Windows 2000 和 Windows xp 安全（一）

在五年多的反迫害和證實法的過程中，海內外同修通過互聯網突破邪惡的封鎖：揭露邪惡迫害的真象，向世人送去大法的福音。事實表明，互聯網給我們帶來了極大的便利。

從目前的現狀來看，我們對突破邪惡對網絡的封鎖、保證信息的安全方面做了很多工作，確實起到了否定邪惡的作用。但是，我們對計算機在互聯網上的安全問題，好像重視不夠；從明慧網上經常還聽到資料點被破壞的消息，是不是有技術方面原因，也沒有認真總結，找出不足。

因為互聯網在設計的當初安全問題就考慮不周，連接到互聯網的計算機本身就有一個安全問題。我們資料點同修計算機技術通常了解不多，如果對一些軟件使用不當，就會產生嚴重的安全問題，而這些問題表面上是看不見。

我從1999年的425以後，就開始通過互聯網聯繫大法網站，在這個過程中經歷了各種各樣的事情。最開始，我通過自己的商務電子郵箱給明慧發信，好在自己在師父的呵護下及時清醒，沒有造成後果。實際上那時邪惡就一直在監控我們電子郵箱。

當初自己在技術上幫助過的上網同修，很多受到了嚴重迫害。在自己被嚴重迫害中遇到的同修，很多也跟上網和資料有關。產生迫害的原因，主要有以下方面：（1）同修配合不好，還不是一般的不好，而是非常的不好，在常人的觀點上看都是很不好。在求圓滿的自私觀念帶動下，活動也想參加，資料也要，並且還說我要怎麼樣維護大法，可是一到關鍵的時刻，就把別人說了，把同修弄得很被動。還有同修之間由於顯示心被邪惡利用（確實是被邪惡利用，只是沒有邪悟嚴重），傳誰誰是資料來源，而這些信息被特務收集，使在資料點工作同修被邪惡關注。

以我個人為例（為了說明問題），我在迫害的開始，寫的一些揭露邪惡的文章，我是一邊送給明慧網，一邊給單位頭，單位沒有說甚麼。但是同修有很多事向邪惡說了（他們還認為他們修得好），有的還是很大的事，結果把我弄得很被動。就在邪惡的勞教所，還發生這樣的事，後來我真的有點受不了了。在我被迫害期間，我妻子，大法弟子，也遇到同樣問題，因為她計算機技術不夠，想問題變通差一點，結果數次被抄家，損失不少計算機設備。

通過這樣的事情，我是想說明，我們大家配合好很重要，如果有常人心不去，被邪惡利用，就會給證實法造成很大損失。

（2）被迫害的第二個原因，就是技術上沒有使用好。儘管從明慧網上看，因上網而產生的迫害事例比較小，但與實際有很大出入。一方面是因為不用說的原因，同修不願把這樣的事登在明慧網；另一個原因是在同修被迫害中上網是一個方面原因，大家也不願把這樣的事說出來讓邪惡知道。事實上因為上網和資料而被迫害的同修還是比較多的。

（3）同修對法理解不夠，可以說這是根本原因。也許有同修說，有了根本原因就不用找其它原因，我認為不行，因為對法理解不是你想做就能做到的，有一個過程，那麼在這個過程中，就需要我們採用必要的常人手段來解決問題。

在後來的一些證實法的工作中，我看到了大家對計算機安全重視不夠的問題，提了出來，希望計算機專家研究一下，同時也怕自己把問題搞錯了，給大家帶來損失。通過一段時間的軟件編寫工作，自己在計算機方面的知識有了提高，根據師父的教導，大法弟子是一個整體，那裏有問題要互相補上，所以我根據 Microsoft Press 2002 年出版的 Microsoft　Windows Security Inside Out for Windows XP and Windows 2000（有中文翻譯本）一書講述的 Windows 安全問題，再結合我們證實法的需要，邊讀邊寫一些技術問題文章，希望對同修有所幫助。因為我也是邊讀邊寫，可能還有一些實驗，所以一下出不來，我儘量快一點。

