|员|

企业需要安全人看微软对员工的十个安全原则(2)

发布时间:2012-01-17 13:57 作者:佚名来源:51CTO 点击:加载中...次

要了解原因，就要把操作系统文件，想象成计算机中最能够信任的文件，且通常是以系统层次的特殊权限执行，也就是说它们可以做任何的事情。此外，可以信任它们管理使用者账户、处理密码变更，以及执行谁可以做什么的支配规则。如果一个动机不良的人变更这些文件，这些文件就变得无法信任，并且会做此人叫它们做的事，因此没有什么他办不到的事。他可以窃取密码，让他自己成为计算机的系统管理员，或是新增全新的功能到操作系统。为预防这类型的攻击，请确定系统文件(与登录文件)的保护周全(在MicrosoftSecurity网站上的安全检查清单，会帮助您做到这点)。

法则3：如果动机不良的人能够无限制地实体存取您的计算机，那么该计算机便不再属于您。

如果一个动机不良的人能够使用您的计算机，他可以做的事情不少。这里列出从石器时代到太空时代的取样：

1.他可以发动技术性极低的拒绝服务攻击，并用大锤砸烂您的计算机。

2.他可以把计算机的插座拔掉，把它运到大楼外面，然后以它要挟赎金。

3.他可以用磁盘开机，重新格式化您的硬盘。但是等一等，您说：「计算机开机时，计算机上的BIOS有设定提示输入密码。」这没什么难的，他大可打开计算机机壳，变更系统硬件，更换BIOS的芯片(其实，还有很多更容易的方式)。

4.他可以把您的硬盘从您的计算机移除，然后把它安装到他的计算机并阅读里面的东西。

5.他可以复制您的硬盘然后带回他的窝。在那里，他有足够的时间进行暴力攻击，例如尝试所有可能的登入密码。有可用的程序自动化这个工作，假如时间足够，毫无疑问的他会成功。成功后，前述的法则1与法则2就派上用场了。

6.他可以将您的键盘替换成装有无线发报机的键盘，监视您输入的所有讯息，包括您的密码。

要永远确定计算机实体的保护与其价值成正比，并记住计算机的价值不是只有硬件的部分，还包括其中的数据以及动机不良之人得以存取您网络的价值。商业关键性的机器，至少要放在上锁的机房，只让系统管理员或维修人员存取。但是您可能也要考虑保护其它的计算机，并可能使用额外的保护措施。

如果您带着笔记型计算机旅行，对它的保护绝对很重要。体积小、重量轻等让笔记型计算机成为旅行良伴的特性，也是让它们非常容易遭窃的原因。目前有笔记型计算机可用的锁与警铃，有的计算机还能让您取下硬盘并随身携带。您也可以使用像是Windows2000加密文件系统的功能，有人成功窃取计算机时可以减轻损害。但是可以让您完全确定文件数据安全与硬件未被变动的唯一方式，就是在旅行时永远将笔记型计算机随身携带。

法则4：如果您允许动机不良的人上载程序到您的网站，那么该网站便不再属于您。

这个法则基本上与法则1相反。在法则1的状况中，动机不良的人耍花招，让受害者下载有害的程序到他的计算机并执行该程序。在法则4的状况中，动机不良的人则上载有害的程序到别人的计算机里，并自行执行该程序。虽然当您随时让陌生人联机到您的计算机时，就会有这样的危险，但是网站涉及的案例绝大多数都是这一种。许多营运网站的人为了自己的好处而过于好客，让访客上载与执行程序。如同前面所述，如果动机不良的人能够在您计算机上执行程序，令人不悦的事就会发生。

如果您手上有网站在营运，必须限制访客所能做的事情。在您的网站上，应该只允许自己或可信任之开发者所写的程序。但这些措施可能还不够，如果您的网站是与其它网站装载于共享的服务器上，您需要特别小心。如果动机不良的人有办法拖累其它网站之一，那他很有可能会扩充他的控制到服务器本身，因而可以控制所有在上面的网站，包括您的在内。如果您是在共享服务器上，了解该服务器系统管理员的政策是什么就很重要（顺道一提，在使您的网站公开化前，要确定您已经遵循IIS4.0与IIS5.0的安全检查清单的指示）。

法则5：强大的安全性敌不过脆弱的密码。

登入程序的目的在于建立您的身份。一旦操作系统知道您的身份，就可以适当的授与或拒绝对系统资源的要求。如果动机不良的人取得您的密码，他便可用您的身份登入。事实上对操作系统而言，这个动机不良的人就是您。您在系统上能做什么他都可以做，因为他就是就是您。或许他要读取您储存在计算机上的敏感信息，例如您的电子邮件;或许您在网络上比他的权限大，所以借用您的身份便可以做平时不能做的事;或许他只想做坏事然后怪罪到您身上;不管如何，保护您的信誉是值得的。

永远使用密码。令人惊讶的是，有许多账户竟然使用空白密码。请选择一个复杂的密码，不要使用狗的名字、周年纪念日期或地方球队名称，还有，别用”password”这个字当密码!选一个混合英文字母大小写、数字、标点符号等等的密码，让它愈长愈好，并且常常变更。一旦选取了稳当的密码，要适当加以处理，不要写下来。如果您一定要把它写下来，至少把它放到安全或可以上锁的抽屉中。一个动机不良的人在找密码时，第一个会找的地方就是在您屏幕旁边的黄色小标签纸。不要告诉别人您的密码，记得富兰克林曾说：「若要两个人保守秘密，只有其中一人死掉才有可能成立。」

最后，要考虑在系统中使用比密码更强力的东西识别自己。举例来说，Windows2000支持智能卡的使用，可以显著加强系统所能执行的识别码检查。您也可以考虑生物测量（biometric）的产品，像是指纹与视网模扫描仪。

法则6：计算机的安全性只等同于可靠的系统管理员。

(责任编辑：)