用。

小提示：设置文件夹的权限，要求系统所在分区为NTFS格式才可以，如果分区格式不是NTFS格式，可使用Convert命令进行转换，具体转换命令为“convert C?押 ／FS?押NTFS”，其中C?押为系统盘所在分区的盘符。

看了上面这些，可能有人会说，除了主动下载、安装软件被感染流氓软件外，很多流氓软件都是通过恶意网站页面中的脚本程序自动下载的，这样“免疫”就成了主要的防御手段了。由于恶意网站不断变化，所以这里推荐使用各种流氓软件专杀工具进行免疫。

流氓软件发展太快，而我们可以“以不变应万变”的策略来阻止流氓软件的入侵，但是与流氓软件的较量从未停止过，上面的方法都是单独说明的，在实际使用中，可以结合自己的实际情况，灵活使用，从而最大程度地将流氓软件拒之于系统的门外，让系统安全更长久。

链接：流氓软件清除工具介绍

1． 超级兔子魔法设置

超级兔子魔法设置是一款强大的系统清理设置工具。上网精灵就是超级兔子的系列产品，可以完美拦截各种弹出、漂浮或iCast广告，可全面查杀有害代码，清除恶意插件。

2． 流氓软件清理助手

流氓软件清理助手可以轻松清理包括DUDU下载加载器、网络猪、3721上网助手等在内的15个强制安装或难以卸载的软件。它本身是绿色软件，无需安装。

3． 360安全卫士

360 安全卫士具有查杀恶意软件、各种插件，修复IE浏览器、系统漏洞、LSP连接，进行系统诊断等功能。

4． 完美卸载

完美卸载的软件卸载功现在能提供近四百种流氓软件及插件的清除，是目前国内清理数量最多的软件卸载工具。