绿盟安全月刊->第22期->安全文摘 保护系统安全的几点有效措施

日期：2001-06-15

来源：新浪科技 小马哥


　　如果我们生活在一个不发生坏事的世界里那是多美好的事啊！然而事实上我们并不生活在一个安全的世界里面。保护我们自己的方法绝没有晚上睡觉时关门那么简单。我们不得不保护我们生活的每一个部分，包括我们电脑里面的信息和数据安全。

　　无论是连接到Internet的工作站还是家庭用电脑，你必须保持数据安全，因为总有一些人出于各种各样的原因花费很多的时间利用系统未被发现的漏洞进入你的电脑偷窃个人信  
息。某些人通过出售个人信息牟利，或者通过系统的Cookie找到用户名和密码或者在你的机器里面放置病毒。个人电脑非常易于使用，但是大多数的用户却不知道采取必要的安全措施。

　　正如系上安全带可以保护你在偶发事故中的安全或者是晚上关上门可以防止盗贼一样，对你个人电脑上的信息安全你也有必要采取一定的措施。下面，我们将告诉你的电脑上存在的一些安全漏洞，并提供解决这些安全漏洞的一些方法和技巧。


　　措施一：密码保护

　　最常见而且容易使用的安全措施是启用用户登陆口令。这里有更多有效的保护数据的安全措施，但是用密码保护系统和数据的安全是最经常采用也是最初采用的方法之一。本节提供对可以实际接触到系统的潜在入侵者的解决方案。

　　密码保护Windows登陆。你可以使用Windows登陆口令来保护你的个人配置文件。对于多用户系统来说设置这样的个人配置文件是非常有必要的。多用户设置让每一个用户拥有个人配置文件和各自的桌面设置，这些设置在他们使用各自的用户名和密码登陆Windows的时候生效。但是，无论如何不要认为Windows口令保护"万无一失"。虽然个人配置文件可通过用户名和相应的密码进行保护，但是其它的用户仍然可以通过终止Windows登陆(最简单的办法就是在出现登陆提示窗口的时候按"Esc"键跳过登陆确认窗口)使用默认的设置存取整个的系统。所以，Windows登陆口令是一个保护个人设置的简单方法，而不是保护你的数据安全。要启用Windows登陆窗口，依次按"开始"按钮｜"设置"｜"控制面板"，然后双击"密码"，选择"用户个人配置文件"选项卡，选择"用户可以定制参数和桌面设置"，这样等你再次登陆的时候将切换到你的个人设置。在做完这些修改之后你必须重新启动机器设置才会生效。重新启动之后，在"控制面板"里双击"用户"添加用户，每一个用户需要分配一个用户名和密码。
　　适用操作系统: Me, 98, 2000, NT

　　修改网络密码。在网络上，每一台电脑都被分配了一个唯一标识符以便用来使用网络。要使用网络，一般系统管理员(system administrator)会给每一个用户分配一个用户名和密码。有时，系统管理员会采取惯用的做法直接命名网络用户的用户名和密码。举例来说，采用姓名的拼音全称，然后同样的使用拼音全称或者使用诸如"888"、"12345"作为初始密码，如果你的同事知道你的姓名，出于好奇或者其它的什么原因，使用你的用户名和初始密码登陆，存取你的数据那是再简单不过的事情了。所以，你可以要求管理员协助你改变初始密码，确认你的网络密码只有你一个人知道(不要以生日或者其它纪念日等具有特殊纪念日作为密码，一个比较好的密码应该包含大小写英文字母、数字的至少8位的字符串)，当然方法不适用于任何的Windows操作系统，某些网络软件安装的时候自带密码修改工具。如果你想减少麻烦，你可以使用控制面板的"密码"让你的Windows登陆密码和网络密码同步，一旦设置一个Windows登陆密码，"密码"将有一个选项可以在二个密码之间进行同步，而你只需要记住一个。
　　适用操作系统: Me, 98, 2000, NT

　　为启动过程设置密码。要真正保护你的系统登陆，你可以考虑密码保护电脑启动的过程。你的电脑有一个控制机器启动过程的软件叫BIOS(基本输入输出系统)。一旦设置密码，在机器完全启动之前必须正确输入。如果你是该电脑的唯一用户，这是一个保证系统安全的极为有效的方法。如果别人也要使用这台电脑，他们也需要知道该密码才能启动。

