Windows 7 防毒與防駭設定
功能說明:
- 這篇文章提供 Windows 7 Professional 設定使用,其他版本的 Windows 設定(例如:Windows XP),請參考部落格中的其他文件。本文中有些設定不適用於網域(Domain)登入的使用者,例如:services 中的 Workstation 必須維持【自動】。不過大部分的筆記型電腦與家裡所使用的桌上型電腦都是使用本機登入,所以這些設定還是適用許多電腦。
- 這個設定主要在防範 『螢幕監視 ( 或 監控 ) 木馬程式』之監視。本文作者認為這樣的影響對社會的破壞不小。此事看似並無嚴重損失,其實電腦螢幕若被監視,則代表資料已經被監視者所複製 (Print Screen, 使用鍵盤 Shift + Prt Sc )。因此資料或技術已經在不知不覺中被監視者所竊取。
- 本設定擁有網路連線、ADSL 連線、FTP 檔案下載等功能,沒有"檔案共享"功能,因為開啟"檔案共享"功能只是徒增安全性的問題。另外,因為現在隨身碟很便宜,相較之下,使用隨身碟是安全又方便許多。
- 木馬程式不一定具有病毒之特性,也就是自我傳播的功能。需要入侵者植入,因此木馬掃除軟體很難判斷某一個程式是否為木馬程式(特洛伊程式:Trojan,特洛伊木馬:Trojan Horse ),因此不像病毒容易收集。木馬掃除程式需要花更多被的時間測試,才能一一納入木馬特徵資料庫中。這代表掃除木馬軟體的技術不如防毒軟體成熟,也因此比較難以判斷其優劣。
第一篇 基本防毒與防駭設定
第一章 密碼與登入安全
1、密碼強度計算
來源:外部攻擊 ( 網路攻擊 ) 、內部攻擊
分類:基本設定
重要程度:★★★★★
受破壞的方式:帳號被登入、檔案被盜取、螢幕被監控、主機被使用
詳細說明:
駭客通常是使用工具軟體來從事破壞竊取行為,以加速登入速度 ( trial and error ).
若是這些人所使用的工具每秒鐘可以試 100 個密碼,
並且利用他們所能運用的資源,
假設是 1000 台電腦主機,
若要設定一個讓他們 10 年後也破解不了的密碼,
若不考慮特殊字元 *&^%$#@!)(,./?"; ...
只用英文大小寫及數字,
也就是 26*2 + 10 = 62 個字元.
那需要設定成幾個字元的密碼呢 ?
100 ( 個密碼 / 每秒鐘 ) * 60 ( 秒 / 每分鐘 ) * 60 ( 分 / 每小時 ) * 24 ( 小時 / 每日 ) * 365 ( 日 / 每年 ) * 10 ( 年 ) * 1000 (台電腦主機)
= 31536000000000 ( 個密碼 )
31536000000000 ( 個密碼 ) / 62**8 ( 次方 ) = 0.14443521457278964273299048346636 ≦ 1
要 8 個字元才夠用。不過密碼長度若在規定的範圍內,當然是設定得越長越安全( 越不容易破解 )。
2、使用"密碼產生器"來產生高強度密碼
來源:外部攻擊 ( 網路攻擊 )
分類:基本設定、資料安全、防駭
重要程度:★★★★★
破壞的方式:帳號被登入、螢幕被監控、資料被竊取
詳細說明:
若密碼被竊取,則駭客就可以來查詢你的銀行帳戶資料,利用你的身份來發 e-mail,修改你在網站上所儲存的資料等等。
工具介紹:PWGen
- (1) 這是一個密碼產生器軟體,但使用時最好網路先斷線,以免被螢幕監視木馬程式複製螢幕畫面。不同性質的密碼最好儲存在不同的檔案。因為一旦你的電腦若被植入螢幕監視型木馬,開啟一個檔案代表裡面的資料會都全部被看到。
- (2) 你也不一定只能選擇網路先斷線的方法。在你使用 PWGen 一次產生多組密碼(Number of Passwords: 100 【Generate】)之後,在彈出視窗中使用滑鼠右鍵 → 【Select All(全選)】 → 【Change Font(變更字型)】 → 在【大小】文字方塊中輸入數字"3"以下 → 將彈出視窗的捲軸往下捲動,之後在彈出視窗中 "複製" 一組密碼。這樣的做法可以提升你的密碼安全,特別是若你的電腦已經被駭客植入監視型(或監控型)木馬之後,這樣做才不致於新產生的密碼再次被駭客所竊取。
- (3) 你也可以用WordPad來保存密碼。使用 WordPad 之前,必須先將 WordPad 功能表中的【字型大小】文字方塊並輸入數字"3"以下,然後再按滑鼠右鍵【貼上】將先前【複製】的密碼貼到WordPad之中。你可以將WordPad中的帳號及密碼的【字型大小】設定為 "3"以下,並且保留其他關鍵字【字型大小】為預設值"11"。如此一來,就算之前已經被駭客植入木馬程式,也不用擔心密碼會被複製;就算被複製,也不容易辨識。
- (4) 筆記本(NotePad)因為只要更改【字型大小】設定(路徑為:【格式】→【字型】→【大小】),就會適用到所有的 *.txt 檔案,因此比較不適合儲存密碼。但是因為 *.txt 檔案格式的優點是不會儲存字型、大小、顏色等這些資訊,因此適合用來檢視或編輯程式碼、腳本這一類的文件。
- (5) 網站登入密碼(或網路連線密碼)最好每隔 180 天就更換,以避免密碼被駭客竊取的問題。或是使用超過一定的次數( 例如:20 次)就重新再產生一組密碼。本機登入密碼(或網域登入密碼)則不需要如此頻繁。
