在互联网上存在大量各种各样的帮助信息,告诉你如何确保计算机免受远程入侵和恶意移动代码的感染,并且在很多正规的IT安全教育培训中这样的主题也常常是重点。如果你考虑到这一点,物理上确保计算机不被盗窃并不是什么困难的事情。但对于安全保护来说,更困难的可能是,如何阻止通过网络物理连接进行的未经授权的使用。
大量的书籍甚至也包括不少讨论组,都对如何控制公司网络上的计算机并监测其使用情况这一问题进行了讨论,甚至象棘手问题处理策略之类的重要资料,我们也可以找到。但经常被忽视的一个问题是,怎样确保在你离开计算机的几分钟时间没有人利用它进行未经授权的操作。
特别是在计算机安全对你来说是非常重要的今天,这样做可能有多种原因。举例来说:
· 即使没有对员工进行严格的监测,你也可能会认为工作场所是一个安全的地方,也可以放心留下无人值守的计算机,但这可能会导致你成为心怀不满的员工或意外的访客恶意行为的牺牲品。
· 在工作场所对员工实行基于登录名的审核,可能是一个不错的选择。这样可以确保在你离开的时间,没有人可以利用你的帐户进行未经授权的操作。
· 当在咖啡馆和其他公共场所利用笔记本计算机进行工作(或娱乐)的时间,不要认为没有人会在你离开的时间偷走它。即使是留下通常值得信赖的朋友在笔记本计算机旁边,也可能会出搞笑事件,举例来说,他可能利用微软Windows操作系统的热狗展台主题将图形界面改变造成一种令人痛苦的效果。
· 当有人希望你不要离开自己的计算机以防止被盗的时间,确保系统中的机密信息不会被小偷恢复是非常重要的。
让我们确定你已经使用了包括全磁盘加密、强安全性密码的操作系统登录模式以及个人文件加密等在内显而易见的高技术措施来防范这些时刻存在的威胁。这样的话,你就应该更关注于怎样在离开笔记本计算机到洗手间或离开IT部门一次会议上办公桌这段时间里,采取什么样的措施才能保证系统的安全。下面提供的五项简单措施,就可以提高你的系统安全性,防范那些妄图直接进入的人:
1. 为基本输入输出系统BIOS和CMOS设置密码
尽管,为计算机的基本输入输出系统BIOS和CMOS设置一个密码并不能提供“真正的”安全。只要打开机箱,从主板上取下CMOS的电池,就可以轻松绕过基本输入输出系统BIOS和CMOS的设置密码。但从另一方面考虑,如果某人只有在你远离的几分钟才能接近系统的话,这会是一个非常重要的防护措施,可以降低他在你回来前获得系统控制权的概率。由于基本输入输出系统BIOS和CMOS的密码只能消除,而不会被黑客行为破解,这样也可以让你发现有人试图利用你的计算机进行未经授权的访问操作。
2. 禁止使用外部设备开机
利用一张软盘就可以实现整个操作系统的全部功能,CD或DVD、甚至USB闪存设备也可以用来启动系统,大量的黑客工具也可以做到这一点。只要将它们插入相应的驱动器中,并重新启动系统即可。如果你在CMOS设置中没有禁止这些选项的话,它们将容许其他人利用别的操作系统启动系统。正如我文章上面所述的,如果你为基本输入输出系统BIOS和CMOS设置密码,在清除密码更改设置前是不可能使用这些启动设备的。
3. 在远离计算机的时间始终锁定屏幕或登出用户
在离开的时间留下支持用户登入所有应用都处于激活状态的计算机,是让未经授权的人获得系统中的大量信息最快和最简单的方式。如果你离开的时间,磁盘解密功能是处于运行的状态,全磁盘加密并不会给信息安全带来保障,只要有足够的时间,就可以通过USB闪存设备将机密文件复制出来,甚至也许更容易,只要通过GMail或者雅虎邮箱将数据发送给本人就可以了。使用系统的屏幕锁功能,以防止这种物理连接行为。举例来说,你可以为屏幕保护程序设定密码,或者在离开的时间登出系统,这样的话,任何人想进入系统都必须再次登入。
