垃圾邮件一般采用了群发软件发送,发信人的地址是可以任意伪造的,查看信头可以让您找到真正的发件人。查看信头的方法是:
1)如果您是在web页面上看邮件的话,直接打开邮件,点击信件显示页面上方菜单中的"原文",就可以看到信头。
2)如果是用Outlook Express来收信的话,指向邮件,不要打开,点击鼠标右键,看信件的属性,再点击详细资料,就可以看到信头。如果有sender的话,sender后面就是真正的发件人;如果没有sender,最后一个received from就是发件人所用的SMTP服务器。
Receive语句的基本表达格式是:from Server A by Server B,Server A为发送服务器,Server B为接收服务器。例如:
ReturnPath: <ownerenewsdaily@***.com.cn>
Received: from ns.enet.com.cn ([202.106.124.167])
by mail.777.net.cn (8.9.3/8.8.7)
with SMTP id TAA13043;
Thu, 28 Oct 1999 19:51:28 +0800
Received: (from list@localhost)
by ns.enet.com.cn (8.9.3/8.9.0) id RAA19714
for enewsdailylist; Thu, 28 Oct 1999 17:50:30 +0800
Received: from chinanetweek.com ([210.72.235.218])
by ns.enet.com.cn (8.9.3/8.9.0)
with ESMTP id RAA19690
for < enewsdaily@enet.com.cn >; Thu, 28 Oct 1999 17:50:28 +0800
Received: from chinanetweek.com ([10.1.2.105])
by chinanetweek.com (8.9.3/8.9.0)
with ESMTP id RAA05935
for <enewsdaily@***.com.cn >; Thu, 28 Oct 1999 17:49:26 +0800
(CST) 一般最后一句Receive中的Server A就是发信人的地址,Server B是他所用的发件服务器,是邮件的起点。而第一句Receive中的Server B就是你自己的邮件接收服务器。各种服务器在信头中所加的内容并不一样,有时你在一行Receive中找不到任何IP地址或域名,这种情况可以先不管它,继续往上找。
从上面的例子中不难看出,这封信是从10.1.2.105发出(动态地址),传递途径是:chinanetweek.com → ns.enet.com.cn → mail.777.net.cn
以前曾经工作过的单位为了杜绝员工使用USB设备擅自复制公司资料,极端的采取了直接吧USB口用胶水封掉的方法,这个好像有点夸张。在企业应用中完全杜绝U盘的使用会造成一些不便。并且针对不同的员工这种应用是应该有所区分的。好在现在有了域,那么使用域的组策略设置加上一些简单的脚本就可以实现特定员工无法使用U盘或者只能读取U盘中数据。
首先制作一个简单的批处理,内容如下:
reg add HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /v WriteProtect /t REG_DWORD /d 00000001
把上面的文字复制到记事本,另存为read.bat即可。
这个批处理的目的主要是在注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\项目下创建名为StorageDevicePolicies的子项目,并且在该子项目下建立Writeprotect键 Dword值为00000001
做完上面的东西后如果直接在XP下运行该批处理文件后再插入U盘,U盘就已经是只读的无法写入数据了。
如果要恢复只需把最后的DWORD值改为00000000即可。
真的要一个一个拷贝到每个客户端去运行这个批处理也真的是蛮累人的,有了域环境大可不必这样做。虽然可以用很多方法来实现这个功能,我这介绍一下用登陆注销脚本来实现的方法。
您可以先行建立组织单元,把需要管制的用户全部归类进来。然后选择组策略设置-》用户设置-》脚本(登陆注销),双击登陆选择显示文件-》把刚才编辑好的read.bat复制进去选择并关闭该窗口-》选择添加-》浏览-》选择read.bat-》确定。(需要注意的是批处理文件的权限,放置目录的权限是否和需要管制的用户权限有冲突,如果需要管制的用户组织单元中的用户没有权限读取read.bat那么将导致策略失败)
至此您已经成功的设置了组策略,管制组的用户只要使用其账户登陆计算机后就会直接应用该批处理。
为了不让用户自己更改注册表键值,可以在策略中将注册表禁用。该用户注销后已经更改的注册表值是不会自动更改回来的。如果需要把它该回到原来的状态那么就需要添加注销脚本,怎么做????这个不用再说了吧^_^。
