功能說明:
·
這篇文章提供 Windows 7 Professional 本機使用者設定使用,其他版本的 Windows 設定(例如:Windows XP),請參考部落格中的其他文件。本文中有些設定不適用於網域(Domain)登入的使用者,例如:services 中的
Workstation 必須維持【自動】。不過大部分的筆記型電腦與家裡所使用的桌上型電腦都是使用本機登入,所以這些設定還是適用許多電腦。
·
這個設定主要在防範 『螢幕監視 ( 或
監控 ) 木馬程式』之監視。本文作者認為這樣的影響對社會的破壞不小。此事看似並無嚴重損失,其實電腦螢幕若被監視,則代表資料已經被監視者所複製 (Print
Screen, 使用鍵盤 Shift + Prt Sc )。因此資料或技術已經在不知不覺中被監視者所竊取。
·
這個設定擁有網路連線、ADSL 連線、FTP 檔案下載等功能,沒有“檔案共享”功能,因為開啟“檔案共享”功能只是徒增安全性的問題。另外,因為現在隨身碟很便宜,相較之下,使用隨身碟是安全又方便許多。
·
木馬程式不一定具有病毒之特性,也就是自我傳播的功能。需要入侵者植入,因此木馬掃除軟體很難判斷某一個程式是否為木馬程式(特洛伊程式:Trojan,特洛伊木馬:Trojan
Horse ),因此不像病毒容易收集。木馬掃除程式需要花更多被的時間測試,才能一一納入木馬特徵資料庫中。這代表掃除木馬軟體的技術不如防毒軟體成熟,也因此比較難以判斷其優劣。
第一篇 基本防毒與防駭設定
第一章 密碼與登入安全
1、密碼強度計算
來源:外部攻擊 ( 網路攻擊 ) 、內部攻擊
分類:基本設定
重要程度:★★★★★
受破壞的方式:帳號被登入、檔案被盜取、螢幕被監控、主機被使用
詳細說明:
駭客通常是使用工具軟體來從事破壞竊取行為,以加速登入速度 ( trial
and error ).
若是這些人所使用的工具每秒鐘可以試 100 個密碼,
並且利用他們所能運用的資源,
假設是 1000 台電腦主機,
若要設定一個讓他們 10 年後也破解不了的密碼,
若不考慮特殊字元 *&^%$#@!)(,./?"; ...
只用英文大小寫及數字,
也就是 26*2 + 10
= 62 個字元.
那需要設定成幾個字元的密碼呢 ?
100 ( 個密碼 / 每秒鐘 ) * 60 ( 秒 / 每分鐘 ) * 60 ( 分 / 每小時 ) * 24 ( 小時 / 每日 ) * 365 (
日 / 每年 ) * 10 ( 年 ) * 1000
(台電腦主機)
= 31536000000000 ( 個密碼 )
31536000000000 ( 個密碼 ) / 62**8 ( 次方 ) =
0.14443521457278964273299048346636
≦ 1 / 2
要 8 個字元才夠用。不過密碼長度若在規定的範圍內,當然是設定得越長越安全(
越不容易破解
)。
2、使用“密碼產生器”來產生高強度密碼
來源:外部攻擊 ( 網路攻擊 )
分類:基本設定、資料安全、防駭
重要程度:★★★★★
破壞的方式:帳號被登入、螢幕被監控、資料被竊取
詳細說明:
若密碼被竊取,則駭客就可以來查詢你的銀行帳戶資料,利用你的身份來發 e-mail,修改你在網站上所儲存的資料等等。
工具介紹:PWGen
·
這是一個密碼產生器軟體,但使用時最好網路先斷線,以免被螢幕監視木馬程式複製螢幕畫面。不同性質的密碼最好儲存在不同的檔案。因為一旦你的電腦若被植入螢幕監視型木馬,開啟一個檔案代表裡面的資料會都全部被看到。
·
你也不一定只能選擇網路先斷線的方法。在你使用 PWGen 一次產生多組密碼(Number of
Passwords: 100 【Generate】)之後,在彈出視窗中使用滑鼠右鍵 → 【Select All(全選)】
→ 【Change
Font(變更字型)】 → 在【大小】文字方塊中輸入數字“3”以下
→ 將彈出視窗的捲軸往下捲動,之後在彈出視窗中 “複製” 一組密碼。這樣的做法可以提升你的密碼安全,特別是若你的電腦已經被駭客植入監視型(或監控型)木馬之後,這樣做才不致於新產生的密碼再次被駭客所竊取。
·
你也可以用WordPad來保存密碼。使用 WordPad 之前,必須先將 WordPad 功能表中的【字型大小】文字方塊並輸入數字“3”以下,然後再按滑鼠右鍵【貼上】將先前【複製】的密碼貼到WordPad之中。你可以將WordPad中的帳號及密碼的【字型大小】設定為
“3”以下,並且保留其他關鍵字【字型大小】為預設值“11”。如此一來,就算之前已經被駭客植入木馬程式,也不用擔心密碼會被複製;就算被複製,也不容易辨識。
·
筆記本(NotePad)因為只要更改【字型大小】設定(路徑為:【格式】→【字型】→【大小】),就會適用到所有的 *.txt 檔案,因此比較不適合儲存密碼。但是因為 *.txt 檔案格式的優點是不會儲存字型、大小、顏色等這些資訊,因此適合用來檢視或編輯程式碼、腳本這一類的文件。
·
網站登入密碼(或網路連線密碼)最好每隔 90 天就更換,以避免密碼被駭客竊取的問題。或是使用超過一定的次數(
例如:30 次)就重新再產生一組密碼。本機登入密碼(或網域登入密碼)則不需要如此頻繁。
3、密碼檔案加密:
來源:外部攻擊 ( 網路攻擊 )、內部攻擊
分類:基本設定、防駭
重要程度:★★★★★
受破壞的方式:帳號被登入、檔案被盜取、主機被使用
工具:
·
使用專門用來做檔案加密的軟體來為密碼檔案加密,例如:File