今天，我們首先來看一下，在我們證實法的過程中，連接到互聯網的資料點計算機，有那些安全問題（這些問題對海外同修也是同樣重要的）：

（1）物理攻擊

所謂物理攻擊，就是你的計算機放在家裏，邪惡到你家裏來偷看了裏面內容，還裝上了後門軟件，在你不知道的情況下，把你計算機中文件通過互連網發送到了邪惡那裏。

也許同修說，我家門關得很緊，或我在台灣，邪惡來不了，我們不用關心這個問題。這樣說，只是對了一半，還有一半不對，就是我們自己「引狼入室」會造成這樣的問題。因為沒有警惕注意，可能後果更嚴重。講到這裏，我想說明一個問題，我們通過一些渠道了解到，中國的一些信息公司後台，是國安。是國安出錢找人出面搞的公司，目地為國安收集老百姓的黑材料。××黨是搞黑社會起家的（它自己叫地下工作，甚麼地下工作，見不得人呀，偷偷摸摸幹。我看這樣幹的人死了要下地獄的，幹這樣的工作在為下地獄做準備，所以叫地下工作吧），這一項是它們的內行，很多老百姓被××黨的宣傳所迷惑，是不清楚邪惡背後的手段的。

也就是說，如果××軟件是邪惡搞的，它裏面有後門，我們不知道用了，就會中後門的毒。因為我們不知道，設置防火牆時沒有限制這樣的軟件，所以防火牆也沒有辦法保護。比如，以前大家說到過的 QQ、3721就有這樣的問題，從國內網上提供情況來看，QQ肯定有後門。還有國產的殺毒軟件，在我們不用它時，它們不也跳出來了，把自由門報成病毒嗎？那個流光不也被後門看光了嗎？肯定有鬼。

所以，我建議，在不了解真象情況下，為了對自己負責，也是對大法負責，不要使用國產軟件。如果必須使用，也不能讓它們連通互連網。對於確實要使用的，也應當在實驗室裏對特定版本測試沒有安全問題後，在我們自己網站上公布，然後再使用。國外同修也應該注意這個問題，特別台灣同修，通過互聯網講真象，很好，但要注意安全問題，您連網的計算機中不能有重要信息。

國內資料點同修，可以用一台專用電腦上網，只裝一個 Windows，殺毒軟件，防火牆，機器可以配置低一點。個人資料點，儘量不用國產軟件或讓國產軟件聯網。如果家人要用，我們向他們講清邪惡迫害真象，用軟件做的手腳，我想家人明白後，也是同意的。

想一想，我們用計算機幹點甚麼，信息被後門發到了邪惡那裏，那多不好呀。因為我們證實法的事情很嚴肅，所以我們對於我們證實法中採用的一些方法，也一定要嚴肅對待，起碼比做科學研究要更加認真。

（2）網絡鄰居

從「開始|控制面版|系統|計算機名」中，我們可以看到標識計算機的有一個項目叫「工作組」的內容，默然情況下是 WORKGROUP ，當我們計算機連接到網絡上後，如果工作組名相同，我們就可以通過 「網上鄰居」 查到其他計算機，如果其他計算機設置了文件共享（安裝時Windows 會自動設置一些，支持共享的協議是 NETBIOS，NETBIOS是Microsoft開發的網絡通信協議），我們就可以看到共享的內容。

在我們上網時，網絡服務器就和上網計算機成了「網絡鄰居」，如果使用不當，邪惡就能看到我們計算機上的信息，解決辦法就是在上網的「連接」屬性中去掉 NETBIOS 協議。

我們對隨e行上網進行了測試（撥1001），發現撥號連網後，被指派了一個公有 IP 地址，二個撥號計算機之間，可以互通 TCP 、 UPD 網絡信息交往包。

（3）病毒
病毒會使計算機工作不正常，我們通過 Symantec（賽門鐵克）軟件能很好解決這個問題，只是我們應當用正版軟件，經常更新病毒庫。

（4）外部入侵和木馬

我們在突破網絡時採用的高級手段，如 SSSO，意思是說，我們可以通過 IPC 掃描，找到一個機器，然後下上一個代理跳板，就可以安全上網了。這是這個事情的正面，當反過來時，如果我們不注意，被別人掃描了一下，下上了後門，那就可能帶來損失。

所以根據計算機專家建議，我們在計算機的用戶組管理中（控制面版|計算機管理|系統工具|本地用戶和組|用戶），把 Administrator 用戶名字改一下，密碼加長一點為好。