　　要启用BIOS密码保护，你必须重新启动电脑，然后在系统启动的时候进入BIOS设置窗口进行设置。通常，你可以在自检结束后按"F1"或者"Del"按键，在"Configuration/Setup(配置/设置)"窗口里面选择"security(安全)"选项，找到"Power-On Password "，设置电脑启动密码。因为BIOS也有各种各样的厂家，也许你的电脑和我们上文所述的不一样，但是你也应该能够找到类似于上述的关于电脑安全的配置。你将被要求输入二次密码(确认密码输入无错)，在以后的每一次启动过程中你将被要求正确输入密码才能启动。
　　适用操作系统: Me, 9x, 2000

　　密码保护屏幕保护程序。当你离开电脑的时候，给屏幕保护设置密码是一个非常容易的保护你的系统和文件的好方法。如果设置了屏幕保护密码，当屏幕保护启动的时候要存取电脑就必须要输入密码。要启用该功能，右键单击桌面的空白部分，然后从弹出菜单中选择"属性"。你也可以开启"控制面板"，然后双击"显示"。在显示属性窗口，单击"屏幕保护程序"选项卡，找到"密码保护屏幕保护程序"，然后从下拉列表中选中要使用的屏幕保护程序，选中"密码保护"选项，然后单击"改变密码"，在新的输入窗口中输入二次密码，然后单击"确定"。接着设置屏幕保护程序启动的等待时间，在关闭显示属性窗口前单击"应用"按钮。在以后，你可以使用同样的方法设置不同的屏幕保护或者改变屏幕保护密码。
　　适用操作系统: Me, 9x, 2000, NT

　　密码保护电源管理功能。当你暂时离开电脑的的另外一个保护方法就是为电源管理设置密码。如果启用该功能的话，你必须设置一个口令确认窗口。一旦你决定这么做，你可以打开控制面板以启用电源管理。在不同的操作系统里面，控制面板里面的这个功能可能有不同的名称。例如，Win98里面称为电源管理，WinMe和Win2000称为电源选项，找到高级"选项卡"，启用机器从等待和休眠方式恢复的时候必须输入密码选项。等待状态是节约电能的功能，当系统空闲一段时间没有使用自动启用。进入等待状态后，在需要激活的时候系统可以立刻就绪以方便快速使用。类似于屏幕保护程序。电脑进入休眠状态时，电脑内存中的所有内容将保存到硬盘上。电脑返回打开状态之后，关闭电脑时打开的所有程序和文档将全都恢复到桌面。
　　适用操作系统: Me, 9x, 2000

　　选择“唯一”的密码并周期性的改变密码。你惊讶于猜测其它用户的密码是那么的容易！有些用户认为使用他们的生日或者孩子和宠物的名字作为密码是一个好主意。但是这些信息太容易发现了。事实上，使用一个不常见但是你又容易记得的口令才是真正需要考虑的。考虑使用儿提时代的宠物或者爱好作为密码也是一个不错的主意。另外，适当的交叉使用大小写字母也是增加黑客破解难度的好办法。

　　另外，考虑给所有的帐户使用同样的用户名和密码。如果你为上文提到的Windows工具设置口令，准确的说，设置了不相同的密码和用户名。你不得不考虑到使用不同的用户名和密码很可能忘记他们或者混淆他们。从而锁住系统连你自己也无法使用系统或者数据。所以说，你最好有规则的改变口令和用户名。另外，为了增加破解的难度，最好每月变化一次口令，当然，更重要的是你自己必须能够记住他们。


　　措施二：防止在线入侵和病毒威胁

　　目前，上网(国际互联网)成为我们每个人生活中不可缺少的内容。不能连上互联网的电脑现在是罕见的。保护你的系统和传送的数据是非常重要的。本节对可能发生的在线入侵给出一些建议以便增强你的个人系统安全。

  
　　安装一道防火墙。不管是通过以前常用的Modem拨号连接还是现在DSL或者Cable Modem接入，你将不可避免的遇到来自Intetnet的入侵。你可以从Internet上断开以保护你自己，当这显然不是一个好主意。我们也可以在Internet和你的个人电脑上安装一个防火墙，来限制来自Internet的访问。一旦建立连接，防火墙将拒绝任何试图存取你个人电脑信息的请求。你可以随时查看"时间标记"的攻击日志来分析谁要入侵(存取)你的电脑。一些不错的个人防火墙软件有：

　　BlackICE Defender

　　www.networkice.com

　　LockDown 2000

　　www.lockdown2000.com

　　Norton Personal Firewall 2001

　　www.norton.com

　　ZoneAlarm(Free)

　　www.zonealarm.com

　　了解你的Cookie选项。许多的Web站点开发者使用Cookie跟踪他们的访问者。你的系统被该站点向你的操作系统建立一个小文件。每次当你重新浏览该网站的时候，该站点将自动分析各自的Cookie包含的个人信息或者你个人的浏览习惯。举例来说，某各Cookie就可能包含你的用户名和密码，以便你在再次访问该站点时候不需要再次输入用户名和密码。然而，Cookie也被经常用来跟踪用户多长时间访问一个站点，在该站点花费了多长时间，查看了哪些页面或者其它的你并不希望被跟踪的其它信息。