Encryption 2.1。使用 File Encryption 時,可以製作一個檔案清單,紀錄有哪些檔案是經過加密的,並且記錄其密碼到這個清單之中。最後再將這個檔案存到隨身碟。當你重新安裝作業系統之時,只要再次安裝 File
Encryption,就可以用你儲存到另一個檔案的密碼將檔案解密。
·
也可以使用壓縮軟體來加密,例如: IZArc、FilZip、WinRAR、WinZip。
4、IP寬頻分享器設定高強度密碼
來源:外部攻擊 ( 網路攻擊 )
分類:基本設定、防駭
重要程度:★★★★☆
受破壞的方式:帳號被登入、檔案被盜取、螢幕被監控、主機被使用
詳細說明:
IP 寬頻分享器
若沒使用到無線網路, 取消其功能, 並且用複雜之密碼, 並使用複製、貼上之方法。
5、使用“螢幕保護裝置”功能
來源:內部攻擊
分類:本機安全設定、防駭
重要程度:★★★★☆
路徑:
·
【控制台】→【個人化】→【螢幕保護裝置】→【等候____分鐘】設定一個數字,以及勾選【繼續執行後,顯示登入畫面(R)】。
·
【桌面】 (滑鼠右鍵)
→【個人化】→【螢幕保護裝置】→【等候____分鐘】設定一個數字,以及勾選【繼續執行後,顯示登入畫面(R)】。
詳細說明:
因為其他事必須離開座位時,不要忘記按( Ctrl +
Alt + Del )先將螢幕鎖住再離開。建議將【螢幕保護裝置】啟動時間設定為 10 分鐘比較剛好,這樣在使用者離開座位後,比較不會被其他人利用這個時間來植入木馬。
6、使用“指紋辨識器”登入( 使用“智慧卡”登入、使用“臉部辨識”登入
)
來源:內部攻擊
分類:本機安全設定、防駭
重要程度:★★★☆☆
詳細說明:
·
未來在選購筆記型電腦時,可以選擇內建有 “指紋辨識系統”的機型。“指紋辨識系統”的主要用途是出現開機時的登入畫面中,取代了一般的帳號及密碼登入,比一般的密碼安全很多。“指紋辨識系統”的密碼,就是指紋,兩個人有相同指紋的機率非常低,因此可以說提供了“機密性”(confidentiality)。
·
目前各家 Notebook PC 廠商也開始推出臉部辨識系統的機型,臉部辨識系統的優點是不會有銅金屬感應器因接觸或長期暴露在潮濕的環境而生鏽的疑慮。不過這個部份已經有一兩家 Notebook
PC 廠商做了改良,也就是採用感熱性良好、不會生鏽的合金材料技術做為指紋辨識系統的感應器。因此已經解決了這個問題,並且也有一些商用機型的筆記型電腦採用。有些甚至於同時具備這兩種辨識系統(指紋辨識系統與臉部辨識系統)。
·
你必須記錄下 “啟動前設定管理員(Preboot
Manager)” 標籤頁中的
“系統存取密碼(System Access Password)”,否則在你下次重新安裝作業系統時,你就無法再使用
“指紋辨識系統”,除非聯絡原廠重新設定 BIOS 中的資料。
·
依照安全程度比較,“指紋辨識軟體”中的安全等級選項有以下幾種:“密碼和生物識別特徵” > “只要生物識別特徵” > “只要密碼” > “密碼或生物識別特徵”。
·
若你使用的是“指紋辨識系統”,在建立“指紋資料庫”,並且在評估你使用習慣上的弱點之後,應該將
“登入條件” 設定為比較安全的“密碼和生物識別特徵”或“只要生物識別特徵”選項。盡量避免選擇不安全的 “只要密碼”或“密碼或生物識別特徵” 選項。甚至在內部攻擊者嘗試接近電腦的次數越來越頻繁之時,最好將“登入條件” 設定為最安全的“密碼和生物識別特徵”選項。
·
你必須確定在你變更使用者密碼之後,“指紋資料庫”是否要重新建立。確認的方式是先將安全性選項設定為“密碼或生物識別特徵”,然後重新登入看看。
7、互動式登入: 不要顯示上次登入的使用者名稱
來源:內部攻擊、外部攻擊 ( 網路攻擊 )
分類:本機安全設定、防駭
重要程度:★★★★☆
路徑:
【控制台】
→ 【系統管理工具】
→ 【本機安全性原則】
→ 【本機原則】
→ 【安全性選項】
→ 【互動式登入: 不要顯示上次登入的使用者名稱】
詳細說明:
使用此功能,增加登入的困難度。換句話說,也就是增加登入的複雜度,等於是密碼複雜度的延伸。
8、查看 "事件檢視器" 就可以知道電腦是否被人使用 (開機)
來源:內部攻擊
分類:網路安全設定、防駭
重要程度:★★★☆☆
路徑:
【控制台】→【系統管理工具】→【事件檢視器】→【Windows 記錄】→【安全性】
詳細說明:
由開機的時間,可以判斷是不是使用者本人開機。例如:不是使用者本人的作息時間。
9、網站登入密碼變更
來源:外部攻擊 ( 網路攻擊 )
分類:防駭、郵件安全、資料安全
重要程度:★★★☆☆
受破壞的方式:帳號被登入、郵件帳號被盜用、網站內容被竄改
詳細說明:
·
變更網站登入密碼之時,也要一併變更 “密碼救援” 或
“安全性問題”。若使用者只有執行
“變更密碼”,攻擊者只要能回答出
“安全性問題”,密碼就會被攻擊者再次變更。
·
你可能覺得同時要變更兩種資料很麻煩。但如果你忘記密碼的時候,你只有 e-mail 密碼到我的信箱這個方法可以使用。因此,若你連 e-mail 的密碼也忘記的時候,這個帳號也會無法再使用了。
第二章 防毒與防駭軟體
1、從 Microsoft 官方網站下載 service pack 及 security
updates 修復程式至本機安裝
來源:外部攻擊 ( 網路攻擊 )
分類:基本設定、防毒、防駭
重要程度:★★★★☆
受破壞的方式:檔案被盜取、螢幕被監控、主機被使用
路徑:
詳細說明:
·
若你不想安裝某個安全性更新,取消勾選,下次執行【Windows
Updates】時仍會出現。在該 【安全性更新】 上,按 ( 滑鼠右鍵 ) → 【隱藏更新】。
·