3、密碼檔案加密:
來源:外部攻擊 ( 網路攻擊 )、內部攻擊
分類:基本設定、防駭
重要程度:★★★★★
受破壞的方式:帳號被登入、檔案被盜取、主機被使用
工具:
- 使用專門用來做檔案加密的軟體來為密碼檔案加密,例如:File Encryption 2.1。使用 File Encryption 時,可以製作一個檔案清單,紀錄有哪些檔案是經過加密的,並且記錄其密碼到這個清單之中。最後再將這個檔案存到隨身碟。當你重新安裝作業系統之時,只要再次安裝 File Encryption,就可以用你儲存到另一個檔案的密碼將檔案解密。
- 也可以使用壓縮軟體來加密,例如: IZArc、FilZip、WinRAR、7-Zip、WinZip。
4、IP寬頻分享器設定高強度密碼
來源:外部攻擊 ( 網路攻擊 )
分類:基本設定、防駭
重要程度:★★★★☆
受破壞的方式:帳號被登入、檔案被盜取、螢幕被監控、主機被使用
詳細說明:
IP 寬頻分享器 若沒使用到無線網路, 取消其功能, 並且用複雜之密碼, 並使用複製、貼上之方法。
5、使用"螢幕保護裝置"功能
來源:內部攻擊
分類:本機安全設定、防駭
重要程度:★★★★☆
路徑:
- 【控制台】→【個人化】→【螢幕保護裝置】→【等候____分鐘】設定一個數字,以及勾選【繼續執行後,顯示登入畫面(R)】。
- 【桌面】 (滑鼠右鍵) →【個人化】→【螢幕保護裝置】→【等候____分鐘】設定一個數字,以及勾選【繼續執行後,顯示登入畫面(R)】。
詳細說明:
因為其他事必須離開座位時,不要忘記按( Ctrl + Alt + Del )先將螢幕鎖住再離開。建議將【螢幕保護裝置】啟動時間設定為 10 分鐘比較剛好,這樣在使用者離開座位後,比較不會被其他人利用這個時間來植入木馬。
6、使用"指紋辨識器"登入( 使用"智慧卡"登入、使用"臉部辨識"登入 )
來源:內部攻擊
分類:本機安全設定、防駭
重要程度:★★★☆☆
詳細說明:
- 未來在選購筆記型電腦時,可以選擇內建有 "指紋辨識系統"的機型。"指紋辨識系統"的主要用途是出現開機時的登入畫面中,取代了一般的帳號及密碼登入,比一般的密碼安全很多。"指紋辨識系統"的密碼,就是指紋,兩個人有相同指紋的機率非常低,因此可以說提供了"機密性"(confidentiality)。
- 目前各家 Notebook PC 廠商也開始推出臉部辨識系統的機型,臉部辨識系統的優點是不會有銅金屬感應器因接觸或長期暴露在潮濕的環境而生鏽的疑慮。不過這個部份已經有一兩家 Notebook PC 廠商做了改良,也就是採用感熱性良好、不會生鏽的合金材料技術做為指紋辨識系統的感應器。因此已經解決了這個問題,並且也有一些商用機型的筆記型電腦採用。有些甚至於同時具備這兩種辨識系統(指紋辨識系統與臉部辨識系統)。
- 依照安全程度比較,"指紋辨識軟體"中的安全等級選項有以下幾種:"密碼和生物識別特徵" > "只要生物識別特徵" > "只要密碼" > "密碼或生物識別特徵"。
- 若你使用的是"指紋辨識系統",在建立"指紋資料庫",並且在評估你使用習慣上的弱點之後,應該將 "登入條件" 設定為比較安全的"密碼和生物識別特徵"或"只要生物識別特徵"選項。盡量避免選擇不安全的 "只要密碼"或"密碼或生物識別特徵" 選項。甚至在內部攻擊者嘗試接近電腦的次數越來越頻繁之時,最好將"登入條件" 設定為最安全的"密碼和生物識別特徵"選項。
- 你必須確定在你變更使用者密碼之後,"指紋資料庫"是否要重新建立。確認的方式是先將安全性選項設定為"密碼或生物識別特徵",然後重新登入看看。
7、互動式登入: 不要顯示上次登入的使用者名稱
來源:內部攻擊、外部攻擊 ( 網路攻擊 )
分類:本機安全設定、防駭
重要程度:★★★★☆
路徑:
【控制台】 → 【系統管理工具】 → 【本機安全性原則】 → 【本機原則】 → 【安全性選項】 → 【互動式登入: 不要顯示上次登入的使用者名稱】
詳細說明:
使用此功能,增加登入的困難度。換句話說,也就是增加登入的複雜度,等於是密碼複雜度的延伸。
8、查看 "事件檢視器" 就可以知道電腦是否被人使用 (開機)
來源:內部攻擊
分類:網路安全設定、防駭
重要程度:★★★☆☆
路徑:
【控制台】→【系統管理工具】→【事件檢視器】→【Windows 記錄】→【安全性】
詳細說明:
由開機的時間,可以判斷是不是使用者本人開機。例如:不是使用者本人的作息時間。
9、網站登入密碼變更
來源:外部攻擊 ( 網路攻擊 )
分類:防駭、郵件安全、資料安全
重要程度:★★★☆☆
受破壞的方式:帳號被登入、郵件帳號被盜用、網站內容被竄改
詳細說明:
- 變更網站登入密碼之時,也要一併變更 "密碼救援" 或 "安全性問題"。若使用者只有執行 "變更密碼",攻擊者只要能回答出 "安全性問題",密碼就會被攻擊者再次變更。
- 你可能覺得同時要變更兩種資料很麻煩。但如果你忘記密碼的時候,你只有 e-mail 密碼到我的信箱這個方法可以使用。因此,若你連 e-mail 的密碼也忘記的時候,這個帳號也會無法再使用了。
第二章 防毒與防駭軟體