　　大部分时候，你根本不知道Cookie是何时存储在你的系统里面。要查看你的系统里面有多少Cookie，在资源管理器里面找到操作系统所在的驱动器，进入操作系统安装目录，一般在c:windowsokie目录里(根据不同的操作系统而有所不同)。你可以使用Web浏览器控制哪些Cookie可以保存在你的系统里面。Netscape浏览器的控制方法在"Preferences "菜单的"Advanced "选项。Microsoft IE浏览器在"工具"｜"Internet选项"｜"安全级别"，在该设置里面，你可以修改选项设置为接受、禁止或者在接受Cookie之前给出提示。

　　测试系统端口安全漏洞。当电脑联机的时候，你的电脑可能会打开至少30个网络传输端口，每一个端口都在与外界进行通信或者传输。当通讯没有被传输协议关闭之前，端口始终是打开的，允许未授权的用户存取你的系统。安装一个防火墙软件是限制存取你的个人电脑的好办法。你也可以使用下面的免费软件测试你的系统安全漏洞。这些软件可以提醒你的电脑有哪些潜在的安全问题并给出修复方案。

　　NetCop Scanner 2.0

　　www.netcop.com

　　Shields Up!

　　grc.com

　　WebTrends Security Analyzer

　　www.webtrends.net

　　加密你的硬盘。通常，在互联网上传送敏感数据必须加密，如信用卡号等。加密软件在发送方使用加密算法将数据打乱，在结束方使用密钥将数据还原。这里有些软件可以加密你的硬盘或者指定的文件。下面是加密硬盘的二个最好的软件。

　　SecureDoc 2.0

　　www.winmagic.com

　　PGPdisk Encryption

　　www.pgp.com

　　安装防病毒软件。大多数的用户都能够意识到病毒能给电脑数据或者系统带来或大或小的危害。病毒在发作的损害资料或者删除文件和感染可执行文件。目前已知的病毒种类已经有几十万种。它们通过Internet，利用电子邮件，下载免费或者共享软件进行传播，或者是在磁盘交换文件的时候进行传播。保护你的系统的最佳方法是安装一个杀毒软件。仅仅安装上去是不够的，因为经常会产生新的病毒，你只有定时的去更新你的杀毒软件(一般一周更新一次)才能有效的抵御最新的病毒。比较好的杀毒软件有：

　　McAfee.com's VirusScan

　　www.mcafee.com

　　Norton AntiVirus 2001

　　www.symantec.com


　　措施三：使用用户配置文件和策略

　　多数的电脑多人使用。对于这样的情况，如果你的电脑上有敏感数据，你就必须要设置特定的用户只能存取特定的目录活着文件。下面是设置方法。

　　为多个用户建立用户配置文件。如果有多人使用你的电脑，让多用户拥有自己的配置  
文件和密码是十分必须的，这样，每一个用户可以按照自己的喜好自定义登陆以后的桌面环境。当然，硬盘上的文件依然没有得到有效保护，所以，这仅仅是一个非常有限的安全防护方法。然而，有一个变通的方法就是，既然每一个可以自定义配置文件，那么可以文件存放在桌面上(当然，如果文件多的话，可以直接在桌面上再建立文件夹)，这样，当用户登陆的时候就只能存取各自权限以内的文件了。

　　要设置多个用户配置文件，请按下面的步骤操作。按"开始"按钮｜"设置"｜"控制面板"｜"密码"，按"用户配置文件"选项卡，选择"允许用户自定义桌面设定"，系统接下来会询问你是否重新启动，按"确定"重新启动。启动完毕，返回"控制面板"，选择"用户"，按"下一步"添加用户。对每一个用户来说，你必须给出用户名、密码和用户登陆后要出现桌面上的条目。当系统重新启动的时候，系统会询问你用户名和密码，这时候安全设置就开始生效了。
　　适用操作系统: Me, 9x, 2000

　　使用EFS(加密文件系统)控制安全级别。Windows 2000拥有一个独特的安全系统，被称之为EFS(加密文件系统)。当给某个用户指定文件系统权限之后，EFS存取机制将有一个过期的期限。这个权限决定该用户所处的安全级别。通过这个系统，用户可以加密文件，文件夹，甚至可以使用密钥加密用户所能够存取的硬盘驱动器。要指派或者编辑安全级别，按"开始"｜"控制面板"｜"管理工具"｜"本地安全策略"｜"本地策略"｜"用户权利指派"，指派或者删除用户ID和组别ID以编辑用户权限。
　　适用操作系统: 2000