請參見這個部落格的另一篇文章《Windows 7 Professional 及Office
Professional Plus 2010 安全性更新列表 至 1010102》。
2、安裝防火牆
來源:外部攻擊 ( 網路攻擊 )
分類:網路安全設定、防駭
重要程度:★★★★☆
受破壞的方式:檔案被盜取、螢幕被監控、主機被使用
工具:
Windows 7 作業系統內建的 Windows 防火牆效能就已經很好,建議使用 Windows 防火牆即可,不需下載市面上的免費防火牆來使用。
3、安裝掃毒軟體
來源:外部攻擊 ( 網路攻擊 )
分類:基本設定、防毒
重要程度:★★★★★
受破壞的方式:檔案被盜取、螢幕被監控、主機被使用
工具:
Avira AntiVir Personal、AVG
AntiVirus 防毒軟體免費中文版、Avast AntiVirus 防毒軟體免費中文版。
詳細說明:
·
防毒軟體的即時防毒功能在一台主機上只能安裝一套,否則可能會造成無法開機、作業系統嚴重緩慢等問題。
·
防毒軟體排名請參考“參考書目”所列之網站。
參考書目:
4、使用掃除木馬工具
來源:外部攻擊 ( 網路攻擊 )、內部攻擊
分類:基本設定、防駭
重要程度:★★★★★
受破壞的方式:檔案被盜取、螢幕被監控、主機被使用
工具:
Emsi Anti-Malware、MooSoft
The Cleaner 2012、Microsoft Windows Defender、GFI VIPRE® Antivirus 2012
詳細說明:
·
掃除木馬軟體的技術不像掃毒軟體的技術那樣成熟,因此幾乎可以將所有病毒 100% 掃描出來。但木馬程式卻不容易辨識,準確率很難達到 100%,因此建議可以同時安裝兩套或三套木馬掃除軟體。
·
第一次完整掃描完成之後,仍需不定時做完整掃描。若不定時掃描會掃出木馬程式,表示你的電腦沒有設定完整。
5、設定 Windows Update
來源:外部攻擊 ( 網路攻擊 )
分類:基本設定、防駭
重要程度:★★★★☆
受破壞的方式:帳號被登入、螢幕被監控
路徑:
【控制台】
→ 【Windows
Update】 → 【變更設定】 → 【檢查更新,但是讓我選擇是否要下載及安裝它們】。
詳細說明:
隨時檢查 Microsoft
公司是否找到新的作業系統漏洞弱點,並且發佈(解決)新的安全性更新(修補程式)。
第三章 網路與系統設定
1、關閉 “微軟網路用戶端”功能
原名: Client for Microsoft Network
來源:外部攻擊 ( 網路攻擊 )
分類:網路安全設定、防駭
重要程度:★★★★★
路徑:
【網路】(滑鼠右鍵) → 【內容】
→ 【變更介面卡設定】→ (滑鼠點兩次)【Local Area
Connection】→ (滑鼠點選)【內容】
→ (滑鼠取消) 【Client for
Microsoft Network】
備註:
如果你的電腦有行動網路卡或無線網路卡,也要一併使用這個設定。
2、關閉 “檔案及印表機分享”功能
原名:File and Printer Sharing for Microsoft Networks
來源:外部攻擊 ( 網路攻擊 )、防駭
分類:網路安全設定
重要程度:★★★☆☆
路徑:
【網路】(滑鼠右鍵) → 【內容】
→ 【變更介面卡設定】
→ 取消【File and
Printer Sharing for Microsoft Networks】
詳細說明:
防止區域網路內先前已被入侵的電腦成為跳板, 用來入侵區域網路內的其他電腦,而使用者卻不自覺。
備註:
如果你的電腦有行動網路卡或無線網路卡,也要一併使用這個設定。
3、關閉 WINS 連線 ( NetBIOS 通訊協定 )
原名:WINS client ( NetBIOS protocol )
來源:外部攻擊 ( 網路攻擊 )
分類:網路安全設定、防駭
重要程度:★★★★★
路徑:
【網路】(滑鼠右鍵) → 【內容】
→ 【變更介面卡設定】
→ 點選【網際網路通訊協定第 4 版
(TCP/IPv4)】 → 【內容】 → 【進階】 → 【WINS】 → 選取 【停用NetBIOS
over TCP/IP】 (S)
備註:
如果你的電腦有行動網路卡或無線網路卡,也要一併使用這個設定。
4、關閉網路開機功能
原名:Wake On LAN
來源:外部攻擊 ( 網路攻擊 )
分類:網路安全設定、防駭
重要程度:★★★★☆
路徑:
·
網路開機:【電腦】 → 【內容】 → 【裝置管理員】 → 【網路介面卡】→ (滑鼠右鍵) 選擇其中一塊網路介面卡
→ 【內容】
→ 【進階】
→ 設定【Shutdown
Wake-On-LAN】、【Wake on Magic Packet】、【Wake on pattern match】等三種服務的值為 disable 或 none。
·
預防裝置關閉:【電源管理】 → 取消【允許電腦關閉這個裝置以節省電源】的設定,以免 service 或 server 被入侵者停用。
詳細說明:
·
防止電腦主機在關機狀態下被啟動,而後嘗試入侵、竊取資料。
·
連續多次開關機會對電腦主機電路板造成傷害。
·
商業用途之伺服器主機的服務會因而被中斷, 導致交易失敗, 訂單無法被確認, 客戶漸漸流失等問題。
5、停用不必要之服務
原名:服務〈Services〉
來源:外部攻擊 ( 網路攻擊 )
分類:本機安全設定、防駭
重要程度:★★★★☆
路徑:
(1)、在 "搜尋程式及檔案" 中輸入
services.msc
(2)、【控制台】→【系統管理工具】→【服務】 → 修改下列設定