1、從 Microsoft 官方網站下載 service pack 及 security updates 修復程式至本機安裝
來源:外部攻擊 ( 網路攻擊 )
分類:基本設定、防毒、防駭
重要程度:★★★★☆
受破壞的方式:檔案被盜取、螢幕被監控、主機被使用
路徑:
【進入網址: http://www.microsoft.com/downloads/ 】 → 在搜尋文字框中輸入【KB號碼,例如:KB2475792】
詳細說明:
- 若你不想安裝某個安全性更新,取消勾選,下次執行【Windows Updates】時仍會出現。在該 【安全性更新】 上,按 ( 滑鼠右鍵 ) → 【隱藏更新】。
- 請參見這個部落格的另一篇文章《Windows 7 Professional 及Office Professional Plus 2010 安全性更新列表 至 1001123》。
2、安裝防火牆
來源:外部攻擊 ( 網路攻擊 )
分類:網路安全設定、防駭
重要程度:★★★★☆
受破壞的方式:檔案被盜取、螢幕被監控、主機被使用
工具:
Windows 7 作業系統內建的 Windows 防火牆效能就已經很好,建議使用 Windows 防火牆即可,不需下載市面上的免費防火牆來使用。
3、安裝掃毒軟體
來源:外部攻擊 ( 網路攻擊 )
分類:基本設定、防毒
重要程度:★★★★★
受破壞的方式:檔案被盜取、螢幕被監控、主機被使用
工具:
Avira AntiVir Personal、AVG AntiVirus 防毒軟體免費中文版、Avast AntiVirus 防毒軟體免費中文版。
詳細說明:
- 防毒軟體的即時防毒功能在一台主機上只能安裝一套,否則可能會造成無法開機、作業系統嚴重緩慢等問題。
- 防毒軟體排名請參考"參考書目"所列之網站。
參考書目:
- AV Comparatives 掃毒軟體偵測率評比:
http://www.av-comparatives.org/en/comparativesreviews/detection-test
4、使用掃除木馬工具
來源:外部攻擊 ( 網路攻擊 )、內部攻擊
分類:基本設定、防駭
重要程度:★★★★★
受破壞的方式:檔案被盜取、螢幕被監控、主機被使用
工具:
Emsi Anti-Malware、MooSoft The Cleaner 2012、Microsoft Windows Defender
詳細說明:
- 掃毒軟體的技術比掃除木馬軟體的技術更加成熟,因此幾乎可以將所有病毒 100% 掃描出來。但木馬程式卻不容易辨識,準確率很難達到 100%,因此建議可以同時安裝兩套或三套木馬掃除軟體。
- 第一次完整掃描完成之後,仍需不定時做完整掃描。若不定時掃描會掃出木馬程式,表示你的電腦沒有設定完整。
5、設定 Windows Update
來源:外部攻擊 ( 網路攻擊 )
分類:基本設定、防駭
重要程度:★★★★☆
受破壞的方式:帳號被登入、螢幕被監控
路徑:
【控制台】 → 【Windows Update】 → 【變更設定】 → 【檢查更新,但是讓我選擇是否要下載及安裝它們】。
詳細說明:
隨時檢查 Microsoft 公司是否找到新的作業系統漏洞弱點,並且發佈(解決)新的安全性更新(修補程式)。
第三章 網路與系統設定
1、關閉 "微軟網路用戶端"功能
原名: Client for Microsoft Network
來源:外部攻擊 ( 網路攻擊 )
分類:網路安全設定、防駭
重要程度:★★★★★
路徑:
【網路】(滑鼠右鍵) → 【內容】 → 【變更介面卡設定】→ (滑鼠點兩次)【Local Area Connection】→ (滑鼠點選)【內容】 → (滑鼠取消) 【Client for Microsoft Network】
2、關閉 "檔案及印表機分享"功能
原名:File and Printer Sharing for Microsoft Networks
來源:外部攻擊 ( 網路攻擊 )、防駭
分類:網路安全設定
重要程度:★★★☆☆
路徑:
【網路】(滑鼠右鍵) → 【內容】 → 【變更介面卡設定】 → 取消【File and Printer Sharing for Microsoft Networks】
詳細說明:
防止區域網路內先前已被入侵的電腦成為跳板, 用來入侵區域網路內的其他電腦,而使用者卻不自覺。
3、關閉 WINS 連線 ( NetBIOS 通訊協定 )
原名:WINS client ( NetBIOS protocol )
來源:外部攻擊 ( 網路攻擊 )
分類:網路安全設定、防駭
重要程度:★★★★★
路徑:
【網路】(滑鼠右鍵) → 【內容】 → 【變更介面卡設定】 → 點選【網際網路通訊協定第 4 版 (TCP/IPv4)】 → 【內容】 → 【進階】 → 【WINS】 → 選取 【停用NetBIOS over TCP/IP】 (S)
4、關閉網路開機功能
原名:Wake On LAN
來源:外部攻擊 ( 網路攻擊 )
分類:網路安全設定、防駭
重要程度:★★★★☆
路徑:
