win8.1安装 安全设置技巧

果断升级win8.1 （完成以下所有设置后，重启电脑，删除老的还原点，重新建立新的还原点） 系统安全：win8.1自带MSE 防火墙ZoneAlarm Free Firewall（英文免费）清理软件：AGV PC TuneUp win7旗舰版抱着尝试的心态升级成win8.1，硬件配置:奔4 单核3.0G CPU, 内存2G，独立显卡512M。 呵呵，运行流畅，好过win7，兼容性没已问啦！ 安装win8.1其实很简单，备份好自己的资料，下载好专业版，直接硬盘启动安装，不需要什么设置，直接默认C盘安装的；破解就别费力气了，网购一个就好了！ Win8.1启动完成 点击“桌面”进入 右键“个性化”——更改桌面图标——选择需要的打钩，应用，确定！ 哈哈！和XP、win7桌面都差不多，视觉效果更舒服！ 先别急着装硬件驱动哦！ 接下来要做的就是激活，你购买注册号时，商家会教你！ 激活后要做的就是：控制面板——恢复——配置系统还原——在打开的窗口输入日期啥的，直接创建。 这步很重要哦，否则安装硬件驱动出现“自动修复”时就得重装（千万不能省），自动修复基本上没修复过！ 在这里应该选：疑难解答——高级选项——系统还原，就能看到前面创建的还原点，几分钟就恢复正常了。 硬件驱动的安装： 这台电脑——管理——设备管理器 有黄色问号的右键“属性”——更新驱动软件，更新后，有不能找到驱动的先不管，左下角右键重启， 控制面板——恢复——配置系统还原—— ， 重新：控制面板——恢复——配置系统还原——在打开的窗口输入日期啥的，直接创建。 完后下载“驱动人生”，安装到D盘，但不要所有的都更新，只选择有未安装的硬件驱动安装，结束后，重启电脑！ 所有问号都解决了！ 这时候就安装防护软件了，系统已经自带MSE，所以只需要安装个防火墙就好了，推荐ZoneAlarm Free Firewall（免费），安装时需要输入自己的邮箱就行了，有软件第一次运行时，会跳出窗口，点击左边的有 Allow 的键允许通过。虽是英文的，会点AllOW就行了。 AppLocker 给Win8.1加把安全锁 在Win8.1当中，利用系统自带的AppLocker功能进一步提升系统安全性，做到既不影响平时的正常操作，又可以有效防范恶意程序的运行! 启用AppLocker 别忘记运行服务 用鼠标右键点击：这台计算机——管理——（右边）服务和应用程序——服务，找到“Application Identity”服务并设为自动、启动。这一步非常重要，因为只有设置为自动启动才能使AppLocker生效。 按win+R在搜索框中输入“gpedit.msc”启动组策略编辑器。 依次展开“计算机配置——Windows设置——安全设置——应用程序控制策略——AppLocker。这个设置项目下面，可以看到“可执行规则”、“Windows安装程序规则”和“脚本规则”三种类型，点击每一个规则，就可以根据自己的需要，在右面创建相应的操作规则。 ▲组策略编辑器 提示：第一次使用AppLocker，配置完成后必须重新启动电脑才能使策略生效。 在“可执行程序规则”、“安装程序规则”、“脚本规则”上分别右键，创建默认规则，即可。 大部份人的程序都不装在C:\ProgramFiles\*下，怎么办? 在“可执行程序规则”、“脚本规则”，分别右键→新建规则，选择允许或拒绝，用户保持默认的Everyone(即任意用户)→下一步，路径处浏览到你文件夹，只需一条规则就搞定，比如d:\ProgramFiles\*)→创建。 第一次使用AppLocker，设置完以上后，必须重启机器(注销不行)，才能使策略生效。 大功告成，现在用IE上任意挂马网站，双击任意病毒吧，只要不要把病毒放在以上所允许过的路径就可以。 让闪存病毒无计可施，平时我们经常要用到闪存，利用它传输或共享一些文件。可是现在闪存病毒十分猖獗，也常常导致我们的系统反复中毒。