|
名稱
|
( 原本 ) 狀態
|
( 修改後 ) 狀態
|
|
Computer Browser
|
手動
|
停用
|
|
Home Group Listener
|
手動
|
停用
|
|
Home Group Provider
|
手動
|
停用
|
|
Offline Files
|
自動
|
停用
|
|
Remote
Desktop Configuration
|
手動
|
停用
|
|
Remote
Desktop Services
|
手動
|
停用
|
|
Remote
Desktop Services UserMode Port Redirector
|
手動
|
停用
|
|
Remote
Registry
|
手動
|
停用
|
|
Secondary
logon
|
手動
|
停用
|
|
Server
|
自動
|
停用
|
|
Windows
Remote Management (WS-Management)
|
手動
|
停用
|
|
Workstation
|
自動
|
停用
|
6、關閉“遠端協助”
來源:外部攻擊 ( 網路攻擊 )
分類:網路安全設定、防駭
重要程度:★★★☆☆
路徑:
【電腦】
→ 【內容】 → 【進階設定】 → 【遠端協助】
→ 取消
【允許到這部電腦的遠端協助連線】。
詳細說明:
·
【所有程式】 → 【維護】 → 【Windows 遠端協助】→ 【邀請您所信任的人員協助您】
·
【所有程式】 → 【維護】 → 【Windows 遠端協助】→ 【協助邀請您的人員】
7、關閉 IP 寬頻分享器 “啟用無線網路” 功能
來源:外部攻擊 ( 網路攻擊 )
分類:網路安全設定、防駭
重要程度:★★★☆☆
詳細說明:
·
IP 寬頻分享器之 "啟用無線網路" 功能若開啟時,預設的情況是將 SSID 發佈出去,密碼為空白。這種情況下,入侵者只要在你的IP 寬頻分享器附近使用筆記型電腦,並且開啟 "無線網路卡",就可以順利連線,並且跟使用者是在同一個區域網路內。
·
因此使用者若是用不到這個功能,可以將他關閉。若要啟用無線網路功能,也應該選擇有加密的驗證方式及通訊協定。
8、關閉“遠端修改登錄檔”功能
原名:Registry
來源:外部攻擊 ( 網路攻擊 )
分類:網路安全設定、防駭
重要程度:★★★★☆
路徑:
執行
Regedt32.exe 程式之後,路徑移至
“HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies”,“新增”→“DWORD (32-位元) 值(D)” → 【名稱】欄位輸入“DisableRegistryTools”
,【資料】欄位設定為
“1”。
9、關閉光碟機及隨身碟的“自動執行”功能
原名:AUTORUN
來源:內部攻擊
分類:網路安全設定、防毒、防駭
重要程度:★★★★☆
路徑:
執行 Regedt32.exe 程式之後,路徑移至 “HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies”,“新增”→“機碼”→ “Explorer”;再移至“HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer”,“新增”→“DWORD (32-位元) 值(D)”→ 【名稱】欄位輸入“NoDriveTypeAutoRun”
,【資料】欄位設定為
“bd”(189)。
10、進階 Windows 系統安全設定
來源:外部攻擊 ( 網路攻擊 )
分類:網路安全設定、防駭
重要程度:★★★☆☆
路徑:
·
禁止建立匿名連結。執行 Regedt32.exe 之後,路徑移至“HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Lsa”,“新增”→“DWORD (32-位元) 值(D)”→“restrictanonymous”設定為“1”。
·
禁止建立 SAM 加密帳號匿名連結。執行 Regedt32.exe 之後,路徑移至“HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Lsa”,“新增
→“DWORD (32-位元) 值(D)”→“restrictanonymoussam”設定為“1”。
·
禁止系統自動啟動伺服器共用。執行 Regedt32.exe 之後,路徑移至“HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/LanmanServer/Parameters”,“新增”→“DWORD (32-位元) 值(D)”→“AutoShareServer”設定為
“0”。
·
禁止系統自動啟動工作站共用。執行 Regedt32.exe 之後,路徑移至
“HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/LanmanWorkstation/Parameters”,“新增”→“DWORD (32-位元) 值(D)”→“AutoShareWKs”設定為“0”。
·
關閉445 port。執行
Regedt32.exe 之後,路徑移至“HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/netBT/Parameters”,“新增”→“DWORD (32-位元) 值(D)”→“SMBDeviceEnabled”設定為“0”。