- 網路開機:【電腦】 → 【內容】 → 【裝置管理員】 → 【網路介面卡】→ (滑鼠右鍵) 選擇其中一塊網路介面卡 → 【內容】 → 【進階】 → 設定【Shutdown Wake-On-LAN】、【Wake on Magic Packet】、【Wake on pattern match】等三種服務的值為 disable 或 none。
- 預防裝置關閉:【電源管理】 → 取消【允許電腦關閉這個裝置以節省電源】的設定,以免 service 或 server 被入侵者停用。
詳細說明:
- 防止電腦主機在關機狀態下被啟動,而後嘗試入侵、竊取資料。
- 連續多次開關機會對電腦主機電路板造成傷害。
- 商業用途之伺服器主機的服務會因而被中斷, 導致交易失敗, 訂單無法被確認, 客戶漸漸流失等問題。
5、停用不必要之服務
原名:服務〈Services〉
來源:外部攻擊 ( 網路攻擊 )
分類:本機安全設定、防駭
重要程度:★★★★☆
路徑:
(1)、在 "搜尋程式及檔案" 中輸入 services.msc
(2)、【控制台】→【系統管理工具】→【服務】 → 修改下列設定
| 名稱 |
( 原本 ) 狀態 |
( 修改後 ) 狀態 |
| Computer Browser |
手動 |
停用 |
| Home Group Listener |
手動 |
停用 |
| Home Group Provider |
手動 |
停用 |
| Offline Files |
自動 |
停用 |
| Remote Desktop Configuration |
手動 |
停用 |
| Remote Desktop Services |
手動 |
停用 |
| Remote Desktop Services UserMode Port Redirector |
手動 |
停用 |
| Remote Registry |
手動 |
停用 |
| Secondary logon |
手動 |
停用 |
| Server |
自動 |
停用 |
| Windows Remote Management (WS-Management) |
手動 |
停用 |
| Workstation |
自動 |
停用 |
6、關閉"遠端協助"
來源:外部攻擊 ( 網路攻擊 )
分類:網路安全設定、防駭
重要程度:★★★☆☆
路徑:
【電腦】 → 【內容】 → 【進階設定】 → 【遠端協助】 → 取消 【允許到這部電腦的遠端協助連線】。
詳細說明:
- 【所有程式】 → 【維護】 → 【Windows 遠端協助】→ 【邀請您所信任的人員協助您】
- 【所有程式】 → 【維護】 → 【Windows 遠端協助】→ 【協助邀請您的人員】
7、關閉 IP 寬頻分享器 "啟用無線網路" 功能
來源:外部攻擊 ( 網路攻擊 )
分類:網路安全設定、防駭
重要程度:★★★☆☆
詳細說明:
- IP 寬頻分享器之 "啟用無線網路" 功能若開啟時,預設的情況是將 SSID 發佈出去,密碼為空白。這種情況下,入侵者只要在你的IP 寬頻分享器附近使用筆記型電腦,並且開啟 "無線網路卡",就可以順利連線,並且跟使用者是在同一個區域網路內。
- 因此使用者若是用不到這個功能,可以將他關閉。若要啟用無線網路功能,也應該選擇有加密的驗證方式及通訊協定。
8、關閉"遠端修改登錄檔"功能
原名:Registry
來源:外部攻擊 ( 網路攻擊 )
分類:網路安全設定、防駭
重要程度:★★★★☆
路徑:
執行 Regedt32.exe 程式之後,路徑移至 "HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies","新增"→"DWORD (32-位元) 值(D)" → 【名稱】欄位輸入"DisableRegistryTools" ,【資料】欄位設定為 "1"。
9、關閉光碟機及隨身碟的"自動執行"功能
原名:AUTORUN
來源:內部攻擊
分類:網路安全設定、防毒、防駭
重要程度:★★★★☆
路徑:
執行 Regedt32.exe 程式之後,路徑移至 "HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies","新增"→"機碼"→ "Explorer";再移至"HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer","新增"→"DWORD (32-位元) 值(D)"→ 【名稱】欄位輸入"NoDriveTypeAutoRun" ,【資料】欄位設定為 "bd"(189)。
10、進階 Windows 系統安全設定
來源:外部攻擊 ( 網路攻擊 )
分類:網路安全設定、防駭
重要程度:★★★☆☆
路徑:
- 禁止建立匿名連結。執行 Regedt32.exe 之後,路徑移至"HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Lsa","新增"→"DWORD (32-位元) 值(D)"→"restrictanonymous"設定為"1"。
