找回密码
 注册
搜索
热搜: 超星 读书 找书
查看: 1035|回复: 0

[【旧帖】] 什么是只读更新

[复制链接]
发表于 2007-9-2 17:32:55 | 显示全部楼层 |阅读模式
转自:http://hi.baidu.com/884333484/bl ... 9b84c817687f%2Ehtml

〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓

只读更新到底是什么意思呢,网上搜索不到一个官方的解释,某些网友评论都很片面而且用词过多也没表白清楚,因此我就我的理解来定义一下只读更新的含义:
只读是系统自带的安全设置,让设置了只读权限的磁盘或文件不能写入和删除,需要写入的文件则通过ruans命令参数指定该文件以另一个设置了可写权限的用户运行。
根据这个原理就演变出了游戏里的只读更新,实现的效果是别人不能写东西在你的游戏盘里,也不能删除东西。所有游戏更新及外挂都从服务器上进行设置。也就是说,只有你的游戏更新软件可以写东西到你的游戏盘。
由于只读更新是让某程序以另一个用户的方式运行的,所以此方法适合所有的游戏更新软件或你指定的文件。不过下面还是以迅闪4.91为例(假设D盘是游戏盘)。

以下内容部分是从网上搜集,但经过我整理后并结合我自己实战的经念应该更容易理解。

〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓

◆◇◆◇◆第一章:配置只读更新◆◇◆◇◆

〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓


1.开启共享

本地安全策略(secpol.msc)>安全选项>网络访问:本地帐户的共享和安全 经典-本地用户以自己的身份验证
随便打开一个文件夹选>工具>文件夹选项>查看>“使用简单文件共享”的勾去掉。

====================================

2.打开Secondary Logon服务

服务(services.msc)>Secondary Logon 启动

====================================

3.游戏盘不保护,采用NTFS分区

这步很重要,不然不会出现安全选项。
若D盘不是NTFS格式,则运行“convert d: /fs:ntfs”(运行此命令时,任务栏中一个窗口都不能开。)

====================================

4.设置帐户
administrators组有2个用户,假设要创建administrator,play这2个管理员权限帐号

计算机管理(compmgmt.msc)>本地用户和组

先点“本地用户”在这里新建2个用户,1个作为用户登陆的帐号名为play,不设密码。1个作为更新用的帐号名为administrator密码为password(系统默认有administrator这个帐号,因此只需要把这个帐号设个密码再加到组中就可以了)。

再点“组”,把刚才这2个用户添加到“Administrators”这个组中。

====================================

5.权限设置

一定要使用administrator帐号登陆系统,右键点D盘,选“共享和安全...”,

选“安全”选项,     进入“高级”选项里。把“从父项继承那些可以应用到子对象的权限项目”的勾去掉,回到了“安全”页面,将里面的“组或用户”全部删除,然后添加“administrator”“play”这2个项,将“administrator”给予“完全控制”权限,将“play”赋予“只读和运行”权限。再回到高级项下的权限项里在“用在此显示的可以应用到子对象的项目替代所有子对象的权限项目”前打勾,再到“所有者”项里,选“administrator”并把“替代所有子对象的权限项目”勾上,点“应用”即可。

这是基本的设置方法,为了更安全,可以用第11步的方法。

====================================

6.只让administrator拥有所有权

组策略(gpedit.msc)-计算机配置-windows设置-安全设置-本地策略-用户权限分配,把”取得文件或其他对象的所有权”里的administrators删除,然后添加“administrator”帐户。

但我觉得这步没必要,因为在“安全选项”“高级”的“所有者”里还是会出现administrators,因为这是系统内置的一个管理员帐号组,只要存在管理员帐号,这个组就不会消失。所以上面的做法完全是多余的。

我认为正确的做法是在选“所有者”的时候不要选“administrators”而选“administrator”就行了。这样做的目的是为了让play帐户不能更改权限。

====================================

7.通用的只读更新快捷方式设置方法

快捷方式以runas命令为基础,设置可写文件。

runas命令的格式为“runas /user:administrator /savecred /env 程序的路径”。

在这个快捷方式第一次运行时,会提示输入administrator帐户的密码,输入一次以后,以后永远不会再提示。

====================================

8.迅闪4.91自带的只读更新设置方法

将迅闪的调用程序复制到D盘。

“cfg.ini”文件的路径要设好(设置为服务器的游戏菜单同步到D盘的游戏菜单)。

“ReadOnly.ini”文件里的“mode=”改为“mode=1”就行了。

打开“只读设置.exe”用户名为administrator,密码为PASSWORD,运行里的路径设为你客户端的“新调用.exe文件的路径”(假设你的调用程序路径是d:\\调用程序\\,那么这里就填“d:\\调用程序\\新调用.exe”就可以了)
新建快捷方式,路径为runas /user:administrator /savecred /env D:\\游戏菜单\\调用程序\\新调用.exe保存此快捷方式,替换原“游戏菜单”的快捷方式。