11、取消【網路存取:不允許SAM帳戶的匿名枚舉】
來源:外部攻擊 ( 網路攻擊 )
分類:網路安全設定、防駭
重要程度:★★★★☆
受破壞的方式:帳號被登入、檔案被盜取、螢幕被監控、主機被使用
路徑:
·
【本機原則】→【安全性選項】→【網路存取:不允許SAM帳戶的匿名枚舉】→【已啟用】
·
執行 Regedt32.exe 之後,路徑移至 “HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa/restrictanonymous”,
數值資料設定為“1”。
12、取消【網路存取:不允許SAM帳戶和共用的匿名枚舉】
來源:外部攻擊 ( 網路攻擊 )
分類:網路安全設定、防駭
重要程度:★★★★☆
受破壞的方式:帳號被登入、檔案被盜取、螢幕被監控、主機被使用
路徑:
·
【本機原則】→【安全性選項】→【網路存取:不允許SAM帳戶和共用的匿名枚舉】→【已啟用】
·
執行 Regedt32.exe 之後,路徑移至 “HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa/restrictanonymoussam”,
數值資料設定為“1”。
第四章 運用 Windows 7 的新功能提升系統安全
1、使用【系統保護】功能
來源:操作疏失、內部攻擊
分類:本機安全設定、防駭
重要程度:★★★☆☆
路徑:
·
【電腦 】(右鍵) → 【內容】
→ 【系統保護】
→ 設定 C:
·
D: “保護”為 “開啟”
·
【電腦 】(右鍵) → 【內容】 → 【進階系統設定】
→ 【系統保護】 → 設定 C:
·
D: “保護”為 “開啟”
詳細說明:
·
建立還原點的路徑:【電腦】(右鍵) → 【內容】
→ 【系統保護】
→ 【建立】
→ 【建立還原點】→ 輸入還原點名稱。
·
使用時機:安裝要測試的軟體時,可以先建立“還原點”,若要測試的軟體會造成系統操作有問題或不能完全移除 (移除不乾淨) 時,就可以使用這個功能還原到先前建立的還原點。
2、使用【備份與還原】功能
來源:操作疏失、內部攻擊
分類:本機安全設定、防駭
重要程度:★★★☆☆
路徑:【控制台】 → 【備份與還原】
詳細說明:
·
在有安全疑慮之時,能使用最短之時間,回到安全之還原點。
·
建立“還原點”之最佳時間,應該是在全機木馬掃描之後。最好在 1~3 天之前也已經完成全機病毒掃描。
·
還原之前必須注意WindowsImageBackup\workcomputer-PC\Backup
2011-04-27 142958\f368590a-c299-4813-b11e-0f4d8084720f_*.* 這些檔案的修改時間。本文作者實際遇到的狀況是入侵者 (通常是內部入侵者) 在入侵後修改設定並植入木馬後,覆蓋過原本所備份的檔案。因此不管怎麼還原,螢幕還是被監控,等發現之後,已經經過多日之後,因此資料螢幕已經被複製不少。
3、BitLocker 磁碟機加密
來源:內部攻擊
分類:實體安全、資料安全
重要程度:★★★★☆
受破壞的方式:檔案被盜取、帳號被登入
詳細說明:
·
磁碟機加密 (硬碟加密),主要是基於實體安全之考量。若硬碟沒有加密,內部入侵者只要將硬碟拆下來,就能夠複製使用者硬碟中的所有資料。
·
使用 BitLocker 磁碟機加密功能,需要內建有 TPM
(Trusted Platform Module) 可信賴平台模組的電腦才能使用。否則在你使用Turn On
BitLocker 時,系統也會出現錯誤訊息跟你說你的電腦沒有安裝 TPM (Trusted Platform Module) 可信賴平台模組。
·
若是 BitLocker 可以順利 "開啟",則表示你的電腦有 TPM
(Trusted Platform Module) 可信賴平台模組,並且在 BIOS 中設定為開啟。若是筆記型電腦,TPM (Trusted
Platform Module) 可信賴平台模組的開啟,需要到 BIOS 中設定。
·
若你的電腦可以執行磁碟機加密 (硬碟加密),則不只是內接式的硬碟可以加密,其他外接式硬碟、隨身碟等也都可以透過 TPM 晶片加密。
4、資源監視器
來源:外部 (網路) 攻擊
分類:本機安全設定、防駭
重要程度:★★★★☆
受破壞的方式:帳號被登入、檔案被盜取、螢幕被監控、主機被使用
路徑:
·
【控制台】 → 【 效能資訊及工具】
→ 【進階工具】
→ 【開啟資源監視器】 → 選擇【網路】分頁 (tab)
·
【控制台】 → 【 系統管理工具】
→ 【效能監視器】
→ 【開啟資源監視器】 → 選擇【網路】分頁 (tab)
詳細說明:
·
運用這個 Windows 7 內建的工具,可以檢查是否有不正常之連線 ( 不信任的網址在活動 )。
·
最嚴重的情況是檔案被傳送到不明的網址,使用者可以使用這個工具來檢查是否發生這樣的狀況,但通常有心人士要竊取檔案,一定是使用網路使用的離峰時間,或者是睡眠時間,因此不容易直接查覺。
·
最低交通流量的連線是用來收集個人行為及活動資訊,也就是 bot (
Internet robot ) 的活動。
·
檔案複製的木馬,通常是在電腦本機安裝一個檔名不曾見過的檔案夾。因此若發現這樣的檔案夾,最好的方法是將它複製到隨身碟或外接式硬碟中。這樣不只可以避免木馬活動,也可以避免誤刪重要系統檔案。另一種可以考慮的處理方式是將它加密壓縮後,再隔離到另一個使用者自行命名的資料夾中。
第五章 筆記型電腦與實體安全
1、筆記型電腦:關閉 "無線網路卡" 及 "藍芽裝置"。