- 禁止建立 SAM 加密帳號匿名連結。執行 Regedt32.exe 之後,路徑移至"HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Lsa","新增 →"DWORD (32-位元) 值(D)"→"restrictanonymoussam"設定為"1"。
- 禁止系統自動啟動伺服器共用。執行 Regedt32.exe 之後,路徑移至"HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/LanmanServer/Parameters","新增"→"DWORD (32-位元) 值(D)"→"AutoShareServer"設定為 "0"。
- 禁止系統自動啟動工作站共用。執行 Regedt32.exe 之後,路徑移至
"HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/LanmanWorkstation/Parameters","新增"→"DWORD (32-位元) 值(D)"→"AutoShareWKs"設定為"0"。
- 關閉445 port。執行 Regedt32.exe 之後,路徑移至"HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/netBT/Parameters","新增"→"DWORD (32-位元) 值(D)"→"SMBDeviceEnabled"設定為"0"。
11、取消【網路存取:不允許SAM帳戶的匿名枚舉】
來源:外部攻擊 ( 網路攻擊 )
分類:網路安全設定、防駭
重要程度:★★★★☆
受破壞的方式:帳號被登入、檔案被盜取、螢幕被監控、主機被使用
路徑:
- 【本機原則】→【安全性選項】→【網路存取:不允許SAM帳戶的匿名枚舉】→【已啟用】
- 執行 Regedt32.exe 之後,路徑移至 "HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa/restrictanonymous", 數值資料設定為"1"。
12、取消【網路存取:不允許SAM帳戶和共用的匿名枚舉】
來源:外部攻擊 ( 網路攻擊 )
分類:網路安全設定、防駭
重要程度:★★★★☆
受破壞的方式:帳號被登入、檔案被盜取、螢幕被監控、主機被使用
路徑:
- 【本機原則】→【安全性選項】→【網路存取:不允許SAM帳戶和共用的匿名枚舉】→【已啟用】
- 執行 Regedt32.exe 之後,路徑移至 "HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa/restrictanonymoussam", 數值資料設定為"1"。
第四章 運用 Windows 7 的新功能提升系統安全
1、使用【系統保護】功能
來源:操作疏失、內部攻擊
分類:本機安全設定、防駭
重要程度:★★★☆☆
路徑:
- 【電腦 】(右鍵) → 【內容】 → 【系統保護】 → 設定 C: 與 D: "保護"為 "開啟"
- 【電腦 】(右鍵) → 【內容】 → 【進階系統設定】 → 【系統保護】 → 設定 C: 與 D: "保護"為 "開啟"
詳細說明:
- 建立還原點的路徑:【電腦】(右鍵) → 【內容】 → 【系統保護】 → 【建立】 → 【建立還原點】→ 輸入還原點名稱。
- 使用時機:安裝要測試的軟體時,可以先建立"還原點",若要測試的軟體會造成系統操作有問題或不能完全移除 (移除不乾淨) 時,就可以使用這個功能還原到先前建立的還原點。
2、使用【備份與還原】功能
來源:操作疏失、內部攻擊
分類:本機安全設定、防駭
重要程度:★★★☆☆
路徑:【控制台】 → 【備份與還原】
詳細說明:
- 在有安全疑慮之時,能使用最短之時間,回到安全之還原點。
- 建立"還原點"之最佳時間,應該是在全機木馬掃描之後。最好在 1~3 天之前也已經完成全機病毒掃描。
- 還原之前必須注意WindowsImageBackup\workcomputer-PC\Backup 2011-04-27 142958\f368590a-c299-4813-b11e-0f4d8084720f_*.* 這些檔案的修改時間。本文作者實際遇到的狀況是入侵者 (通常是內部入侵者) 在入侵後修改設定並植入木馬後,覆蓋過原本所備份的檔案。因此不管怎麼還原,螢幕還是被監控,等發現之後,已經經過多日之後,因此資料螢幕已經被複製不少。
3、BitLocker 磁碟機加密
來源:內部攻擊
分類:實體安全、資料安全
重要程度:★★★★☆
受破壞的方式:檔案被盜取、帳號被登入
詳細說明:
- 磁碟機加密 (硬碟加密),主要是基於實體安全之考量。若硬碟沒有加密,內部入侵者只要將硬碟拆下來,就能夠複製使用者硬碟中的所有資料。
- 使用 BitLocker 磁碟機加密功能,需要內建有 TPM (Trusted Platform Module) 可信賴平台模組的電腦才能使用。否則在你使用Turn On BitLocker 時,系統也會出現錯誤訊息跟你說你的電腦沒有安裝 TPM (Trusted Platform Module) 可信賴平台模組。