木馬，是病毒，也是後門，國內軟件查木馬根本不行。這個東西破壞力大。

我們可以裝上防火牆來保護計算機，使邪惡入侵不了，使邪惡下不了木馬，經常重裝系統，在連網的計算機中不放重要信息，有些東西用完馬上清除，比如上網文章等。 ZONE 防火牆免費，很不錯，Symantec 防火牆是中文的。

但是一個嚴重的問題是，我們資料點同修電腦知識不多（一方面是懂網絡人本來不多，再一個問題是有這方面能力同修受到了嚴重迫害，有的邪悟，現在還沒有回來。說到這裏，我想說一句，我們有好些同修是因為同修沒有配合好被迫害，被迫害同修確實有執著，但是如果你不說他，他可能會提高就沒有這個問題了。在被迫害中，他們做了一個修煉人不該做的事，確實很不應該。但是我們外面同修事後不是從法理上幫助這些人，而是罵，罵得很難聽，兩口子在家裏還大打出手，我不知道這些人法怎麼學的，師父在《建議》都說了，那個舊勢力對迫害過不去的人還說是要甚麼重新加大所謂魔難過關。可是我們地區有不少同修，自己對像被迫害回來後，不能很好處理，不是打就是罵，最後自己又被所謂轉化了的對像弄到了邪惡的轉化班）。所以，對防火牆使用，還需要大家通過明慧網多指點。

（5）隱私的入侵

這個主要是我們訪問了被邪惡利用的網站，當我們上這樣的網站時，它們就通過 Cookie（甜餅）來偷取信息，它們還可以通過控件在你的電腦裏裝東西，有些是偷偷地幹的。比如那個 3721 就是這樣的壞。

所以，我們上網要注意一些，就是中國那個所謂的門戶 WWW.SINA.COM (WWW.SINA.COM.CN)，一不小心就給你裝東西。

（6）密碼
密碼要長，要大小寫字母、數字、特殊符號一起採用，比如大於20位。

（7）遠程協助
Windows 的遠程協助，就是說，當你對計算機用不好時，網絡上的其他計算機用戶，就可以通過他的電腦，來幫助你設置好計算機。

大家想一想，如果邪惡通過「遠程協助」控制了你的計算機，會怎樣，我們不能讓這樣的事發生。所以大家應當把「遠程協助」關掉。

以上只是個人觀點，大法弟子證實法正念正行為主，但是我們不能讓邪惡幹成它們想幹的。

讀了明慧網2004年10月10日《請上網的同修小心木馬》和2004年10月16日《北京地區上網同修請注意》的兩篇文章後，有些感想。結合我前幾天電腦被干擾的情況，寫這篇關於電腦安全的技術文章給同修們參考。

我的電腦前幾天發生了這樣的情況：有一天晚上我開著電腦沒關，第二天上班時發現我的ZoneAlarm防火牆被自動關閉掉，以前從來未發生過這種事情，這件事情引起了我的警覺；之後我又發現我機器上的下載工具被多次莫名其妙打開去一個國內網站下載一串MPEG文件；之後的第二天早上我才開機的時候，就有一個陌生的程序試圖穿透我的防火牆去訪問互聯網，這個程序被別人放在了我的「C:\windows」目錄下，我仔細查了一下這個程序，發現根本不是正規的商用程序。

從以上的現象，我基本上可以斷定是邪惡對我的電腦實施的黑客行為，並且可以準確的說，是它們在我電腦中植入了木馬程序，其破壞力比病毒強，並且有針對性，請同修們引起高度重視。

根據我的經驗，我認為：其實病毒不是危害性最大的，最大的是黑客程序或木馬程序，這些程序是專門幹壞事的，並且有針對性，它往往是在機器上搜索敏感信息然後發送走，甚至操控你的電腦或者是故意使你的電腦工作不正常。

有些同修在自己的機器上安裝了一些殺毒，查殺木馬的軟件，還有防火牆軟件，使機器安裝的軟件環境過於複雜，出現問題時往往陷入操作這些軟件的細節上，電腦問題可能沒有徹底解決，還浪費了很多寶貴的時間。我不是說這些軟件不好，也不是說沒有必要安裝它們，我是想我們很多的同修承擔著重大的救度眾生的工作，加上他們很多都不是專門搞計算機這個行業的，不能在這方面太多浪費時間，但是又必須把電腦的安全做好。為解決這方面的問題，我提出了如下的做法：

一． 製作安全有效的Ghost映像文件

步驟1. 把機器上的自己的東西備份好，然後把電腦的硬盤格式化掉，至少要把C：盤格式化掉，建議格式成NTFS，這種文件系統能夠具有安全性；

步驟2. 在電腦的C：盤上安裝操作系統，建議安裝Windows2000/XP/2003，建議儘量不裝Windows98或者Windows Me；

步驟3. 安裝最新版本的ZoneAlarm或者Symentec公司的防火牆軟件(在安裝操作系統前把防火牆軟件準備好)，並且設置好合適的安全選項；

步驟4. 在線更新操作系統，也就是執行Windows Update，這樣更新完成後操作系統就打了微軟最新的操作系統補丁，其實我們關心的主要是系統安全補丁。(需要說明的是：這種方法不絕對嚴密的地方在於在下載安裝補丁過程中可能受到來自網上的攻擊，當然這裏在事先已經安裝了最新版本的ZoneAlarm或者Symentec公司的防火牆軟件，即便在下載安裝補丁過程中受到來自網上的攻擊，由於有了防火牆的阻攔，還是把電腦的受攻擊程度降到了最低了，所以這種在線安裝操作系統補丁的方法還是值得採取的，一般也不會有甚麼問題。) 最好的打補丁的方法是預先把最新的各種補丁下載準備好，然後在這個步驟中完成打操作系統補丁；

步驟5.在電腦的C：盤上安裝各種用得到的軟件(建議不要把各種常用軟件安裝到C：盤以外的其它硬盤分區，這樣即使電腦被攻擊或中毒也都會集中在C：盤，一般可能不會波及到其它盤上，這樣管理起來也方便)；

步驟6.調整優化電腦中的各種常用軟件，例如：完成各種軟件的註冊，使之不會過期；配置好軟件的各種常用選項；尤其是防火牆軟件和殺毒軟件需要配置好，並且保證是最新的病毒庫(這些常用軟件儘量不要採用國產的，因為國內的流行軟件大多都可能與臭名狼藉的「3721」這類「附體」捆綁在一起)

步驟7. 用各種查殺病毒的軟件，查殺木馬的軟件，以及各種檢查系統漏洞的工具在電腦的C：上運行以期望發現問題和漏洞，然後及時解決掉，這個步驟可以根據自己的條件而行(推薦同時也採用德國的「TuneUp Utilities 2004」，最新的「清道夫」在這個步驟中實施一遍)；

步驟8. 從軟盤或者光盤啟動機器，把電腦的C：盤這個分區用「Ghost」這個軟件(關於「Ghost」這個軟件的使用請參閱有關資料)做成「Ghost映像文件」；注意：用哪個版本的 「Ghost」軟件製作的「Ghost映像文件」就用哪個版本的 「Ghost」軟件去恢復，否則可能會有恢復不正常的情況出現；做成的「Ghost映像文件」可以放在電腦的其它分區上，以便隨時用來恢復系統，建議把做成的「Ghost映像文件」拷貝到移動硬盤上保存，以免遭破壞；

注意：千萬不要在做成的「Ghost映像文件」存有敏感信息。

二． Ghost映像文件的使用和維護

製作好的「Ghost映像文件」是電腦能夠安全高效工作的根本保證，必須對它進行有效的使用、管理和維護。

■「Ghost映像文件」對電腦系統有如下的好處：

1. 能夠使出問題的電腦系統以最快的速度恢復到製作「Ghost映像文件」以前的最優狀態，一般情況5GB的C：盤映像在15分鐘之內就能完成恢復，這樣成倍的為同修們節約了時間；

2. 製作好的「Ghost映像文件」可以供多台機器共享，特別是多個資料點的多台電腦，只要用一份「Ghost映像文件」就可以快速安裝或者恢復好多台電腦，節約的同樣是時間，保證的同樣是安全和效率，不同配置的機器可能用同一個「Ghost映像文件」會有點不正常，一般安裝好後做一點小的調整就好了；