　　措施四：Windows NT安全

　　WinNT是一个为网络设计的操作系统。它可以被作为一个独立的平台使用。作为网络用途，安全性能是最值得关注的事情。本节将提供WinNT特有安全技巧。

　　给用户组指定特权。WinNT可以让你给指定的用户组定义特权，每一个用户都可以有一  
个独立的账户，这样就可以跟踪用户的行为。WinNT有7个默认的用户组，每一个组对于网络和数据的存取都有不同级别。这些组包括：

　　Everyone：该组包括所有的用户组。只有系统管理员能够存取它。

　　Administrators：这个组的安全级别允许用户存取WinNT里面的任何资源，没有任何权限限制。

　　Power Users：超级用户级别与管理员类似。但是该组不可以改变文件所有这，改变设备驱动或者是查看安全日志。

　　Users：普通用户组登陆时仅仅可以把本机作为一个工作站，但是不能够更改WinNT设置。

　　Guests：改组的用户仅仅有最少的存取权限。

　　另外，这里有二个更多的选项，如果需要的话，那就是管理员可以把手头的某些任务交给其它的用户完成：

　　Backup Operators：备份操作员允许使用WinNT备份程序备份或者恢复文件。

　　Replicator：复制者允许用户复制文件和目录。

　　退出工作站登陆。不象其它的Windows操作系统，WinNT需要一个用户名和密码才能登陆，按"Cancel"或者"Esc"不能登陆。因此，当你离开电脑时，请退出登陆。简单的按"开始"｜"关机"，选择"关闭所有的程序并以其它用户登陆"。当你回来的时候，你必须输入你的用户名和密码。
　　适用操作系统: NT

　　尽量使用较长的密码。如果你有机会管理用户账户，建议你的用户使用较长的密码并且周期性的改变密码。我们推荐使用唯一性的口令(就是不经常使用的因为单词，拼音缩写，吉祥数字等)，不同于其它的操作系统，WinNT允许你控制密码的长度。要使用用户管理工具，按"开始"｜"程序"｜""｜"管理工具"｜"命令"｜"用户管理"。在"最大密码有效期限"区域，你可以设置用户必须多长时间更换一次密码。在"最小密码"区域，你可以设置密码最小字符个数。
　　适用操作系统: NT

  
　　措施五：额外的二点小技巧

　　使用策略编辑器(Poledit)设置系统策略(System Policeies)

　　Windows95和98有一个被称之为策略编辑器的工具来创建和编辑系统策略。安装完之后，你可以通过按"开始按钮"｜"程序DOU  
BLE_QUOTATION｜"附件"｜"系统工具"找到策略编辑器。仅仅有系统管理员可以管理系统策略。当系统策略编辑器打开的时候，从文件菜单中选择"新策略"。会出现默认电脑和默认用户二个图标。按默认用户图标设置系统策略。按照需要授予或者限制所需要的选项。完成设置之后，把该文件保存为Config.pol。接下来，你可以设置单用户策略。从策略编辑器工具条，选择添加用户，并指派用户名和密码。使用上面同样的方法启用或者限制用户存取系统的权限。虽然比设置多用户要负责的多，但是创建用户配置文件的确是一个较好的安全模式。

　　使用NTFS得到额外的安全性能

　　当你安装WinNT的时候，你有二种选择组织和存储你的文件：NTFS(NT文件系统)或者FAT(文件分配表)。为要共享的目录和文件选择和配置NTFS格式是一个好的选择。要保护文件夹和文件，使用Windows NT资源管理器或者点击桌面的"我的电脑"，选择指定的文件后使用右键菜单，选择弹出菜单的"属性"，你可以看见三个安全选项卡：权限，审核和所有者。

　　权限选项允许你设置哪些用户组对这些文件或者文件夹有什么样的存取级别。你可以看见各种存取选项，从全部存取到不可存取。你也可以设置该安全级别是否应用于为该文件夹下的所有文件和子文件夹。为你需要跟踪的用户选择用户组和文件夹和文件。所有者选项让你选择文件和文件夹的所有者。默认的，如果你创建一个文件夹或者文件的时候已经有了所有者，而且你也已经拥有了编辑权限。

　　你也许觉得，在这个熟悉的Windows世界，加上我们刚才介绍的这些技巧，我们就可以不再为资料的丢失或者系统被入侵而担忧了。然而，事实上，那些不怀好意的人总还有各种各样的方法获取我们的资料或者破坏我们的系统。按照本文所述的技巧加上你的一些努力，你可以让你系统更安全，让你工作和学习更加轻松，仅此而已，绝不是高枕无忧。