- 若是 BitLocker 可以順利 "開啟",則表示你的電腦有 TPM (Trusted Platform Module) 可信賴平台模組,並且在 BIOS 中設定為開啟。若是筆記型電腦,TPM (Trusted Platform Module) 可信賴平台模組的開啟,需要到 BIOS 中設定。
- 若你的電腦可以執行磁碟機加密 (硬碟加密),則不只是內接式的硬碟可以加密,其他外接式硬碟、隨身碟等也都可以透過 TPM 晶片加密。
4、資源監視器
來源:外部 (網路) 攻擊
分類:本機安全設定、防駭
重要程度:★★★★☆
受破壞的方式:帳號被登入、檔案被盜取、螢幕被監控、主機被使用
路徑:
- 【控制台】 → 【 效能資訊及工具】 → 【進階工具】 → 【開啟資源監視器】 → 選擇【網路】分頁 (tab)
- 【控制台】 → 【 系統管理工具】 → 【效能監視器】 → 【開啟資源監視器】 → 選擇【網路】分頁 (tab)
詳細說明:
- 運用這個 Windows 7 內建的工具,可以檢查是否有不正常之連線 ( 不信任的網址在活動 )。
- 最嚴重的情況是檔案被傳送到不明的網址,使用者可以使用這個工具來檢查是否發生這樣的狀況,但通常有心人士要竊取檔案,一定是使用網路使用的離峰時間,或者是睡眠時間,因此不容易直接查覺。
- 最低交通流量的連線是用來收集個人行為及活動資訊,也就是 bot ( Internet robot ) 的活動。
- 檔案複製的木馬,通常是在電腦本機安裝一個檔名不曾見過的檔案夾。因此若發現這樣的檔案夾,最好的方法是將它複製到隨身碟或外接式硬碟中。這樣不只可以避免木馬活動,也可以避免誤刪重要系統檔案。另一種可以考慮的處理方式是將它加密壓縮後,再隔離到另一個使用者自行命名的資料夾中。
第五章 筆記型電腦與實體安全
1、筆記型電腦:關閉 "無線網路卡" 及 "藍芽裝置"。
來源:內部攻擊
分類:本機安全設定、防駭
重要程度:★★★☆☆
受破壞的方式:帳號被登入、檔案被盜取、螢幕被監控、主機被使用
詳細說明:
- 一旦 "無線網路卡" 被開啟,入侵者就可以使用點對點模式 (ad-hoc mode) 來連線到被入侵者的電腦之中。因此若是在不使用的狀況下,建議還是關閉這個功能。
- 這個問題是筆記型電腦才需要考慮,桌上型電腦沒有這個問題。因為桌上型電腦內建沒有 "無線網路卡"。若你的電腦內有機密資料,最好是將你的 "無線網路卡" 關閉,需要上網查詢資料時再開啟這個裝置。
2、電腦鎖
來源:內部攻擊
分類:實體安全、資料安全
重要程度:★★★★☆
受破壞的方式:檔案被盜取、被植入木馬、主機被竊
詳細說明:
購買電腦鎖要注意電腦鎖的鑰匙是否有編號,這代表這樣的電腦鎖需要不同的鑰匙才能打開。當然容不容易開也是選購時可以考慮的問題。建議可以參考產品型錄。
注意事項:
若沒有保險箱(盒)等足夠安全之保管設備,建議另一串備份鑰匙最好也要戴在身上。因為一旦抽屜等鑰匙被複製,備份鑰匙將會被拿到鎖店備份,其中有些是被內部攻擊之人悄悄拿走,而電腦擁有者本身卻不自覺。
3、無線滑鼠:
來源:內部攻擊
分類:基本觀念、防駭
重要程度:★★★★☆
受破壞的方式:
硬體受損、主機被關閉、服務被中斷、服務在不正常時段被開啟
詳細說明:
- 沒有被監視的問題,只是無法流暢的操作,滑鼠有窒礙難行、滑鼠無法使用、滑鼠雙擊的時間縮短、或螢幕跳動的問題。很容易影響到你手上正在進行的工作靈感被阻礙,或必須被迫停止。雖然有線滑鼠不如無線滑鼠靈敏,可以先接回有線滑鼠暫時使用。
- 滑鼠的喚醒功能 。檢查之方式:
- 【電腦】(滑鼠右鍵) → 【內容】 → 【裝置管理員】 →【選擇其中一只滑鼠】(滑鼠右鍵) → 【電源管理】→ 取消【允許這個裝置喚醒電腦】。
- 【控制台】 → 【裝置管理員】 →【選擇其中一只滑鼠】(滑鼠右鍵) → 【電源管理】→ 取消【允許這個裝置喚醒電腦】。
- 有【允許這個裝置喚醒電腦】的設定選項的硬體裝置大致上有:人性化介面裝置、無線滑鼠、無線鍵盤、網路介面卡、數據機。
- 網路介面卡應另外取消【允許電腦關閉這個裝置以節省電源】的設定,以免 service 或 server 被入侵者停用。新式的攻擊也有可能造成網路訊號 (有線網路訊號) 跳動 (閃爍) 的問題,並且作業系統工作列圖示 (桌面右下角) 會出現漂浮的圖示。
4、行動上網:
來源:外部攻擊 ( 網路攻擊 )
分類:網路安全設定、防駭
重要程度:★★★★☆
受破壞的方式:檔案被盜取、螢幕被監控、被植入木馬
詳細說明:
- l 若你使用的是筆記型電腦,並且使用電腦的位置可能偶而會更換,這是另外一種可以考慮的上網方式。利用向行動電話業者申請"行動上網"帳號,就會拿到一片 3G 晶片卡,將它裝在 3G 網路卡上之後,再將 3G 網路卡接上電腦就可使用。不過現在在許多地方都有信號干擾的問題存在,解決的方式是利用 USB 延長線(3公尺、5公尺、10公尺、15公尺、20公尺)將 3G 網卡放置在遠離干擾源的位置。若還是無法解決,就要考慮購買強波器。
- l 但是在使用USB延長線之前,你必須先考慮USB線路佈線安全。佈線時需要盡量沿著牆壁佈線,以避免妨礙家人行走。
5、行動網路攻擊:
來源:外部攻擊 ( 網路攻擊 )
