郭建伟

虽说现在的本本安装的都是Windows 7/8/10等系统，不过不可否认，还有一些老用户依然使用XP的本本，虽然新系统功能强悍，不过XP系统以其简单易用，适用性极强，兼容性完美等特点，在众多用户心中有着不可替代的作用。一些用户使用XP的老本本，完全可以满足实际的工作需要，没有必要费钱费力的购买新本本。当然，这并不是说XP本本没有缺点，同新版本Windows相比，XP确实存在很大的差距。在强调与时俱进的今天，我们需要以新版本Windows为参照，为XP老本本增加新的技术亮点，提升其效能，使其更好地为我们服务。

让XP本本实现代码完整性检测

在Windows 7/8/10等操作系统中，Code Integrity（代码完整性）检测是很实用的功能。利用该功能可以对系统的重要文件进行Hash值比对，只有检测通过才可以执行该系统文件。如果新型病毒采用Rootkit技术，或者将白身伪装成驱动文件的话，就会在该功能面前彻底暴露。一般情况下，我们会采用文件名比对的方式，来发现潜伏的恶意程序。例如在不同时刻分别执行“dir/s c：＼windows＼system＼*.* >old.txt”和“dir/s c：＼windows＼system＼*.* >new.txt”命令，来创建不同时刻点的系统文件信息记录文件。之后执行“fc old.txtnew.txt”，来发现增多或者减少的文件。如果病毒在系统路径下创建新文件的话，就会显示出来。不过该方法存在明显的弊端，一旦病毒对原系统文件进行了替换，该方法就不灵了。其实，对于基于PE结构的可执行文件来说，不管其后缀是什么类型（例如可以将“notepad.exe”该为“notepad.txt”），都可以采用“cmd/c文件名.后缀”的方式运行该文件。

但是，在代码完整性检测面前，病毒的上述伎俩就失效了。不管病毒如何替换文件，其Hash值一定存在差异。例如，可以使用“fciv.exe”这款小工具，为XP添加代码完整性检测功能。可以将该程序复制到系统路径中，作为内部命令来使用。这里我们主要使用该T具对系统关键文件进行Hash值检测。例如执行“fciv.exe c：＼windows-r-wp-hoth-xml dh.xml”命令，就可以对“c：＼windows”路径下的所有文件进行Hash值检测，并将检测结果保存在“dh.xml”文件中，其中的“-r”参数表示执行递归检测，可以检测所有的子文件夹。“-wp”参数表示检测非全路径文件名，不采用该参数表示检测全路径文件名。“-hoth”参数表示MD5/SHAIHash检测，否则默认采用MD5Hash值检测。采用“-xml”参数表示生成XML格式的文件。以后可以定时随时执行“fciv.exe-v-hp c：＼mydir -shal-xml dh.xml”命令，对系统路径下的文件执行基于MD5/SHAIHash值测试，来发现内容发生变动的文件。下载地址：http：//pan.haidu.com/s/lgdy3BUV。

同“fciv.exe”相比，“fsum.exe”的工具就更加强大。其可以检测多种算法的Hash值，例如CRC32算法等。该程序的参数较多，这里我们只进行简单介绍。例如在CMD窗口中执行“f'sum.exe-r-d c：＼windows*.*>test.txt”，可以对系统路径下的所有文件进行Hash值检测，在实际运行时，可以发现其速度明显高于“fciv.exe”。其默认采用的是MD5算法。以后当发现系统m现异常时，可以执行“f'sum.exe-d c：＼windows-jf -c test.txt”文件，该程序就会计算当前系统路径下所有文件的Hash值，并分别与之前测算的Hash值比对，来发现存在差异的文件，如果发现问题的话，就会提示对应文件的出错信息。