在默认状态下,一些图形用户界面环境并不包含这样的功能,我选择的窗口管理器(AHWM和wmii)就属于这样的情况。并且,象这样的轻量级图形用户界面环境也没有相关的设置;我选择一个称做slock的屏幕锁定工具来实现这样的功能,尽管它非常小,但功能非常出色。如果你选择使用它的话,请务必记得要登出TTY控制台,因为slock本身只会锁定X会话,TTY控制台是不包括在内的。
4. 为加密工具选择只使用内存的安全部分
正如我在《“不安全的内存”常见问题解答》一文中所解释的,加密工具会将密码保存在可以使用的空间里,因此,当计算机系统内存被大量占用的时间,原先保存在内存中的数据就可能被交换到磁盘上(举例来说,根据微软的官方术语,叫做存储页文件)。如果这样的情况出现了,就可能出现在关闭系统后数据还是存在的问题。这时间,只要坐在硬盘前,运行一个简单的分析工具,加密密码就被恢复了。
解决这个问题的关键是要确保你使用的内存是安全的:对于操作系统来说,不同用处的随机存取记忆的管理方式是不一样的,预留给某一特定应用的内存位置将永远不会被交换到磁盘。如果你希望了解详细的信息,可以参考《“不安全的内存”常见问题解答》一文。当出现这种情况的时间,请确保不要在关闭系统的时间就马上离开,应该稍微再等几分钟;因为存在拥有这样功能的恶意安全装置,只要物理连接到系统上,可以快速对随机存取记忆里保存的信息进行恢复。
5. 为未经授权的密码恢复操作设定阻碍措施
现在的大部分普通操作系统都提供了对由于系统误差和用户错误操作导致的密码失败恢复设置。其中的一些甚至提供了一种可以直接恢复或重设丢失的管理员密码的办法。这也就意味着,存在一种几乎不受到任何限制进入系统任何部分的方法(除了需要专门密码的加密文件)。其中最简单的一种就是进入备用操作模式,微软Windows操作系统的安全模式和Unix(包括Linux )单用户模式就属于这种情况。
在微软Windows操作系统的安全模式下,大部分安全软件都将被禁用,甚至通常使用的一些日志和加密工具也被包括在内。对于黑客来说,这是一个不错的攻击途径,可以方便地获得系统管理员帐户的密码;举例来说,微软Windows XP操作系统就可以创建没有密码的系统管理员帐户,对于安全实践来说,这是一个多么可怕的错误啊。为了防范这种情况的发生,就需要对安全模式进行设定,禁止未经授权的人随意地进入系统。不过,如果这个人比较了解技术,能够使用网络上大量存在的Windows操作系统密码恢复工具(而且是免费的),这样的限制设定效果并没有多大。
另一方面,在Unix和类Unix操作系统中,绕过安全措施进行破解以获得root密码也是相当困难的。不过,这种操作系统提供了一种单用户模式,可以在没有正确设置的情况下,获得系统根级别的大部分权限。因此,你需要通过对TTY控制台的设置进行调整,取消root权限,来解决这个问题。在不同的操作系统下,相应的操作也是不一样的。举例来说,在FreeBSD和苹果MacOS操作系统下,你需要在/etc/ttys的文件里对配置进行调整,而在许多Linux操作系统里,它们位于/etc/securetty文件中。
结 论
显而易见,本文并不打算为你在公司网络的周边提供更好的安全,也不会教你如何进行现场调查或渗透测试。所有要做的,仅仅是提醒你安全的基础应该是个人,无论他们是什么背景(工作、家庭、学校等),对于安全事故来说,最常见的原因依旧是用户的粗心大意。尽管内容可能不那么全面(毕竟,这仅仅这个列表仅仅包含了五项),但也可以给你开始的方向。
通常情况下,安全链中最薄弱的环节就是用户。你的责任就是让这种情况不要成为现实。
【编辑推荐】