游戏菜单放D盘此项必须做,因为用的不是VD所以不担心放在D盘有负作用,而且还能保存更新后的游戏菜单呢。放其他盘也无所谓,不过建议放D盘,不保护的盘。

====================================

9.安全措施

(1)修改shell32.dll,防止格式化 用exescope(网上下载)打开shell32.dll-资源-菜单-247-删除格式化
或者shell32.dll-资源-对话框-28672-点右侧的开始,设个暗码防止别人格式化,但是你也可以通过暗码格式化移动磁盘等
(2)用 cacls 命令修改cmd.exe命令权限,只留下一个A帐户完全控制,其他用户无访问权限:
  cacls c:\\windows\\system32\\cmd.exe /t /e /c /r users
  cacls c:\\windows\\system32\\cmd.exe /t /e /c /r \"ower Users\"
  cacls c:\\windows\\system32\\cmd.exe /t /e /c /r administrators
  cacls c:\\windows\\system32\\cmd.exe /t /e /c /r system
  cacls c:\\windows\\system32\\cmd.exe /t /e /c /g administrator:f
(3)修改compmgmt.msc命令权限,只留下一个A帐户完全控制,其他用户无访问权限。此项为必须做。要不别人可以很容易的修改你的任何用户密码。他以administrator进入系统就危险了。
  cacls c:\\windows\\system32\\compmgmt.msc /t /e /c /r users
  cacls c:\\windows\\system32\\compmgmt.msc /t /e /c /r \"ower Users\"
  cacls c:\\windows\\system32\\compmgmt.msc /t /e /c /r administrators
  cacls c:\\windows\\system32\\compmgmt.msc /t /e /c /r system
  cacls c:\\windows\\system32\\compmgmt.msc /t /e /c /g administrator:f
(4修改gpedit.msc命令权限,只留下一个A帐户完全控制,其他用户无访问权限。
  cacls c:\\windows\\system32\\gpedit.msc /t /e /c /r users
  cacls c:\\windows\\system32\\gpedit.msc /t /e /c /r \"ower Users\"
  cacls c:\\windows\\system32\\gpedit.msc /t /e /c /r administrators
  cacls c:\\windows\\system32\\gpedit.msc /t /e /c /r system
  cacls c:\\windows\\system32\\gpedit.msc /t /e /c /g administrator:f
(6)修改regedit.exe命令权限,只留下一个A帐户完全控制,其他用户无访问权限(我们用迅闪可以导入注册表的)。
  cacls c:\\windows\\regedit.exe /t /e /c /r users
  cacls c:\\windows\\regedit.exe /t /e /c /r \"ower Users\"
  cacls c:\\windows\\regedit.exe /t /e /c /r administrators
  cacls c:\\windows\\regedit.exe /t /e /c /r system
  cacls c:\\windows\\regedit.exe /t /e /c /g administrator:f
(7)根据自己的情况。把你不允许其他用户访问的程序或工具设为只有administrator完全控制。其他用户无访问权限。
  你可以先用:cacls c:\\windows\\system32\\cmd.exe 命令来查看一下 CMD 命令的权限,再根据你机器的配置进行调整,最后只保留 administrator 这个用户的 F 完全控制权限就可以了。


====================================
10.IE

有部分游戏运行时或结束后会弹出网页,如果有人利用弹出的网页输入你游戏盘,他就可以完全操作你的游戏盘了,这样是很危险的,简单的来说就是容易被删除游戏或中毒。
由于运行游戏时是以可写身份帐户登陆的,所以在这里只需要反向设置一下就行了,即把IE所在文件夹的安全设为,administrator只读并拥有所有权,play完全控制,并应用到子文件夹和文件。(这个方法是我想出来的,而且成功了,并附上我想出来的原理。)

此方法的原理是根据权限的运行原理而来,即先运行父系的权限,再运行子系的权限。父和子可以设置不同的权限,程序运行到哪里就调用哪里的对应的权限。
在这里,调用程序相当于父,运行后需要调用IE时,IE就成了子。有人会问,有的游戏是在IE里打开的,那怎么办,我只能说这种游戏少之又少,如果你真的要做个这么钻牛角尖的网管的话,只好让这个游戏不用只读更新,或者再建个可写用户让它以这个用户的身份运行,并且在IE里也要添加一下这个帐户。