至于USB设备的禁用。实际上原理都是更改注册表,差不多的啦^_^。唯一提醒一下大家的是这个方法对Windows 2003 不管用哦。
说到网页访问,经常会有人问起为什么我只是在新浪搜狐看看新闻也会中病毒?为什么我的电脑老是中木马?为什么老是访问页面无法打开图片无法正常显示?那么首先您必须了解您在点开了一个网页后发生了什么事情?我想当您在这方面有了一些概念后,您就不会再问这样的问题了。
上面的问题如果要单独说明那是非常累人的,所以我把这些现象全部归类为“安全性问题”。
做为一个IT管理我很希望网页能够回到纯文本的时代,那样虽然少了多媒体图片,影片,网页聊天,网上银行等十分方便的应用,但几乎可以肯定绝不会出现上面这些提问者的问题。可悲的是“贪图方便”的人创造了HTML,JAVA,Activex,以及各式各样的脚本。所以现在我们的应用丰富了,您可以点一下鼠标就在线看到最新的电影,点一下鼠标就付完了水电煤等日常费用,这在以前是不可想象的。但是可悲的是你或许永远不知道你点一下鼠标后你的电脑究竟做了那些后台操作?(在这我想郑重说明的是这不单是刚开始使用电脑或者对电脑操作不是太了解的人不知道电脑做了那些操作,对于熟悉IT应用的管理员或程序员来说不是自己所编写的程序,多数时候也很难了解这些所谓的“后台操作”,并且对于INTELNET上种类繁多的插件程序,即使是管理人员也不可能在没有使用前就去一一了解,通常只是对已知的或者在发生问题后,才会根据问题寻找产生的原因和解决的方法。)
第1个概念:我们所使用的INTERNET是不安全的。并且因为“贪图方便”,人们制作了各式各样的程序。但是对于这些程序几乎不可能在使用前就进行研究是否安全后再使用(特别是个人电脑)。
上面说的ActiveX以及脚本在通过HTML标记型语言或其他计算机语言编写的网页中通常属于插件类程序,网页可以通过这些插件获得更强大的功能。什么功能呢?比如说:其中最重要的一项就是,他可以根据您访问的页面提示付款后,只需要您点一下鼠标就可以按照程序员事先编写的程序进行验证数据提交等操作,您不用管程序员具体是把数据提交到哪里的用什么方法来验证。这听起来有点吓人,但你必须了解,在您赋予ActiveX插件相应的权利后,ActiveX插件是有权利做任何的操作的,包括删除硬盘数据等。通常上网过程中某些时候你会发现程序提示您需要安装AcitveX或其他类型插件,为了使用功能的正常多数您会选择同意安装并进行操作,此时您就已经赋予ActiveX插件相应的权利了。(即便是插件提示您的内容和插件实际操作的内容完全不一样,其实就像前面说的您根本不会了解程序到底做了那些操作)
第2个概念:您不可能完全禁止使用ActiveX和其他插件,这样会导致网银,电影,图片之类的正常网页访问产生问题。另外对于任何的程序来说并不意味着您用鼠标选择了确定才代表同意安装,恶意的程序完全可以把确定和取消设置为同样的操作,某些基于操作系统漏洞的恶意插件程序或许只需要您打开一个网页或点击一个连接就可以自动安装到你的电脑中
目前已知的可能使您的电脑产生“安全性问题”的方法不计其数。例如刚才提到的ActiveX插件等,发明这些东西的人当初的目的或许是善意的,但我我却不太喜欢这样的善意。大家所熟悉的迅雷,网际快车,雅虎Messenger,傲游浏览器,百度等各式的搜索工具条,在线电影等很多程序,最初推广的时候几乎都是靠在某些网站进行的插件绑定后用户访问这些网站的同时,这些程序就不知不觉的就被用户安装到了自己的电脑中。虽然现在很多人都接受甚至喜欢使用这些程序,我却不以为然。因为这些程序既然能够被不知不觉的安装到您的系统中,那么最终这些程序往往会更容易被恶意的利用。最初大家把这类事件全部归罪于病毒,但实际上这些程序都是带有强烈的商业目的,虽然不是病毒但胜似病毒。
第3个概念:看似方便的东西未必就安全。天下没有免费的午餐,你在使用这些免费的程序时往往会被大量的广告和未知的插件所包围。正规的网站也未必绝对安全,不论是网站出于自身利益在您访问页面时诱惑您安装了某些插件或是网站页面中所指向的链接内容中藏有木马,这些都是网站营运者不愿或很难控制的。
总结:根据上面的介绍,似乎您很难不中木马或病毒。其实如果您长时间使用INTELNET,那么您中病毒或木马的概率也就越高。要降低这个概率,您需要按照下面的方法来访问网页。
1.尽量不要访问不知名的网站,不要使用和下载非正规网站上的程序。即使是正规程序,如果这个程序有官方网站的,请到官方网站上下载安装。
2.对于任何网站上提示安装的插件程序,不要理会它,必须要做关闭操作的可以点击右上角的“ × ” 关闭窗口。
3.如果必须要安装插件才能满足使用,那么在安装前不要忽略任何一个提示,看清楚要求再安装。安装完成后使用时需要留心软件使用情况,如果有异常可使用搜索引擎搜索其他人是否有同类问题。
4.插件尽量安装的越少越好,否则容易引起冲突。
5.保证自己电脑的系统补丁和杀毒软件版本是最新的。
6.尽量使用GOOGLE搜索引擎,如果搜索引擎提示某些网站有恶意程序,那么请不要访问该网站。