分類:資料安全、實體安全
重要程度:★★★★☆
受破壞的方式:檔案複製不成功、USB 裝置無法使用
詳細說明:
- l 使用相同頻率的無線電波攻擊有接上 3G USB 行動網路卡的筆記型電腦,導致 USB 集線器無法使用。因此接到同一個 USB 集線器的設備,例如:無線滑鼠、隨身碟等也全部無法使用。
- l 你需要留意的是若你正在存取 USB 的儲存裝置,例如:隨身碟或 USB 外接式硬碟,你必須逐一檢查來源儲存裝置與目地儲存裝置的最上層資料夾大小是否一樣。若不一樣,除了重新啟動 USB 集線器之外,資料夾也要重新複製一遍,特別是在備份檔案時。
6、指紋辨識隨身碟:
來源:內部攻擊
分類:資料安全
重要程度:★★★★☆
受破壞的方式:檔案被盜取
詳細說明:
"指紋辨識隨身碟"辨識度極高、同時誤判率也極低。因此使用者可以將機密等級最高的文件或資料儲存在"指紋辨識隨身碟"之中。但使用"指紋辨識隨身碟"的先決條件是指紋資料庫在建立時須留意所採樣的指紋具有代表性,否則指紋辨識演算法不容易辨識。
7、隨身碟及硬碟 LED 燈號所代表的意義:
分類:基本觀念、資料安全
重要程度:★★★★☆
受破壞的方式:資料被竊
詳細說明:
存取:寫入或讀取; 存:寫入; 取:讀取。
|
桌上型電腦灯號 |
|||
| 灯號 | 顏色 | 關機時 | 開機時 |
| 電源灯號 | 黃綠色 | 保持不亮 | 持續亮著 |
| 硬碟灯號 | 紅色 | 保持不亮 | 閃爍 |
|
筆記型電腦灯號 |
|||
| 行動儲存媒體 | 顏色 | 無資料存取時的燈號 | 資料存取時的燈號 |
| 筆記型電腦硬碟 | 黃綠色 | 保持不亮 | 閃爍 |
| 外接式硬碟 | 白色、藍色、橙色 | 持續亮著、或保持不亮 ( 擇一 ) | 閃爍 |
| 隨身碟 | 白色、紅色、橙色、黃綠色 | 持續亮著、或保持不亮 ( 擇一 ) | 閃爍 |
8、關閉 "網路攝影機" ( Web Cam )
限制:採用臉部辨識登入之使用者不適用此項目。
來源:外部攻擊 ( 網路攻擊 )
分類:實體安全、資料安全
重要程度:★★★★☆
受破壞的方式:個人隱私、重要活動被監視
詳細說明:
個人隱私洩漏、使用者行為被監視。
路徑:
- 【電腦】 (右鍵) → 【內容】 → 【裝置管理員】 → 【影像裝置】 → 滑鼠右鍵選擇其中之一個 【Web Cam】 ( 網路攝影機 ) → 【停用】。
- 【控制台】 → 【裝置管理員】 → 【影像裝置】 → 滑鼠右鍵選擇其中之一個 【Web Cam】 ( 網路攝影機 ) → 【停用】。
9、離開時關閉 IP 寬頻分享器電源
來源:外部攻擊 ( 網路攻擊 )
分類:實體安全、資料安全、基本觀念
重要程度:★★★★☆
受破壞的方式:檔案被盜取、主機被使用、硬體受損、服務在不正常時段被開啟
詳細說明:
- 睡覺或外出時,應關閉 IP 寬頻分享器、筆記型電腦及個人電腦等具有網路設備之電源,以防範駭客利用這段時間來破解密碼IP 寬頻分享器或嘗試收集資訊。
- 若白天外出時,反而不應關閉電源,以免被有入侵者利用來收集個人行為及活動資訊,類似於 bot ( Internet robot ) 之用途。
解決方法:
使用最少具有一個切換開關之延長線,形成另外一個分支線路,使用延長線接上原本使用的電源插座。
第六章 Windows 7 作業系統安全的安裝方式
本章將為你介紹最安全、最謹慎的作業系統安裝方式。也就是在安裝 Windows 7 過程中,能避免被病毒、蠕蟲所感染,避免被植入木馬的作業系統安裝方式。
1、 Windows 7 Professional
- 安裝前的準備:
- 下載所有主機所有硬體設備的驅動程式。
- 下載 Windows 7 Professional Service Pack 1 以及 ( 到目前為止 ) 所有的【安全性更新】。請參見這個部落格的另一篇文章《Windows 7 Professional 及Office Professional Plus 2010 安全性更新列表 至 1001123》。
- 下載防毒軟體最新版的安裝程式,以及最新的病毒碼。
- 下載木馬掃除軟體最新版的安裝程式,以及最新的特徵碼 ( 如果有的話 )。
- 記下你的 IP 設定 ( 組態 ) 在紙上,或記在另一個硬碟 ( 或硬碟分割 ) 的一個 *.txt 檔案之中。
- 拔掉網路線。
- 安裝 Windows 7 Professional作業系統。
- 安裝 Service Pack 1,之後安裝所有的【安全性更新】。
- 安裝掃毒軟體。
- 掃毒軟體安裝完成之後,利用【病毒碼包裝】手動更新病毒碼。
- 停用不必要之服務。
- 設定網路卡及第一篇至第五篇之建議設定。
- 使用 regedt32.exe 設定第一篇至第五篇之 registry。
- 重新開機。
- 重新開機完成後,重新接上網路線,並且同時執行下列 3 項更新:
- 立即使用 Windows Update 檢查有無最新的【安全性更新】。
- 檢查 Adobe Acrobat Reader軟體有無最新安全性更新,執行【說明】→【檢查更新】。
- 執行防毒軟體病毒碼更新、防駭(木馬)軟體特徵碼更新。
- 重新開機。