下面是网上写的办法,可以参考一下

administrator帐户下新建IE帐户 加入administrators组
进入C:\\PROGRAM FILES\\INTERNET EXPLORER 修改iexplorer.exe的权限 把拥有者改成IE
注销用IE登陆修改iexplorer.exe权限,删除所有用户访问权限,添加IE用户完全控制权限,客户帐号只分配读取权限,高级设置里把允许父项权限继承去掉。

====================================

11.防双击磁盘时自动运行的病毒

现在的大部分病毒都会在我们的磁盘根目录建立自动播放病毒,导致我们一打开磁盘就会感染病毒,因为我们的使用习惯都是双击我的电脑,然后再双击打开磁盘,这就给自动播放病毒的传染带来一定的条件。除非你每次都用右键打开磁盘,但这样只能防病毒运行,不能防病毒中在你的盘里。

防止双击运行病毒可以这样做:
组策略(gpedit.msc)-计算机配置-管理模板-系统-然后在右栏的“设置”标题下,双击“关闭自动播放”,点启用,框中选择“所有驱动器”。

为了防止病毒写入只读盘就要这样做:

设置游戏盘这个磁盘的权限和这个磁盘里面的游戏文件夹的权限。

先把磁盘里所有文件都设置好权限:方法为先给该磁盘设置administrator具有完全的权限,play具有写入、读取和运行三个权限,进高级选项,把“用在此显示的可以应用到子对象的项目替代所有子对象的权限项目”的勾打上,点确定。

再来把游戏盘的权限设置为:administrator具有完全的权限,play账号只具有在根目录下读取的权限(注意,此时高级选项的“用在此显示的可以应用到子对象的项目替代所有子对象的权限项目”的勾不能勾上),点确定。

这样设置后的好处就是病毒也在你设置好权限的磁盘上新建不了任何文件了,完全杜绝了自动播放病毒发作的可能性。

====================================

12.防病毒和木马(此为可选项)

虽然C盘是冰点保护的,重起后会还原,但是在玩的时候若是中了毒,不但影响速度,还可能被木马盗取游戏帐号。

因此可以在C盘建一些只读属性的文件夹,这些文件夹要和病毒的名字一样并且要带后缀,再把文件夹的路径设置成和病毒一样的路径,这样病毒就不能再写入了。
====================================

13.去掉安全选项
gpedit.msc-用户配置-管理模板-WINDOWS组件-windows资源管理器-删除安全选项卡 启用

====================================

配合只读更新比较好的软件有:
只读更新调用快捷创建器1.3
加密只读调用程序
只读更新后配合迅闪删^^的工具mybc
eXeScope 6.50 简体中文版 (防格式化的工具)
冰刃IceSword(只读更新的克星啊,能删只读盘的文件,要小心)
批处理xcacls(网上可下载,文件控制权限修改工具,CMD中运行)
批处理cacls(系统自带的dos命令,文件控制权限修改,功能没xcacls强大,CMD中运行,急救用)
批处理XXCopy(可以做出与服务器同步更新游戏的批处理,网上有教程。)
Quickbfc     (可以把BAT编译成EXE幽灵程序无窗口)

〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓

◆◇◆◇◆第二章:常见问题◆◇◆◇◆

〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓


问题1:
请问如何禁用D盘右键的格式化
答案1:
在C:\\WINDOWS\\system32目录下找shell32.dll文件,用eXeScope650修改

问题2:
我把system32下的format文件删除了,可是还是能用格式化功能。这样太危险了,怎么彻底禁用它?
答案2:
你可以用doskey命令啊,用法为“doskey format=”
在=后加入你想要改的名字就可以了,现在试下format应该不能用了吧。

问题3:
怎样禁用磁盘管理器的格式化,我把格式化右键菜单禁用了,用计算机管理可以打开磁盘管理器,还可以格式化磁盘,哪位高手可以教我把磁盘管理器的格式化菜单也禁用了,谢谢!!
答案3:
把计算机管理那个msc文件加个密~~

问题4:
怎么给compmgmt.msc加密啊,用RAR还是优化大师?我都用了,加密后把文件的后缀改掉了啊。
答案4
改个名就可以了,比如123.exe 你直接用用不了,要改成.msc才能用。