同一般的Hash值检测软件不同，Easy Hash堪称有最强大的检测功能，这是一款绿色的免费软件，可以让您轻松拥有几乎所有校验算法，它支持APHash、BP Hash、CK SUM MPEG-2、FNV 0 8-1024、GHash 5、GOST、Haval 128 （3-5）、 JHash、MD-5、Murmur、Pearson Hash、RIPEMD 128等130多种校验算法，可以让您更加灵活的执行文件校验操作。在Easy Hash主窗口（如图1）中点击菜单“File”→“Openfiles”项，导入所需的文件（可多选），点击“Ctrl+E”键，可以选择目标路径（例如系统路径），将其中的文件信息全部导入进来。之后在主窗口列出导入的文件信息，在工具栏最右侧的列表中显示其内置的所有算法，选择合適的校验算法，之后点击工具栏上第五个按钮（或者点击F9键），Easy Hash即可使用预设算法，计算所有文件的校验值，在“Hash”列中显示具体的校验值。Easy Hash校验的速度很快，即使对于体积为4GB的大文件来说，也可以迅速完成校验操作。点击“Ctrl+S”键，可以保存校验信息。

点击工具栏上的第七个按钮，在设置窗口中的“Favourite algorithms”栏中显示所有的校验算法，从中可以勾选最初常用的算法，或者点击“Most poplar”按钮，来自动选择最流行的校验算法。在“Fileassomation”栏中点击“Register”按钮，可以让校验文件（例如后缀为“.eh、.md5、.shal”等）和Easy Hash建立关联，这样直接点击上述文件类型，即可白动打开Easy Hash显示对应的校验信息。对于选定的常用校验算法，在Easy Hash主窗口的校验算法列表中可以加粗显示，这样便于您迅速找到所需的算法。Easy Hash不仅可以校验文件，还可以校验文本信息。点击“Ctrl+T”键，在弹出窗口的“Input text”栏中输入文本信息，在校验列表中选择合适的算法，点击“Calculate”按钮，在“Output text”栏中即可显示校验值，点击“Copy to cliphoard”按钮，可以将其复制到剪切板上。endprint

让XP本本拥有WindowsDefender杀软

提起与病毒、木马等恶意软件的斗争，大家都会想起杀毒软件。其实，在新版本的Windows中已经内置了微软自己开发的杀软Windows Defender，和一般的杀软相比，Windows Defender无疑可以和系统实现无缝对接。在大家的印象中，只要安装一个杀软，系统安全就没有问题了。其实这是一个误区，对于单机防护来说，比较稳妥的方法是将多种安全软件联合起来使用，例如可以同时安装金山卫士（类似的有360安全卫士等）、Windows Defender、主动防御工具以及Windows自带的防火墙。对于主动防御类工具，现在种类也有很多，例如ProSecurity、Mamutu、SystemSafety Monitor、ThreatFire、微点等，这些软件可以根据目标程序的行为来判断其是否具有威胁性，其包括智能型和非智能型主动防御两种。

对于Windows Defender来说，有和Windows XP对应的版本可供使用。之所以使用该软件，主要是因为其拥有强大灵活的功能。Windows Defender具有出色的实时保护功能，程序自身默认就提供了该功能，无需用户单独设置。一旦其检测到病毒等恶意软件对系统采取威胁动作，就会立即弹出警告信息提醒用户注意。Windows的每天都会对系统进行一次快速扫描操作，发现可能存在的恶意程序，最大限度的保护系统安全。快速扫描的目标是系统最有可能被病毒破坏的部位，例如系统盘等。此外，利用系统内置的WindowsUpdate功能，可以同步更新病毒库，来发现新型病毒。同其他杀软相比，Windows Defender的运行和升级基本无需用户费心。

让XP本本拥有UAC认证机制

在Windows 7/8/10等操作系统中，提供了UAC（User Account Control用户账户控制）安全管理机制。当您执行更改系统设置、运行程序等操作时，系统会对其进行拦截并弹出 UAC认证提示窗口。UAC可以对程序的运行安全认证，防止恶意软件和间谍软件在未经许可的情况下运行。而且UAC可以根据目标程序的危险程度，以不同的图标显示其安全等级。