■「Ghost映像文件」的有效使用：

1. 一旦發現電腦系統有不正常現象，立即從「Ghost映像文件」把系統恢復到製作「Ghost映像文件」以前的最優狀態，特別是資料點上網的電腦尤其需要這樣做; 建議的做法如下：

從移動硬盤把「Ghost映像文件」拷貝到C：盤以外的一個大的分區，然後用啟動盤啟動系統再用「Ghost」軟件執行恢復，這種做法是把「Ghost映像文件」的所有內容覆蓋到原來的C：盤上，其上以前的內容將被全部覆蓋掉；如果要保證最高的安全性，最好在把「Ghost映像文件」作恢復之前用把C：盤徹底擦除掉然後再格式化它，最後拿「Ghost映像文件」來作恢復，這樣不管以哪種方式附在C：盤上的任何有害的程序或代碼都會被全部乾掉，高版本的「Partition Magic」可以安全徹底擦除掉一個磁盤分區，建議使用。

2. 建議資料點的電腦，特別是用來上網的電腦一般一個星期用「Ghost映像文件」恢復一次電腦的C：盤，這樣做的好處在於：

始終能保持電腦是安全和高效而優化的。舉個例子：邪惡可能在你的電腦中植入了幹壞事的木馬或程序，你可能還未意識到，但你的電腦已經在邪惡的掌控之中了，但是它們一般會反覆在你機器上搜索信息，「證據」充份或者信息掌握全面之後才會採取行動，但是如果你的電腦盡可能周期短的進行著恢復，這樣就會反覆不斷清除著這些幹壞事的木馬或程序；當然周期性的進行著恢復還會周期性的清除著你電腦中的殘餘敏感信息，一般這些各種軟件留下的殘餘敏感信息基本都在C：盤上。

■「Ghost映像文件」的維護和優化：

1. 一般來說一個完善的「Ghost映像文件」是已經被精心優化，配置，監測好了的操作系統和相關軟件的一個包，但是我們不得不面對這樣的現實，操作系統的漏洞不斷被查出來，新的安全系統補丁包會不斷推出，防火牆技術手段會不斷更新，殺毒軟件病毒庫不斷更新，我們使用的各做軟件也會不斷的更新和更換以及添加；還有邪惡採用的破壞手段也在不斷的加強，所以我們的「Ghost映像文件」包也得不斷的精心維護，不斷優化，配置，監測，使我們的電腦隨時保持安全和高效。其實微軟的這些操作系統到現在已經變得龐大和複雜，在加上安裝在系統上的各種軟件，並且它們還要在一起協同運作，其內部的複雜性已經很大了，一個小小的差錯就可能使系統或者某個軟件運行不起來，況且還有幹壞事的病毒和邪惡的各種破壞，我想這些可能都是大家經常碰到的痛苦事情了。

現在要想在微軟的操作系統上安裝很多各種協同工作的軟件，並且又想讓它們穩定、安全、高效的運作，沒有一個完善而有效的「Ghost映像文件」包我們是很難達到上述目地的。這也是我多年來使用微軟操作系統的經驗了。

這樣就使得不斷維持一個完善、優化、穩定、安全、高效的「Ghost映像文件」包變得重要而又有價值。我覺得這樣做還是值得的，它帶給我們的是安全(讓邪惡無漏可鑽)、時間的節約(節約了很多我們用於安裝和維護電腦系統的時間)和資源的共享(同樣的一份「Ghost映像文件」包可被多個資料點共享，而這份「Ghost映像文件」包一般只需一個人維護就行了).

2. 關於「Ghost映像文件」包的維護方法：

1.) 把「Ghost映像文件」包恢復到一台電腦上；

2.) 在恢復出來的這台電腦上升級裏邊已安裝的各種軟件版本，添加其它好軟件，更新病毒庫，更新防火牆軟件，更新操作系統補丁等；

3.) 然後重新查殺病毒和各種有害程序，測試、調整、優化、配置整個系統；

4.) 再用前邊提到的方法把電腦的C：盤做成新的「Ghost映像文件」包。

以上內容是關於操作系統以及配套軟件的安全措施，這些措施我一直在使用和完善，我得到的感受就是系統軟件環境高效，安全，穩定，節省時間。希望這篇文章對同修們有幫助，不足之處還望大家指出。