问题5:
由于Win2000系统不支持runas快捷方式的口令保存,所以每次执行runas这个快捷方式时都需要输入用户口令。有什么办法么?
答案5:
没办法,建议用XP系统。


〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓

◆◇◆◇◆第三章:删除病毒和^^◆◇◆◇◆

〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓


我们知道迅闪有个磁盘自动清理功能,其他软件也有,但迅闪相对来说还是比较简单一点的,做网管嘛,学会怎样懒才是最终目的嘛。在迅闪里,我们一般都直接把游戏图标直接拖在菜单上,但今天,我要告诉你们,这样的做法太不好了,也太不安全了。我们仅用几行批处理命令就可以搞定病毒滋生的问题,我们知道病毒一般感染的都是可执行文件,比如.com .exe,今天我们还要加一个.dll 文件,甚至更严格点,加个.sys 文件,这些文件的一般规律都是文件比较小,大的也只有10几兆,小的只有几十K。举个例子吧,拿 魔兽世界 这个游戏来说,我们在魔兽世界目录里面新建一个批处理文件,内容如下:
@echo off
del *.exe /s /q /f /a
del *.dll /s /q /f /a
del *.sys /s /q /f /a
del *.com /s /q /f /a
copy \\\\游戏服务器名称或IP\\游戏隐藏共享路径\\魔兽世界\\*.exe
copy \\\\游戏服务器名称或IP\\游戏隐藏共享路径\\魔兽世界\\*.dll
copy \\\\游戏服务器名称或IP\\游戏隐藏共享路径\\魔兽世界\\*.sys
copy \\\\游戏服务器名称或IP\\游戏隐藏共享路径\\魔兽世界\\*.com
start launcher.exe
exit
解释一下:分三个部分,第一部分是我们更新好魔兽世界后首先删除 魔兽世界 内的所有的以上扩展名的文件;第二部分,从游戏服务器上 拷贝这些扩展名的文件;第三部分,执行魔兽世界应用程序;因为是批处理,有个黑框框,所以用 exit 这个命令退出这个框框。
然后我们也把这个批处理文件命名为:launcher.bat     吧,因为你把游戏图标拖到迅闪上就是launcher.exe,我们只需要改一下扩展名就行了,无形中你又少打了几个字母,哈哈。
注意,这些动作都是在服务器上操作的,你只需要花上最多1个小时的时间就可以把这些批处理做好,然后一一的拖在迅闪上面。当然,还有很多安全细节问题需要各位盟友注意,在这里我也就不罗嗦了。


==========================================================================================

只读更新拒绝EXE病毒又一则

只读更新我们这保护系统盘不保护游戏盘。

防删防格了。可是病毒总是让人防不胜防。

让只读更新也拒绝所有感染EXE病毒

@echo off
@echo ***开始处理E盘***
@echo ************************************
@echo **********************
@echo ************************************
e: //游戏在哪个盘你就改成哪个盘
@echo ***开始去除病毒文件属性***
attrib -s -h autorun.inf
attrib -s -h sxs.exe
attrib -s -h _desktop.ini
@echo ************************************
@echo **********************
@echo ************************************
@echo ***开始删除病毒文件***
del /f/s/q autorun.inf
del /f/s/q sxs.exe
del /f/s/q/a _desktop.ini
@echo ************************************
@echo **********************
@echo ************************************

@echo ***开始删除网络游戏的EXE文件***
del /f/s/q *.exe
@echo ************************************
@echo **********************
@echo ************************************
@echo ***开始拷贝网络游戏的EXE文件***

使用迅闪在附加功能里添加这段批处理,这样每次执行游戏菜单就会先执行这个批处理

或者你把这段批处理放在服务器上设置一个共享,开机自动执行这段批处理。

接下来就是顾客玩的时候及时同步EXE文件了。。

设置游戏更新是每次都更新。这样同步EXE文件,玩的哪个游戏同步哪个游戏的EXE文件,速度很快。

每次都是从服务器上拷贝新的EXE文件,只要服务器没中毒,下面的每次都从服务器同步来新的无毒EXE文件,做母盘的时候先执行一次,删除的批处理,EXE文件总共不会太多的,也就第一次执行删除的时候慢点。

考虑到服务器中毒的情况,
用WINRAR快速备份EXE文件后制作成自解压包,备份到本地或者另一台服务器上,在迅闪中添加直接执行自解压包的备份菜弹,有备无患。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|网上读书园地

GMT+8, 2024-11-5 19:00 , Processed in 0.231565 second(s), 5 queries , Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表