2、Microsoft Office Professional Plus 2010
- 安裝前準備:
- 下載 Microsoft Office Professional Plus 2010 Service Pack 1。
- 下載 Microsoft Office Professional Plus 2010 所有的【安全性更新】。
- 請參見這個部落格的另一篇文章《Windows 7 Professional 及Office Professional Plus 2010 安全性更新列表 至 1001123》。
- 拔掉網路線。
- 安裝 Microsoft Office Professional Plus 2010。
- 安裝 Microsoft Office Professional Plus 2010 Service Pack 1。
- 安裝所有的【安全性更新】。
- 重新開機。
- 重新開機完成後,重新接上網路線。
3、Adobe Reader X
- 安裝前準備:
- 下載 Adobe Reader X。
- 在申請散發 Adobe Reader 的過程,你必須提供公司的 e-mail。因此若你的電腦數量不多,建議你選擇直接在線上安裝即可。(最新的安裝版本及更新版本為 10.1 版)
- 【下載Adobe Reader X】 → 【發佈 Adobe Reader】 → (彈跳式視窗)【散佈 Adobe Reader】 → 【申請散發 Reader】 → 【申請散發 Reader】→ 填寫表格 → 點選確認信連結。
- 下載 Adobe Reader 所有的【安全性更新】。
- 下載路徑(範例):【產品說明及支援中心】→【安全性建議】→【APSB11-08 Adobe Reader 和 Acrobat 的安全性更新已推出】→【Windows 專用的 Adobe Reader 9.x 使用者也可以在這裡找到適用的更新:】→【Adobe Reader 10.0.1 update - Tier 3 languages 】。
- 拔掉網路線。
- 安裝 Adobe Reader X,之後安裝所有的【安全性更新】。
- 重新開機。
- 重新開機完成後,重新接上網路線。
第七章 緊急備援方案
1、Windows Live Messenger、Windows Live Mail 無法登入時,可以直接到官方網站改用Web版登入:https://login.live.com/。
2、使用 BitLocker 磁碟機加密的電腦之還原程序:
- 如果你安裝的作業系統是 Windows 7 Professional 評估版 ( 90天試用版 ),是到網址http://technet.microsoft.com/en-us/windows/aa905051.aspx 下載的。安裝過程及安裝完成後預設的語言是英文,因此需要額外下載【繁體中文】語言套件。但是也因為在你安裝完語言套件後,當你儲存 BitLocker 修復金鑰時,系統會儲存成繁體中文的格式。
- 當你使用安裝光碟還原時,還原程式會報告找不到 BitLocker Recovery Key 的錯誤。因此 BitLocker Recovery Key 必須用英文存檔,內文也必須是英文,否則還原程序會說找不到 key,這時你就需要輸入 6 x 8 的修復金鑰。
- 將 BitLocker 修復金鑰儲存成英文版的方式,
路徑1:
【控制台】 → 【地區及語言】 → 【鍵盤及語言】 → 【選擇顯示語言(H):】 → 變更為【English】
路徑2:
【控制台】 → 【BitLocker 磁碟機加密】 → 【Manage BitLocker】 → 【save to file】
- 接上外接式硬碟 → 使用光碟片開機 → 點選【Next】→ 點選左下角【Repair your computer】。
3、若你使用的是寬頻網路,例如:ADSL、Cable Modem等,其他使用者可能因為數據機的設定被變更種種問題而導致無法連線。因此可以使用傳統的撥接網路做為備援網路。雖然速度比較慢,在寬頻網路中斷時至少還可以連線。有很多入口網站都有提供免費撥接服務,因此你可以有很多選擇。
第二篇 防止資料在網路傳輸過程中被側錄
第八章 使用網路加密系統
1、S/MIME 電子郵件數位簽章:
線上購買及下載數位簽章網址:
http://www.verisign.com/authentication/digital-id/index.html?tid=gnps
安裝方法( 以 Windows Live Mail 為例 ):
- 【選項】 → 【安全性選項】 → 【安全性】 → 【數位 ID】 → 【匯入】從上列網址下載的數位簽章(Digital Signature)。
- 【選項】 → 【安全性選項】 → 【安全性】 → 勾選【所有外寄郵件內容與附加檔案都加密】
- 【選項】 → 【安全性選項】 → 【安全性】 → 勾選【所有外寄郵件都加上數位簽章】
2、MSN 加密工具:SimpLite
下載網址: http://www.secway.fr/us/products/simplite_msn/getsimp.php