打造DIY防火墙 将病毒黑客拒之门外

随着Internet的扩展，电脑病毒、流氓软件、黑客纷至沓来……对于一个普通的电脑用户来说，如何能保证自己的电脑不受侵害，可以放心地进行网上冲浪呢？也许你并不太了解电脑技术，身边也没有高手来随时救急，那么，现在我就根据我已有的经验教大家打造一个超级DIY（Do it yourself,即：自己做）“防火墙”。

第一道防线：专业杀防毒厂商的软件防线。对.于电脑用户来说，自己的专业杀毒水平距离专业杀防毒厂商的技术还差得多，因此我们需要找一款值得信赖的杀防毒软件来帮助自己。例如，瑞星杀毒软件、个人防火墙和卡卡上网助手（集杀位置病毒和流氓软件、优化加速、隐私保护、恶意防护、进程和启动项管理、诊断求助功能于一身），瑞星在其2008版中还加入了主动防御、安检、自我保护.等新功能，而且也逐渐走向世界，可以说是不错的选择。当然，还有KV、金山毒霸等等也不错。

第二道防线：注册表防线。

0.打开“注册表编辑器”：[开始]-[运行]，键入：regedit.exe,单击“确定”按钮。

1.隐藏上机用户登录的名字：在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon目录下，在右边的窗口中新建字符串"DontDisplayLastUserName"，设值为"1"。

2. 禁止IPC空连接 ：很多入侵都是基于空连接的，我们需要禁止空连接。HKEY_Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。

3. 更改TTL值：黑客可以根据TTL值来判断你的操作系统。更改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters下的DefaultTTL改为256，实际上所有操作系统得TTL值在0~255之间，这样黑客就无法利用ping得到的信息判断你的电脑是什么系统。

4.为防止他人修改自己的注册表，可以将.其禁用：查找HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM(若没有，可新建SYSTEM子项)，在右侧窗口中新建一个名为“DisableRegistyTools”的DWORD键值项，并设置为“1”。这样做之后，自己如需要修改注册表，须编辑以下文本（蓝色部分）启用注册表编辑器：

DIM WSH

SET WSH = WSCRIPT.CREATEOBJECT(“WSCRIPT.SHELL”)

WSH.POPUP(“您确实要启用注册表编辑器吗？”)

WSH.REGWRITE“HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM\ DisableRegistyTools”,0, “REG_DWORD”

WSH.POPUP(“已完成指定操作！”)

将以上文本保存后，将其扩展名.改为.vbs，双击该文件，单击“确定”即可。

最后，重新启动计算机即可使设置生效。已编好的样例文件可在我的网站下载：http://PCcn1st.go.51.net/

第三道防线：安全服务防线。[开始]-[设置]-[控制面板]-[管理工具]-[服务]，在打开的窗口中，右击一些不用而危险的服务，将其设置为“停用”即可，建议大家停用以下服务：

1.Alerter[通知选定的用户和计算机管理警报] 

2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享] 

3.Distributed File System[将分散的文件共享合并成一个逻辑名称共享出去，关闭后远程计算机无法访问共享 ]

4.Distributed Link Tracking Server[适用局域网分布式链接跟踪客户端服务] 

5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问] 

67.Indexing Service[提供本地或远程计算机.上文件的索引内容和属性，泄露信息] 

7.Kerberos Key Distribution Center[授权协议登录网络] 

8.License Logging[监视IIS和SQL如果你没.安装IIS和SQL的话就停止] 

9.Messenger[警报] 

10.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集] 

11.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换] 

12.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享] 

13.Print Spooler[打印机服务，没有打.印机就禁止吧] 

14.Remote Desktop Help Manager[管理并控制远程协助] 

15.Remote Registry[使远程计算机用户修改本地注册表] 

16.Routing and Remote Access[在局域网和广域网提供.路由服务.黑客理由路由服务刺探注册信息] 

17.Server[支持此计算机通过网络的文件、打印、和命名管道共享] 

18.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]

19.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解.析的支持而使用户能够共享文件、打印和登录到网络] 

20.Telnet[允许远程用户登录到此计算机并运行程序] 

21.Terminal Services[允许用户以交互方式连接到远程计算机] 

22.Window s Image Acquisition (WIA)[照相服务，应用与数码摄像机]

对于其它服务的建议请浏览我的网站：http://PCcn1st.go.51.net/

第四道防线：安全设置防线。

1.禁用TCP/IP上的NetBIOS：[网上邻居]-[属性]-[本地.连接]-[属性]-[Internet协议（TCP/IP）属性]-[高级]-[WINS面板]-[NetBIOS设置]-[禁用TCP/IP上的NetBIOS]。这样黑客就无法用nBTstat命令来获取你的NetBIOS信息和网卡Mac地址了。

2.确保账号安全：禁用Guest帐号；将系统内建的Administrator改名并设置强大的密码；再建一个伪装的Administrator，将其权限设置为最低；将其它帐号从Administrators组中删掉。

3.关闭“文件和打印共享”：[网上邻居]-[属性]-[文件和打印共享]，将窗口中的两个复选框去掉即可。

4.硬盘采用NTFS分区：NTFS分区支持对文件的加密，我们可以右击某文件夹，[属性]-[高级]中勾选加密选项即可；NTFS分区可以设定用户权限，限制用户的权力；NTFS还有卷影副本功能，可以通过网络.访问分区然后将指定文件恢复到某指定时间。

第五道防线：良好习惯防线。

1.不打开来历不.明的邮件附件；

2.杀毒后再执行下载的程序；

3.保持系统更新，及时补系统漏洞；

4.不要将游戏帐号等信息公布在论坛、网站上或是外借；

5.常更换账号的密码；

6.每天多次升级杀毒软件和防火墙。