[分享] 裸奔之旅：关闭自动更新后该做些什么

   去年，中了落雪病毒。知道一点在“注册表HKEY-LOCAL-MACHINE＼SOFTWARE＼MICROSOFT＼WINDOWS＼CURRENTVERSION＼RUN下可以看到正在运行”的病毒常识，反复的去想把它清除，结果事与愿违。在网上找到著名国产杀毒软件，下载了想杀灭这一病毒，结果装上去就自行消失了，也不能解决问题。好不容易在病毒信息中心知道了此病毒叫GAMEPASS，顺着此名找到了江民专杀工具，折腾十天左右，只用了两三分钟就解决了。
去年底到今天最近，就进入了重装系统的最忙碌时期。中过威金两次，熊猫烧四五次。在网上找到了很多处理的方法（初泛滥时没有专杀工具），最后还是要格盘重装。有了专杀，就算GHOST了做了GHO文件备份，熊猫上身后这一招根本没用，只有全格重装，漏了一个分区都不行。整天好象都在重装系统，令人沮丧到了极限。奇特的是流行病毒一多，微软，瑞星这些正版软件也加大了盗版打击力度，莫名奇妙地，常常有提示的信息出现，有不安全因素存在，根据长期上网的经验知道，这是正版的合法毒上身了。因此，作为你因种种原因关闭了自动更新，这时应该怎样做来让你的系统稍稍有一定的安全呢？请你看看我提出的一些看法。这些措施都能在网络上找到，我不过是把这些零散的措施集中一下，供你有个参考罢了。
一、关闭有明显漏洞的端口和远程协助
1.关闭139端口：右击网上邻居--属性--右击本地连接--属性--internet协议/(TCP/IP)--属性--高级--WINS--禁用TCP/IP上的NETBIOS--确定。
2.右击-网上邻居-属性/本地连接-属性，在microsoft网络客户端前的小勾去掉。接着也把microsoft网络的文件和打印机共享的小勾也去掉。
3.关闭445端口：打开注册表编辑器，在[HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼NetBT＼Parameters]下增加一个dword键项，命名为"SmbDeviceEnabled"(不包含引号)，将值设为0。
4。右击我的电脑，点属性--远程，把允许从这台计算机发送远程协助邀请前的勾去掉。
二、关闭共享：
右击“网上邻居”选“属性”，在弹出的“网络和拨号连接”窗口中右击“本地连接”选“属性”，从“此连接使用下列选定的组件”中选中“Microsoft网络的文件和打印机共享”后，单击下面的“卸载”按钮并确认一下。
其他的暂时关闭方法：
1.批处理自启动法
打开记事本，输入以下内容（记得每行最后要回车）：
netshareipc$/delete
netshareadmin$/delete
netsharec$/delete
netshared$/delete
netsharee$/delete
……（你有几个硬盘分区就写几行这样的命令）
保存为NotShare.bat（注意后缀！），然后把这个批处理文件拖到“程序”→“启动”项，这样每次开机就会运行它，也就是通过net命令关闭共享。
如果哪一天你需要开启某个或某些共享，只要重新编辑这个批处理文件即可（把相应的那个命令行删掉）。
2.到“计算机管理”窗口中某个共享项（比如H
注意：但这种方法治标不治本，如果机器重启的话，这些共享又会恢复。此法比较适合于永不关闭的服务器，简单而且有效

三、关闭不必须用的服务:
在控制面板中，找到管理工具，在其下面打开服务，将下列的项目开闭：
Alerter
ApplicationLayerGatewayService
AutomaticUpdates
ClipBook
ComputerBrowse
CryptographicServices
DNSClient
ErrorReportingService
EventLog
FastUserSwitchingCompatibility
HelpandSupport
HTTPSSL
HumanInterfaceDeviceAccess
IndexingService
IMAPICD-BurningCOMService
IPSECServices
Messenger
NetLogon
NetMeetingRemoteDesktopSharing
NetworkDDE
NetworkDDEDSDM
NetworkLocationAwareness
NetworkProvisioningService
NTLMSecuritySupportProvider
PerformanceLogsandAlerts
PortableMediaSerialNumberService
RemoteAccessAutoConnectionManager
RemoteDesktopHelpSessionManager
RemoteProcedureCall(RPC)Locator
RemoteRegistry
RoutingandRemoteAccess
SecondaryLogon
SecurityCenter
Server
SmartCard
SmartCardHelper
SSDPDiscoveryService
SystemRestoreService
TaskScheduler
TCP/IPNetBIOSHelper
Telnet
UninterruptiblePowerSupply
UniversalPlugandPlayDeviceHost
VolumeShadowCopy
WebClient
WirelessZeroConfiguration
  四、在组策略下做下面的设定：
开始--运行，输入gpedit.msc回车。
1.计算机配置--安全设置--安全选项
启用:
交互式登录:不显示上次的用户名
网络访问:不允许SAM账户的匿名枚举
网络访问:不允许SAM账户和共享的匿名枚举
网络访问:可远程访问的注册表路径下,将所有选中,点右键删除,应用--确定
2.计算机配置--安全设置--用户权利指派
从网络访问此计算机,里边的所有用户全部删除
从远端强制关机,删除全部用户
五、彻底关闭系统还原
右击我的电脑,点属性--系统还原--去掉在所有驱动器上关闭系统还原前的勾
组策略里,计算机配置--管理模板--windows组件--windowsInstaller--启用关闭创建系统还原检查点
计算机配置--管理模板--系统--系统还原--启用关闭系统还原
六、删除SystemVolumeInformation文件夹
1.我的电脑-工具--文件夹选项--查看-除去使用简单文件共享前的勾。
2.右击SystemVolumeInformation文件夹，点击属性，会多出一个安全选项-（中间的）添加--选择用户或组，点高级--立即查找-双击你目前的管理员用户名-确定。
3.返回到选择用户或组，点确定--在SystemVolumeInformation属性下组或用户名称中就有了你所设定的管理员用户。--点窗口下的高级--在弹出的SystemVolumeInformation的高级安全设置窗口中选中过去的用户（不一定是SYSTEM，如果不是要先删除那个，才会出来SYSTEM，再来删除SYSTEM。下面两项如勾选过，把勾去掉）--编辑--全部清除--确定。
4.返回到SystemVolumeInformation的高级安全设置窗口，点确定--回到SystemVolumeInformation属性，把下面的完全控制勾选上--确定。这就完成了对此文件夹的控制权。
5.删除各分区下的SystemVolumeInformation文件夹。
做了以上的设置，总是要比没有防护好得多，希望我的建议能对关闭了XP自动更新的忘游有所帮助，谢谢你阅读本文。

集萃坊社区