來源:內部攻擊
分類:本機安全設定、防駭
重要程度:★★★☆☆
受破壞的方式:帳號被登入、檔案被盜取、螢幕被監控、主機被使用
詳細說明:
·
一旦 “無線網路卡” 被開啟,入侵者就可以使用點對點模式 (ad-hoc
mode) 來連線到被入侵者的電腦之中。因此若是在不使用的狀況下,建議還是關閉這個功能。
·
這個問題是筆記型電腦才需要考慮,桌上型電腦沒有這個問題。因為桌上型電腦內建沒有
“無線網路卡”。若你的電腦內有機密資料,最好是將你的
“無線網路卡” 關閉,需要上網查詢資料時再開啟這個裝置。
2、電腦鎖
來源:內部攻擊
分類:實體安全、資料安全
重要程度:★★★★☆
受破壞的方式:檔案被盜取、被植入木馬、主機被竊
詳細說明:
購買電腦鎖要注意電腦鎖的鑰匙是否有編號,這代表這樣的電腦鎖需要不同的鑰匙才能打開。當然容不容易開也是選購時可以考慮的問題。建議可以參考產品型錄。
注意事項:
若沒有保險箱(盒)等足夠安全之保管設備,建議另一串備份鑰匙最好也要戴在身上。因為一旦抽屜等鑰匙被複製,備份鑰匙將會被拿到鎖店備份,其中有些是被內部攻擊之人悄悄拿走,而電腦擁有者本身卻不自覺。
3、無線滑鼠:
來源:內部攻擊
分類:基本觀念、防駭
重要程度:★★★★☆
受破壞的方式:
硬體受損、主機被關閉、服務被中斷、服務在不正常時段被開啟
詳細說明:
·
沒有被監視的問題,只是無法流暢的操作、不能符合設定值且移動緩慢、滑鼠無法使用、滑鼠雙擊的時間縮短、或螢幕跳動的問題。很容易影響到你手上正在進行的工作靈感被阻礙,或必須被迫停止。雖然有線滑鼠不如無線滑鼠靈敏,可以先接回有線滑鼠暫時使用。
·
有一種攻擊無線滑鼠的方式是用與滑鼠相同的頻率攻擊滑鼠,滑鼠為了準確定位,會增強紅光或藍光的功率。若電池所剩電量不多,很可能在攻擊中被耗盡。因此就會需要更換電池。
·
滑鼠的喚醒功能 。檢查之方式:
·
【電腦】(滑鼠右鍵) → 【內容】
→ 【裝置管理員】
→【選擇其中一只滑鼠】(滑鼠右鍵) → 【電源管理】→ 取消【允許這個裝置喚醒電腦】。
·
【控制台】 → 【裝置管理員】 →【選擇其中一只滑鼠】(滑鼠右鍵) → 【電源管理】→ 取消【允許這個裝置喚醒電腦】。
·
有【允許這個裝置喚醒電腦】的設定選項的硬體裝置大致上有:人性化介面裝置、無線滑鼠、無線鍵盤、網路介面卡、數據機。
·
網路介面卡應另外取消【允許電腦關閉這個裝置以節省電源】的設定,以免 service 或 server 被入侵者停用。新式的攻擊也有可能造成網路訊號 (有線網路訊號) 跳動 (閃爍) 的問題,並且作業系統工作列圖示 (桌面右下角) 會出現漂浮的圖示。
4、行動上網:
來源:外部攻擊 ( 網路攻擊
)
分類:網路安全設定、防駭
重要程度:★★★★☆
受破壞的方式:檔案被盜取、螢幕被監控、被植入木馬
詳細說明:
·
若你使用的是筆記型電腦,並且使用電腦的位置可能偶而會更換,這是另外一種可以考慮的上網方式。利用向行動電話業者申請“行動上網”帳號,就會拿到一片 3G 晶片卡,將它裝在
3G 網路卡上之後,再將 3G 網路卡接上電腦就可使用。不過現在在許多地方都有信號干擾的問題存在,解決的方式是利用
USB 延長線(3公尺、5公尺、10公尺、15公尺、20公尺)將
3G 網卡放置在遠離干擾源的位置。若還是無法解決,就要考慮購買強波器。
·
但是在使用USB延長線之前,你必須先考慮USB線路佈線安全。佈線時需要盡量沿著牆壁佈線,以避免妨礙家人行走。
·
3G 網路卡驅動程式及連線工具安裝完成後,使用者只要按下【連線】按鈕,就會在【控制台】 → 【網路和網際網路】 → 【網路連線】之中多出現一個連線設定。但這個連線設定的網路設定值是透過 ISP 的 DHCP Server 決定的。例如:若你發現
ISP 預設值選取 【啟用NetBIOS over TCP/IP】,並且嘗試自行選取 【停用NetBIOS over TCP/IP】之後並儲存,連線之後設定值還是會被改回 ISP 的預設值。若你開啟【資源監視器】【網路】分頁(tab),則可以看到 10.x.x.x 的內部網路 IP 位址出現在其中。這代表你的電腦跟駭客在同一個內部網路內,駭客可以藉由 NetBIOS Server 來為用戶端安裝軟體程式。因此,為了解決這個問題,3G 網路卡驅動程式及連線工具安裝完成後,在按下【連線】按鈕之前,你必須自己手動設定一個【連線設定】. 但你必須注意這個【連線設定】的名稱必須跟3G網路卡的自動設定一樣,而且除了【網路功能】修改成本文所建議的設定方式之外,其它內部的各種設定值也必須一模一樣。設定完成之後連線之前,使用者必須啟動3G網路卡內附的撥號軟體,但不要執行連線的動作,之後將它縮小至 Windows 工具列或縮小至 Windows 工具列右下角。使用者若要建立連線,可以由【網路】(右鍵)→【變更介面卡設定】(左鍵)→【自行設定的連線名稱】(右鍵)→【連線】。
5、行動網路攻擊:
來源:外部攻擊 ( 網路攻擊
)
分類:資料安全、實體安全
重要程度:★★★★☆
受破壞的方式:檔案複製不成功、USB 裝置無法使用
詳細說明:
·
使用相同頻率的無線電波攻擊有接上 3G USB 行動網路卡的筆記型電腦,導致 USB 集線器無法使用。因此接到同一個 USB 集線器的設備,例如:無線滑鼠、隨身碟等也全部無法使用。
·
你需要留意的是若你正在存取 USB 的儲存裝置,例如:隨身碟或 USB 外接式硬碟,你必須逐一檢查來源儲存裝置與目地儲存裝置的最上層資料夾大小是否一樣。若不一樣,除了重新啟動 USB 集線器之外,資料夾也要重新複製一遍,特別是在備份檔案時。