我们知道，我们在登录系统时，往往习惯于使用Administrator级别的账户，这实际上会带来很多安全问题。因为这类账户权限很大，一旦招来病毒的侵袭，病毒也会借助于该账户拥有的权限对系统进行大肆破坏。反之，如果使用Guest级别的账户登录系统，即使病毒发作，对系统也构不成什么威胁，因为病毒具有的运行权限也极为有限。UAC功能的出现，其作用就是改善Windows的授权机制，限制高权限的用户随意运行来历不明的程序。但是，在Windows XP中却没有提供UAC功能。

其实，我们可以采用变通的方法，来实现类似的功能。例如，运行“lusrmgr.msc”程序，在账户管理窗口中创建一个账户，使其归属于Users组。当然，为了安全起见，您也可以在CMD中窗口中执行“netlocalgroup guests guser /add"和“net localgroup usersguser /del”命令，这样guser账户就彻底脱离了Users组，并隶属于Guest组了，使之具有Guest账户级别的权限。这样，使用上述两类账户登录系统时，其活动权限就会受到很大限制，例如无法安装程序、访问注册表受限等。如果这类账户想摆脱约束（例如安装软件等），可以采用两种办法解决，一种是采用基于GUI界面的权限提升方式。例如，使用ADVrunas来切换权限。首先以管理员身份安装ADVrunas，ADVrunas安装完成后和系统紧密集成，之后不管在任何用户环境中都可以自由的使用该软件。

在上述受限账户环境中需要操作的文件（可以包括快捷方式、可执行文件、压缩文件、0ffice文档等任何类型的文件）。在其右键菜单上点击“ADVrunas”项，在弹出的“ADVrunas”窗口（如图2）中选择“Another account”项，在“User name”列表中列出管理员账户名，或者点击其右侧的浏览按钮，在“选择用户”窗口中点击“高级”按钮，之后点击“立即查找”按钮，系统会自动搜索并显示所有的用户信息，在搜索列表中选择高权限账户名，点击“确定”按钮，该用户名称就出现在“ADVrunas”窗口中的“Username”栏中了，在“Password”栏中输入该用户的密码，点击OK按钮，就可以使用该账户用户的权限来执行对应的操作了。当然，也可以采用基于命令行格式的权限提升方式。例如，可以创建一个名为“su.hat”的文件，其内容为“@runas /user：administrator%！”，将其保存到您想运行的程序的同级目录下。例如，将其存放到“c：＼windows＼system32”文件夾中。当您想运行注册表编辑器时，只需在CMD窗口中执行“suregedit.exe”命令，输入管理员账户密码，就可以启动注册表编辑器了。

让XP本本拥有家长控制功能

在新版本的Windows中，提供了非常实用的家长控制功能，主要功能是控制孩子避免他接触到网上的不良信息或者沉迷于网络，影响他们的身心健康以致荒废学业。其方法很简单，以计算机管理员身份登录Windows 7，在“控制面板”中的“用户账户和家庭安全”栏下运行“为所有用户设置家长控制”程序，通过创建特定的用户，并为其设置密码，设置其使用电脑的时间，禁止运行的软件等项目，来限制孩子随意操作。

其实，在Windows XP下也可以使用相关软件来实现类似的功能，例如使用系统内置“net user”命令，就可以轻松限制指定账户允许登录的时间。例如执行 “net user username /times：M-F，7am-9am；Sa-Su，7pm-lOpm”命，就可以设定username账户只能在星期一到星期五的早上7：00到9点以及周六周日的晚上7：00到10： 00时间范围内登录系统等。当然，使用专业的账户管理软件，可以实现更加高级的功能。这样的软件有很多，例如，使用User Time Control（简称UTC）这款软件，就可以轻松实现上述功能。endprint

在UTC主窗口中点击菜单“Edit"→“ProgramsOptions”项，点击“Administrator Password”按钮，可以设置主密码。当启动、退出、修改UTC配置时，必须使用该密码。点击菜单“Edit”→“UserControl Panel”项，在窗口左下角列表中选择目标账户，在下一步窗口（如图3）中显示时间表格，其横坐标为星期数，纵坐标为小时数。点击对应时间块（即一个小时），在窗口右侧的“Minutes”栏中拖动滑块，设置该时间块内禁止登录的时长。同理，可以设置禁止登录的其他时间段。