这时我们就可以利用AppLocker创建一条相应的规则，避免闪存病毒对系统的入侵破坏。闪存病毒传播的一个关键文件就是“AutoRun.inf”，所以只需要禁止这个文件的运行就可以了。 在左侧窗口列表中选中“脚本规则”，然后在右侧窗口单击鼠标右键选择“创建新规则”命令，这时系统就会弹出“创建脚本规则”的窗口。在窗口的“操作”中选择“拒绝”，然后在“用户或组”里面选择“Everyone”，再点击“下一步”按钮。接着在窗口的创建条件中选择“路径”选项，接着点击“下一步”。然后在“路径”框中输入 ?:\AutoRun.inf 点击“创建”按钮完成规则的创建。现在再插上闪存，就不会因为闪存的自动运行而中毒了。 Applocker使得企业IT管理员可以非常方便的配置用户可以在计算机上运行哪些应用：包括程序，安装文件与脚本。还可以通过公司名来限制某个公司的产品运行，比如限制tencent公司的应用程序，那么qq，qqgame等等，都不能够被运行。 一、疑问：网马复制自已到系统目录?没有可能。在UAC开启的状态下，当前用户及其所运行的程序，不能读取HIPS中所谓的AD行为中的底层磁盘，不能除USER外的注册表项，不可写除USER目录外的系统盘，可以说，UAC就是一个规则严密的HIPS。 二、疑问：我有一些不常用的绿色软件比如注册机，MD5验证程序等，不是放在程序安装目录，我也没有在AppLocker中创建过允许规则，那我想用它时会不会很麻烦?是：一点也不麻烦，右键以管理员运行就可以了。 点评：AppLocker很多用户都不了解它的功能，甚至不知道它的存在。其实灵活运用AppLocker，可以有效管理用户如何运行所有类型的应用程序文件，包括可执行文件、脚本文件、程序安装文件和动态链接库文件等，并可以很好地保护系统文件安全，不怕未知病毒的破坏。此外，灵活利用AppLocker的规则组合还可以实现更多的功能。例如只允许拥有一定权限的用户运行某一个程序，只允许某个用户运行某个目录下的某几款软件或者现有软件等。 ▲创建脚本规则 提示：根据上面的设置，闪存和光盘的自动运行功能都将被禁用，如果你只想禁用闪存的自动运行功能，只需要指定闪存的盘符即可。此外，AppLocker除了可以设置文件或文件夹的绝对路径以外，还可以使用文件或文件夹的相对路径或系统变量。比如“%WINDIR%”代表操作系统目录的位置，而“%TEMP%”则代表当前系统默认的临时目录。 进阶应用 保护系统文件安全 现在的计算机病毒可是无孔不入，就算自己再小心谨慎也可能中招。而很多病毒都利用Windows对自己目录当中的文件的“过分信任”来运行或感染系统文件，所以我们可以编写一条规则，禁止病毒的可执行文件在系统目录中运行。原理很简单，只需要禁止Windows目录当中除系统的可执行文件以外的其他程序文件即可。 同样，还是在右侧窗口中创建一条新的可执行规则。首先在窗口的“操作”中选择“拒绝”，在“用户或组”里面选择“Everyone”，点击“下一步”按钮，在窗口的创建条件中选择“路径”选项，接着在“路径”框中输入 %WINDIR%\*.exe ，然后在“例外”窗口中选择“发布者”并点击“添加”按钮，在弹出的窗口里面点击“浏览”按钮。从弹出的窗口中随意选择一款微软的程序文件，再将滑块移动到“发布者”这个位置上(如图3所示)，然后点击窗口中的“确定”按钮，确认刚才的相关设置就可以了。这时在“例外”列表中就可以看到发布者的相关信息，最后直接点击“创建”按钮完成规则的创建。 ▲创建可执行规则 提示：由于已经将微软作为发布者的例外情况，因此系统目录当中所有系统自带的软件都可以正常运行，而病毒或木马即便“潜入”了系统目录也无法运行，当然也就无法窜改系统文件，也就不能危害系统和用户的信息安全。同时，规则当中的路径或文件名称还可以使用通配符，这样可以很方便地对某一类文件进行设置，例如“?:\*.exe”，就表示任何目录下的任何可执行文件，“D:\*”就表示D盘下的任何文件。