6、指紋辨識隨身碟:
來源:內部攻擊
分類:資料安全
重要程度:★★★★☆
受破壞的方式:檔案被盜取
詳細說明:
·
“指紋辨識隨身碟”辨識度極高、同時誤判率也極低。因此使用者可以將機密等級最高的文件或資料儲存在“指紋辨識隨身碟”之中。市面上出售的“指紋辨識隨身碟”大小有 4GB、8GB、16GB。
·
“指紋辨識隨身碟”會有因為資料傳輸過程發生錯誤而導致檔案寫入中斷,過一段時間後甚至會有磁區錯誤而導致檔案毀損的現象,因此必須使用磁碟檢查來修復損壞的磁區。不過最好的方式還是同時購買兩個“指紋辨識隨身碟”,第二個專門做為備份之用。“指紋辨識隨身碟”使用一段時間後須將隨身碟內的檔案複製出來,複製完成後再將隨身碟完整格式化。格式化完成後再將檔案複製回至隨身碟。
7、隨身碟及硬碟 LED 燈號所代表的意義:
分類:基本觀念、資料安全
重要程度:★★★★☆
受破壞的方式:資料被竊
詳細說明:
存取:寫入或讀取; 存:寫入; 取:讀取。
|
桌上型電腦灯號
|
|
||
|
灯號
|
顏色
|
關機時
|
|
|
電源灯號
|
黃綠色
|
保持不亮
|
|
|
硬碟灯號
|
紅色
|
保持不亮
|
|
|
筆記型電腦灯號
|
|
||
|
行動儲存媒體
|
顏色
|
無資料存取時的燈號
|
|
|
筆記型電腦硬碟
|
黃綠色
|
保持不亮
|
|
|
外接式硬碟
|
白色、藍色、橙色
|
持續亮著、或保持不亮 ( 擇一 )
|
|
|
隨身碟
|
白色、紅色、橙色、黃綠色
|
持續亮著、或保持不亮 ( 擇一 )
|
|
8、關閉 "網路攝影機" ( Web Cam )
限制:採用臉部辨識登入之使用者不適用此項目。
來源:外部攻擊 ( 網路攻擊 )
分類:實體安全、資料安全
重要程度:★★★★☆
受破壞的方式:個人隱私、重要活動被監視
詳細說明:
個人隱私洩漏、使用者行為被監視。
路徑:
·
【電腦】 (右鍵) → 【內容】
→ 【裝置管理員】
→ 【影像裝置】
→ 滑鼠右鍵選擇其中之一個 【Web Cam】 ( 網路攝影機 ) → 【停用】。
·
【控制台】 → 【裝置管理員】 → 【影像裝置】 → 滑鼠右鍵選擇其中之一個
【Web Cam】 ( 網路攝影機 ) → 【停用】。
9、離開時關閉 IP 寬頻分享器電源
來源:外部攻擊 ( 網路攻擊 )
分類:實體安全、資料安全、基本觀念
重要程度:★★★★☆
受破壞的方式:檔案被盜取、主機被使用、硬體受損、服務在不正常時段被開啟
詳細說明:
·
睡覺或外出時,應關閉 IP 寬頻分享器、筆記型電腦及個人電腦等具有網路設備之電源,以防範駭客利用這段時間來破解密碼IP 寬頻分享器或嘗試收集資訊。
·
若白天外出時,反而不應關閉電源,以免被有入侵者利用來收集個人行為及活動資訊,類似於 bot (
Internet robot ) 之用途。
第六章 Windows 7 作業系統安全的安裝方式
本章將為你介紹最安全、最謹慎的作業系統安裝方式。也就是在安裝 Windows 7 過程中,能避免被病毒、蠕蟲所感染,避免被植入木馬的作業系統安裝方式。
1、 Windows 7 Professional
·
安裝前的準備:
·
下載所有主機所有硬體設備的驅動程式。
·
下載 Windows 7 Professional Service Pack 1 以及 ( 到目前為止 ) 所有的【安全性更新】。請參見這個部落格的另一篇文章《Windows 7
Professional 及Office Professional Plus 2010 安全性更新列表
至 1010102》。下載防毒軟體最新版的安裝程式,以及最新的病毒碼。
·
下載木馬掃除軟體最新版的安裝程式,以及最新的特徵碼 ( 如果有的話 )。
·
記下你的 IP 設定 ( 組態 ) 在紙上,或記在另一個硬碟 ( 或硬碟分割 ) 的一個 *.rtf 檔案之中。
·
拔掉網路線。
·
安裝 Windows 7 Professional作業系統。
·
安裝 Service Pack 1,之後安裝所有的【安全性更新】。你必須將可以下載的安全性更新下載完成。安裝完成所有的安全性更新之後,可以再逐一重新安裝一次。若是已經安裝成功的安全性更新,會有提示訊息跟你說此安全性更新已經安裝完成。安裝一部分之後,可以先重新開幾,這樣安全性更新才能正式啟用。
·
安裝掃毒軟體。
·
掃毒軟體安裝完成之後,利用【病毒碼包裝】手動更新病毒碼。
·
停用不必要之服務。
·
設定網路卡及第一篇至第五篇之建議設定。
·
使用 regedt32.exe 設定第一篇至第五篇之 registry。
·
重新開機。
·
重新開機完成後,重新接上網路線,並且同時執行下列 3 項更新:
·
立即使用 Windows Update 檢查有無最新的【安全性更新】。
·
有些 Windows 7 Professional 的必要元件無法下載,必須在連線時下載並且安裝,可以在下載完成、安裝剛開始時立即中斷連線,讓它自己安裝完成,例如:繁體中文語言套件。
·
檢查 Adobe Acrobat Reader軟體有無最新安全性更新,執行【說明】→【檢查更新】。
·
執行防毒軟體病毒碼更新、防駭(木馬)軟體特徵碼更新。
·
重新開機。
2、Microsoft Office Professional Plus 2010
·
安裝前準備:
·
下載 Microsoft Office Professional Plus 2010
Service Pack 1。
·