在下一步窗口中可以分别设置该账户每天可以使用电脑的总时长，每次登录后有效使用时长，每星期内总可用时长。在下一步窗口中勾选“Allow use PChetween specified dates only”项，可以设置该账户可以使用电脑的有效日期范围。在下一步窗口中可以选择该账户登录系统后的限制条件，依次包括禁止改变系统时间、禁止安装非法软件、禁用进程管理器、禁止添加/删除程序、禁止修改账户信息等。在下一步窗口中“Add”按钮，可以添加禁止该账户浏览的文件夹。在下一步窗口中勾选“Alllow users suspend timerestrictions while they leave the computer”项，表示在用户离开电脑后可以暂时挂起UTC，不将离开时间计算在内。

激活该功能方法是在系统托盘中UTC图标的右键菜单中点击“Suspend Time”项，让UTC进入锁定状态，用户离开电脑返回后，在锁定界面右上角点击“Activate”按钮，激活UTC使其恢复控制功能。在“Action after the user time expiration”栏中选择“Logoff a user”项，表示使用时间到期后注销该账户。选择“Restart Windows”项，则会重启系统。选择“Shutdown Windows”项，则执行关机操作。此外，还可以设置到期提示窗口的持续显示时间（默认为3分钟），以及到期后输入管理员密码取消上述预设动作的等待时间（默认为40秒），设置激活UTC的热键（默认为“Alt+Ctrl+C”），更换UTC锁定界面的背景图片等。

注意，如果该账户需要紧急登录系统，可以开启一次性密码功能。点击菜单“Edit”→“Extra UsageTime”项，点击“Add”按钮，在弹出窗口中的“Extendtlme to”栏中设置许可时间（默认为2小时），在“Generate X password”栏中设置一次性密码个数（默认为10个），点击“Generate”按钮，可以创建指定数量的一次性密码。这样，该用户在紧急情况下，可以使用其中任意一个一次性密码系统登录，当使用时间超过与该密码绑定的时限后，将无法继续使用系统。当然，该密码只能一次有效，使用完毕后将自动失效。其余的配置保持默认。最后点击窗口底部第三个按钮，保存上述配置信息。同理，您可以针对不同的账户，分别为其设置有效登录以及使用系统的时间。下载地址：http：//www.lsecuritycenter.com/downloads/utcc.zip。

当然，如果想禁止指定的程序在规定时间运行，可以使用Password Door来实现。在其安装程序的“Set Admin Password”栏中可以设置管理密码，之后必须使用该密码，才可以操作该软件。在PasswordDoor主界面中点击“Protect a Program”按钮，在窗口列表中显示安装的所有程序，选择需要保护的程序（例如QQ）。如果这里没有所需的程序，也可以点击窗口底部第一个按钮，手工选择目标程序。或者将带有瞄准星图标直接拖动到目标程序窗口中，来完成选定操作。点击“Protect”按钮，在保护窗口（如图4）可以看到其默认采用的密码保护功能，点击“Change”按钮，可以为其单独设置密码，否则的话使用管理密码。

如果在“Protection mode”栏中选择“Deny”项，表示在规定时间之外禁止运行目标程序。点击“Schdule”按钮，在定时保護窗口中的“Schduleoption”列表中选择“Daily”项，针对每天预设的时间段决定是否启用保护功能。在“Hour of day”栏中显示24个按钮，代表每天24个小时。默认其全为蓝色，表示时刻保护目标程序。点击对应的时间段按钮，使其颜色变为白色，表示在该时间段内禁用保护功能。例如将上午8：00到12：00、下午14：00到18点等按钮设置为白色。这样，在正常工作时间段，您可以自由运行QQ，在其他时间段则无法运行，或者必须输入与之匹配的保护密码，才可以运行QQ。当然，您也可以在“Schdule option”列表中选择其它周期类型，包括每星期、每月等，为目标程序设置定时保护时段。下载地址：http：//www.toplang.com/pdsetup.exe.