不过该操作有一定的电脑基础，新手慎用! 扩展应用 限制已知程序运行 其实AppLocker除了具有病毒主动防御功能外，还可以用来限制已知程序软件的运行! 例如需要限制孩子运行某一款游戏，就可以通过AppLocker创建规则，阻止游戏的运行。如果游戏不需要安装，那么利用“路径”来判断，显然就无法避免出现孩子将游戏移动到其他目录就可以运行的问题，不过没关系，只要创建“文件哈希”类型的规则即可。这样不论游戏移动到什么位置，规则只要发现文件哈希是一样的值，就会毫不留情地阻止其运行。 此外，我们的电脑当中都会存放一些重要的文件，为了防止他人随意修改，就可以用AppLocker创建规则将这些文件保护起来。非常简单，只需要暂时禁用打开这些文件的软件程序即可。 通过前面的介绍我们可以了解到，利用AppLocker可以很好地保护系统文件，从而避免计算机病毒对系统文件造成损害。只要系统文件完好无损，即便病毒感染了某些应用程序也无法影响系统的正常运行，在这样的情况下，利用杀毒软件就可以将病毒轻松搞定。怎么样？赶紧试试看吧! AppLocker Q & A 问：如果我的主要程序没有安装在系统目录，但又想给它们也加上保护怎么办? 答：很简单，创建规则，将你的程序或程序安装目录添加进来，然后在“拒绝”的“例外”列表当中根据需要进行具体的设置即可。 问：一些软件没有在允许的目录当中，或者不在例外的列表当中该怎么办? 答：同样很简单，用鼠标右键点击并以管理员身份运行即可。 问：一些软件自身需要一些文件的写权限，或者会产生新的文件(例如下载)，怎么办? 答：赋予相关目录和文件“Authenticated Users”用户完全控制权限即可。 Applocker的关键特点： 方便高效，例如您可以轻松配置一个程序高于其某个版本都能运行，对于IT人员来说，这可以节省大量的策略维护时间。利用AppLocker管理员可以非常方便地进行配置，以实现用户可在计算机上可运行哪些程序、安装哪些文件、运行哪些脚本。由于AppLocker是基于组策略管理和配置的，因此我们可以非常方便地将其部署到整个网络环境中，可谓一劳永逸。 Applocker 更多常见问题 问：我可以实机运行一些病毒样本吗? 答：完全可以，只需像下面这样设置，病毒就只能修改用户临时目录USER了。 非系统盘，右键，属性，安全，编辑，把Authenticated Users用户组的修改、写入、完全控制、特殊权限等去掉勾，只保留读取和执行。 这样，你可以运行任意一个不需要提权(UAC没有提示)的毒，但是毒无法破坏系统，也无法删改你的重要资料。 注意，不要随便对陌生程序提权，除非你完全确信这个软件安全。 问：我用迅雷下载文件到D盘，但无法保存，怎么办? 答：没关系，新建一个目录专门用来下载东西，该目录给予Authenticated Users修改、写入、完全控制就可以了。 记得下载完转移到安全目录。 其他问题同理，比如有的人把电驴的配置文件放到电驴安装目录下，电驴需要写自身目录，怎么办? 请对电驴的配置目录config及电驴安装根目录前几个DAT及INI文件允许Authenticated Users修改、写入、完全控制就可以了。 问：我复制一个文件到D盘是不是也无法复制? 答：可以复制。不过复制前UAC会有一个提示，允许，确定，即可。 也许有人问：火狐能够进行升级吗?它不是不能修改自身目录?答案是可以升级，因为在升级前，UAC会提示，允许，确定，即可。 如果你不经常安装软件，一个月只装一两个软件，你还可以： 先安装好你的常用软件。 开始菜单，运行，输入：gpedit.msc,回车。 展开：本地计算机策略——计算机配置——WINDOWS设置——安全设置——本地策略——安全选项，在右面找到：用户帐户控制(只提升签名并验证的可执行文件)，选中“已启用”(默认是已禁用)，应用，确定，重启或注销。   这样：你能正常运行你的常用软件，就算是运行了一个提权的病毒也没有事了，因为它根本提不了权。