下載 Microsoft Office Professional Plus 2010 所有的【安全性更新】。
·
請參見這個部落格的另一篇文章《Windows 7 Professional 及Office
Professional Plus 2010 安全性更新列表 至 1010102》。
·
拔掉網路線。
·
安裝 Microsoft Office Professional Plus 2010。
·
安裝 Microsoft Office Professional Plus 2010
Service Pack 1。
·
安裝所有的【安全性更新】。
·
重新開機。
·
重新開機完成後,重新接上網路線。
3、Adobe Reader X
·
安裝前準備:
·
下載 Adobe Reader X。
·
在申請散發 Adobe Reader 的過程,你必須提供公司的 e-mail。(最新的安裝版本是 10.1.0,最新的更新版本為 10.1.4 版)
·
【下載Adobe Reader X】
→ 【發佈 Adobe
Reader】 → (彈跳式視窗)【散佈 Adobe Reader】
→ 【申請散發 Reader】
→ 【申請散發 Reader】→ 填寫表格 → 點選確認信連結。
·
若你選擇直接在線上安裝,在安裝的過程會有機會被駭客植入木馬。
·
下載 Adobe Reader 所有的【安全性更新】。
·
下載路徑(範例):【產品說明及支援中心】→【安全性建議】→【APSB11-08 Adobe Reader 和 Acrobat 的安全性更新已推出】→【Windows 專用的 Adobe
Reader 9.x 使用者也可以在這裡找到適用的更新:】→【Adobe Reader 10.1.3 update - Tier 3
languages 】。
·
拔掉網路線。
·
安裝 Adobe Reader X,之後安裝所有的【安全性更新】。
·
重新開機。
·
重新開機完成後,重新接上網路線。
4、Adobe Flash Player 11
·
安裝前準備:
·
下載 Adobe Flash Player 11。
·
在申請散發 Adobe Flash Player 的過程,你必須提供公司的 e-mail。(最新的安裝版本及更新版本為
11.3.300.257)
·
【下載Adobe Flash Player】
→ 【發佈 Adobe Flash
Player】 → (彈跳式視窗)【散發 Adobe Flash Player】
→ 【申請散發 Reader】
→ 【申請散發 Reader】→ 填寫表格
→ 點選確認信連結。
·
下載 Adobe Flash Player 所有的【安全性更新】。
·
拔掉網路線。
·
安裝 Adobe Flash Player,之後安裝所有的【安全性更新】。
·
重新開機。
·
重新開機完成後,重新接上網路線。
第七章 緊急備援方案
2、使用 BitLocker
磁碟機加密的電腦之還原程序:
·
如果你安裝的作業系統是 Windows 7 Professional 評估版 ( 90天試用版 ),是到網址http://technet.microsoft.com/en-us/windows/aa905051.aspx 下載的。安裝過程及安裝完成後預設的語言是英文,因此需要額外下載【繁體中文】語言套件。但是也因為在你安裝完語言套件後,當你儲存 BitLocker
修復金鑰時,系統會儲存成繁體中文的格式。
·
當你使用安裝光碟還原時,還原程式會報告找不到 BitLocker
Recovery Key 的錯誤。因此 BitLocker Recovery Key 必須用英文存檔,內文也必須是英文,否則還原程序會說找不到 key,這時你就需要輸入 6 x 8 的修復金鑰。
·
·
BitLocker 修復金鑰儲存成英文版的方式,
路徑1:
【控制台】
→ 【地區及語言】
→ 【鍵盤及語言】
→ 【選擇顯示語言(H):】
→ 變更為【English】
路徑2:
【控制台】
→ 【BitLocker 磁碟機加密】
→ 【Manage
BitLocker】 → 【save to file】
·
接上外接式硬碟 → 使用光碟片開機 → 點選【Next】→ 點選左下角【Repair
your computer】。
3、若你使用的是寬頻網路,例如:ADSL、Cable
Modem等,其他使用者可能因為數據機的設定被變更種種問題而導致無法連線。因此可以使用傳統的撥接網路做為備援網路。雖然速度比較慢,在寬頻網路中斷時至少還可以連線。有很多入口網站都有提供免費撥接服務,因此你可以有很多選擇。
第二篇 防止資料在網路傳輸過程中被側錄
第八章 使用網路加密系統
1、S/MIME 電子郵件數位簽章:
線上購買及下載數位簽章網址:
安裝方法(
以
Outlook
2003 為例 ):
·
【工具】 →【選項】
→ 【安全性】 → 【匯入/匯出】 → 【從檔案匯入現有的數位ID】 → 【瀏覽】 → 從上列網址下載的數位簽章(Digital
Signature)。
·
【工具】 →【選項】
→ 【安全性】 → 勾選【外寄郵件的內容及附件加密】
·
【工具】 →【選項】
→ 【安全性】 → 勾選【在外寄郵件加入數位簽章】
2、MSN 加密工具:SimpLite
Copyright
© 此文件歡迎翻譯成外國語文,只是作者仍持有此文件之著作權。並且在翻譯成外國語文之後,若是為了保有本文文意或推廣之目的,作者仍享有提出修改及用詞之權利。若原文作者未提出修改之要求時,以能夠表達技術上及操作上之正確性為優先考量。