让XP本本具备网络访问控制功能

新版本的Windows在网络访问、浏览器安全等方面提供了很多安全配置功能，提供了完善的网络访问控制功能。其实，在Windows XP中也可以使用相应的方法，禁止Administrator账户之外的账户随意访问网络。首先以管理员身份登录系统，在组策略管理器中展开“用户配置”→“Windows设置”→“InternetExplorer维护”→“连接”分支，在右侧窗口中双击“代理设置”项，在弹出窗口中勾选“启用代理服务器设置”项，将“HTTP”的代理服务器的地址设为“127.0.0.1”，点击确定按钮保存配置信息。这样做的目的在于借用IE浏览器的代理功能，来限制其他账户随意上网。IE是可以使用代理服务器上网的，因此只要将其代理服务器指向“127.0.0.1”地址，那么普通用户就无法通过IE浏览网页了。

这样，当在IE中浏览网页时，因为其代理服务器实际上并不存在，因此就无法访问因特网了那么问题的关键在于如何让管理员用户可以跳过上述限制，从而正常使用IE访问因特网。实际上，打开“C：＼WIN DOWS＼system32＼CGroupPoliCy＼User＼ MICROSOFT＼IEAK”文件夹，在其中可以看到名称为“install.ins”的文件，在该文件中就包含了IE的代理服务器信息。打开该文件，其中的“Proxy_Enable”参数的数值为1，表示启用了代理服务器，其中的“HTTP_Proxy_Server”参数就指明了代理地址。因此，如果不允许其他账户读取“install.ins”文件，就可以让其无法摆脱上述限制。而组策略“用户配置”部分中的配置项目大多都是在登录后才生效的，因此，只要使用NTFS分区的权限分配机制，让其他账户无法读取“install.ins”文件，即可实现上述要求。endprint

在“install.ins”文件的属性窗口的“安全”面板中选中管理员账户，如果不存在的话，可以点击“添加”按钮导人该用户。之后在其下的权限设置面板中的“读取”栏中勾选“拒绝”项，禁止管理员账户读取该文件。这样，当再次使用管理员账户登录系统时，就不再读取“install.ins”文件，从而跳过了IE的代理服务配置自由上网。但是普通用户却没有此特权，依然正常加载IE代理服务信息，当然无法正常使用IE了。此外，还可以使用NetSh命令，通过控制网关来限制指定的账户上网操作。

假设本机的IP为192.168.0.2，路由器网关的IP为192.168.0.1。Netsh是Windows 2000/XP/2003自身提供的实用工具，允许用户在本地或远程显示和修改当前系统的网络配置信息。这里就使用该命令并配合相关的组策略，让管理员账户可以拥有正确的网关配置，而让普通用户无法得到，因此巧妙的阻止普通用户连接因特网。首先以管理员账户身份登录系统，建立“Linkok.hat”和“Linkno，hat”两个批处理文件，其中“Linkok.hat”的内容为“netsh interface ipset address”本地连接”source=static addr=192.168.0.2mask=255.255.255.0 gateway=192.168.0.1 gwmetric=l”，“Linkno.bat”的内容为“netsh interface ip setaddress”本地连接”source=static addr=192.168.0.2mask=255.255.255.0 gateway=none”。

之后在“開始”→“运行”中执行“gpedit.msc”程序，在组策略窗口左侧展开“用户配置”→“Windows设置”→“脚本（登录注销）”，在右侧窗口中双击“登录”项，在登录属性窗口中点击“添加”按钮，在添加脚本窗口中的“脚本名”栏中输入“Linkok.hat”文件的完整路径即可。在右侧窗口中双击“注销”项，按照同样的方法，将“Linkno.hat”文件添加到注销脚本中。这样，当该账户登录系统时，就会自动执行“Linkok.hat”程序，将网关配置为正确信息，当注销该账户时，就自动执行“Linkno.hat”程序，从而清空网关的配置信息。然而当User账户组中的用户登录系统时，虽然也可以运行以上登录脚本，但是普通用户是没有权限执行NetSh命令的，因此普通用户只能就无法得到正确的网关配置，也就无法正常上网了。既使普通用户在本地连接属性窗口中试图修改网络配置信息，系统也会弹出权限不够的提示，从而禁止其手工配置网关信息。endprint