快捷搜索:

来自微软的十大安全性防护守则

轨则 1:假如念头不良的人能够说服您在自己谋略机上履行他的法度榜样,那么该谋略机便不再属于您。

轨则 2:假如念头不良的人能够在您的谋略机上变化操作系统,那么该谋略机便不再属于您。

轨则 3:假如念头不良的人能够无限定地实体存取您的谋略机,那么该谋略机便不再属于您。

轨则 4:假如您容许念头不良的人上载法度榜样到您的网站,那么该网站便不再属于您。

轨则 5:强大年夜的安然性敌不过脆弱的密码。

轨则 6:谋略机的安然性只等同于靠得住的系统治理员。

轨则 7:加密数据的安然性只等同于解密金钥。

轨则 8:过时的扫毒法度榜样比起没有扫毒法度榜样好不了若干。

轨则 9:完全的匿名不管在现实或收集上都不实际。

轨则 10:技巧不是万能药。

每年微软安然相应中间(Microsoft Security Response Center)查询造访的安然申报数以千计。在部分案例中,一旦发明此中一份申报指出某个安然性的弱点肇因于某项产品的缺陷,微软就会尽快开拓修补法度榜样以修正差错 (请参阅浏览Microsoft Security Response Center)。在其它的案例中,申报的问题不过是在应用产品时工资差错所致。还有很多的案例是介于两者之间,探究的是真正的安然性问题,但每每并非由产品缺陷所引起。几年以来,微软开拓出类似这些问题的清单,称为“十个不变的安然性轨则”。

别操心等待防止以下所评论争论之问题发生的修补法度榜样上市。Microsoft 或其它软件厂商弗成能完全修补这些问题,由于这些问题是因谋略机的运作要领而孕育发生。但也别完全扫兴,明智的判断力是防止这些问题在您身上发生的关键。假如 您切记这些轨则,便可以显明的改良您系统的安然性。

轨则1:假如念头不良的人能够说服您在自己谋略机上履行他的法度榜样,那么该谋略机便不再属于您。

这是谋略机科学不幸的事实:当谋略机法度榜样履行时,不管该法度榜样是否有害,它会遵循法度榜样唆使功课。当您选择履行一个法度榜样时,这个抉择便把谋略机的节制权 拜托给该法度榜样。一旦法度榜样开始履行,可能会做任何工作,但不会逾越您在谋略机上所能做的事。法度榜样可以监视您的按键输入并传送到网站、打开谋略机上的每一个文 件,并将所有文件中的「会」这个字变化为「不会」、传送粗鲁无礼的电子邮件给您所有的同伙、安装病毒、建立「后门」让他人远程节制您的谋略机、拨接到尼泊 尔加德满都的 ISP,或者把您的硬盘从新款式化。

以是这点异常紧张:永世不要从不能相信的资本履行以致下载法度榜样,而「资本」所指的是写法度榜样而不是给您法度榜样的人。履行法度榜样与吃三明治是很好的模拟:如 果有个陌生人走到您眼前,给您一块三明治,您会吃吗?生怕不会吧;假如是您最好的同伙给您三明治呢?您可能会吃,也可能不会吃,得看她是自己做的照样在路 上捡到的。将三明治情境中应用的判断思虑利用到法度榜样上,您多数会很安然。

轨则2:假如念头不良的人能够在您的谋略机上变化操作系统,那么该谋略机便不再属于您。

操作系统终极不过是一系列的 0 与 1,被处置惩罚器解译时,会激发谋略机做特定的事故,而 0 与 1 改变时,会完成不合的事故。0 与 1 储存在哪里呢?便是与其它器械合营存在谋略机上!它们只是文件,但假如其它应用谋略机的人可以变化这些文件,那就不妙了。

要懂得缘故原由,就要把操作系统文件,想象成谋略机中最能够相信的文件,且平日因此系统层次的特殊权限履行,也便是说它们可以做任何的工作。此外,可以 相信它们治理应用者账户、处置惩罚密码变化,以及履行谁可以做什么的布置规则。假如一个念头不良的人变化这些文件,这些文件就变得无法相信,并且会做此人叫它 们做的事,是以没有什么他办不到的事。他可以偷取密码,让他自己成

为谋略机的系统治理员,或是新增全新的功能到操作系统。为预防这类型的进击,请确定系统 文件 (与登录文件) 的保护全面 (在 Microsoft Security 网站上的安然反省清单,会赞助您做到这点)。

轨则3:假如念头不良的人能够无限定地实体存取您的谋略机,那么该谋略机便不再属于您。

假如一个念头不良的人能够应用您的谋略机,他可以做的工作不少。这里列出从石器期间到太空期间的取样:

他可以发动技巧性极低的回绝办事进击,并用大年夜锤砸烂您的谋略机。

·他可以把谋略机的插座拔掉落,把它运到大年夜楼外貌,然后以它威胁赎金。

·他可以用磁盘开机,从新款式化您的硬盘。然则等一等,您说:「谋略机开机时,谋略机上的 BIOS 有设定提示输入密码。」这没什么难的,他大年夜可打开谋略机机壳,变化系统硬件,替换 BIOS 的芯片 (着实,还有很多更轻易的要领)。

·他可以把您的硬盘从您的谋略机移除,然后把它安装到他的谋略机并涉猎里面的器械。

·他可以复制您的硬盘然后带回他的窝。在那里,他有足够的光阴进行暴力进击,例如考试测验所有可能的登入密码。有可用的法度榜样自动化这个事情,要是光阴足够,毫无疑问的他会成功。成功后,前述的轨则 1 与轨则 2 就派上用处了。

·他可以将您的键盘调换成装有无线发报机的键盘,监视您输入的所有讯息,包括您的密码。

要永世确定谋略机实体的保护与其代价成正比,并记着谋略机的代价不是只有硬件的部分,还包括此中的数据以及念头不良之人得以存取您收集的代价。商业关键性 的机械,至少要放在上锁的机房,只让系统治理员或维修职员存取。然则您可能也要斟酌保护其它的谋略机,并可能应用额外的保护步伐。

假如您带着条记型谋略机旅行,对它的保护绝对很紧张。体积小、重量轻等让条记型谋略机成为旅行匹俦的特点,也是让它们异常轻易遭窃的缘故原由。今朝有笔 记型谋略机可用的锁与警铃,有的谋略机还能让您取下硬盘并随身携带。您也可以应用像是 Windows 2000 加密文件系统的功能,有人成功偷取谋略机时可以减轻侵害。然则可以让您完全确定文件数据安然与硬件未被更改的独一要领,便是在旅行时永世将条记型谋略机随 身携带。

轨则4:假如您容许念头不良的人上载法度榜样到您的网站,那么该网站便不再属于您。

这个轨则基础上与轨则 1 相反。在轨则 1 的状况中,念头不良的人耍花招,让受害者下载有害的法度榜样到他的谋略机并履行该法度榜样。在轨则 4 的状况中,念头不良的人则上载有害的法度榜样到别人的谋略机里,并自行履行该法度榜样。虽然当您随时让陌生人联机到您的谋略机时,就会有这样的危险,然则网站涉及 的案例绝大年夜多半都是这一种。许多营运网站的工资了自己的好处而过于好客,让访客上载与履行法度榜样。犹如前面所述,假如念头不良的人能够在您谋略机上履行程 序,令人不悦的事就会发生。

假如您手上有网站在营运,必须限定访客所能做的工作。在您的网站上,应该只容许自己或可托任之开拓者所写的法度榜样。但这些步伐可能还不敷,假如您的网 站是与其它网站装载于共享的办事器上,您必要分外小心。假如念头不良的人有法子拖累其它网站之一,那他很有可能会扩充他的节制到办事器本身,因而可以节制 所有在上面的网站,包括您的在内。假如您是在共享办事器上,懂得该办事器系统治理员的政策是什么就很紧张 (顺路一提,在使您的网站公开化前,要确定您已经遵照 IIS 4.0 与 IIS 5.0 的安然反省清单的唆使)。

轨则5:强大年夜的安然性敌不过脆弱的密码。

登入法度榜样的目的在于建立您的身份。一旦操作系统知道您的身份,就可以适当的给与或回绝对系统资本的要求。假如念头不良的人取得您的密码,他便可用

您 的身份登入。事实上对操作系统而言,这个念头不良的人便是您。您在系统上能做什么他都可以做,由于他便是便是您。或许他要读取您储存在谋略机上的敏感信 息,例如您的电子邮件;或许您在收集上比他的权限大年夜,以是借用您的身份便可以做日常平凡不能做的事;或许他只想做坏事然后怪罪到您身上;不管若何,保护您的信 誉是值得的。

永世应用密码。令人惊疑的是,有许多账户竟然应用空缺密码。请选择一个繁杂的密码,不要应用狗的名字、周年纪念日期或地方球队名称,还有,别用 ”password” 这个字当密码!选一个混杂英翰墨母大年夜小写、数字、标点符号等等的密码,让它愈长愈好,并且经常变化。一旦拔取了稳当的密码,要适当加以处置惩罚,不要写下来。 假如您必然要把它写下来,至少把它放到安然或可以上锁的抽屉中。一个念头不良的人在找密码时,第一个会找的地便利是在您屏幕左右的黄色小标签纸。不要奉告 别人您的密码,记得富兰克林曾说:「若要两小我守旧秘密,只有此中一人逝世掉落才有可能成立。」

着末,要斟酌在系统中应用比密码更强力的器械识别自己。举例来说,Windows 2000 支持智能卡的应用,可以显明加强系统所能履行的识别码反省。您也可以斟酌生物丈量 (biometric) 的产品,像是指纹与视网模扫描仪。

您可能还会对下面的文章感兴趣: