作者:刘晖
出版社:电子工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
Windows 7安全指南试读:
前言
很多人都认为,Windows操作系统的安全性太差。其实,对于新的Windows操作系统,例如Windows Vista/7,系统的安全性已经得到了空前的加强,然而依然有很多人在使用这些操作系统的时候因为安全问题而受到损失,到底是什么原因?其实在计算机安全方面,也一直存在“木桶原理”,就像一只用木板拼成的木桶,桶里能装多少水,并不取决于最长的木板,而取决于其中最短的木板。可能操作系统本身已经很安全,但因为使用的人缺乏安全意识,也有可能导致操作系统在提高安全性方面所做的全部努力付之东流。在现在的Windows操作系统中,几乎所有选项的默认设置都是以保证安全性为前提的。然而安全性和易用性永远都是对立的,如果要实现更高的安全性,在易用性方面肯定会大打折扣。因此,很多人在使用过程中为了贪图方便,往往会修改一些默认的系统设置,导致系统变得不够安全。而一旦遇到安全性问题,往往会觉得这是操作系统做得不好,并不会想到是因为自己修改的设置导致了一系列的不安全问题。对于使用Windows的大部分一般用户来说,他们并不需要对计算机有多么高深的了解,他们只需要像使用一般电器那样打开计算机,然后学习、工作或者娱乐,并在用完之后直接关掉就可以,Windows 可以很好地满足这些人的需求。也许有更加安全的操作系统,但对于大部分用户来说,这类系统无论是安装、设置还是使用,都存在不小的难度,甚至可能根本无法在这些操作系统上完成自己需要的工作。因此,大部分人依然在使用Windows,并希望努力让Windows变得更安全,或者至少不要因为自己的疏忽带来安全问题。一般来说,如果希望自己的计算机更安全,我们应该从以下几个方面着手:● 随时保持操作系统和应用程序安装了最新的补丁:现在的软件越来越复杂,存在安全漏洞也是在所难免的。因此,无论是操作系统还是一般的应用程序,只要有安全方面的更新,就应该尽快安装,只有这样才能保护计算机不被入侵或攻击。● 给每个使用电脑的人创建自己的账户,并设置强密码:这样,每个人的使用环境将会被隔离起来,并且可以根据不同的需要给不同用户指派不同的特权,这样才能保证每个用户只能做自己需要的工作,而不会“越权”。同时强密码的存在也可以保证系统和数据不被未经授权的人访问。● 安装反病毒软件、网络防火墙及反间谍软件:这三类软件可以保护我们的系统不被攻击和感染,但不要忘记经常更新这类软件的定义文件,只有这样才能监测到最新类型的攻击或病毒。● 对于电子邮件中的可疑附件,绝对不能轻易打开:很多病毒在通过电子邮件传播,有时候可能看似来自朋友的邮件,其实可能是对方感染病毒后不知情的情况下发送的。因此,在收到任何人发来的邮件时都要谨慎,在打开之前最好使用反病毒软件彻底检查。● 小心朋友通过IM软件发来的网页链接:如果朋友通过IM软件发来了某个网页的链接,在打开前最好先问问对方是否发送过这样的东西,因为有时候这可能是对方系统感染了病毒后自动发送的,如果直接单击这样的链接,我们的系统也有可能会中毒。● 安装软件一定要小心:现在很多软件的安装程序中都捆绑有其他非必要的软件,这类软件一旦安装,往往很难卸载,并且可能会给系统带来很多麻烦。因此,在安装软件时一定要小心查看所有的选项,尽量不要安装来自陌生网站的软件。其实现在很多人已经开始意识到这个问题,但关键在于,并不是每个人都能充分理解系统中不同选项对于安全性的影响。而且很多人对于目前层出不穷的新安全问题也并不了解,因此,本书的主要目的是向大家介绍这些选项,并通过实例告诉大家在网络上遇到这类问题后应该处理。本书主要内容本书特色虽然这本书名叫《Windows 7安全指南》,然而本书并不仅仅介绍有关Windows本身的安全问题,还包含了一般用户在使用Windows操作系统完成日常工作的过程中可能遇到的各种安全风险,以及解决和预防办法。因此,通过阅读本书,将可以保证自己的计算机整体环境更安全、可靠。读者对象本书的目标读者是使用Windows操作系统进行工作或娱乐的一般用户。即使完全没有计算机技术基础,只希望使用计算机完成自己工作的人,也完全可以通过本书了解如何操作才能提高计算机的整体安全性;而对于希望“知其然,也知其所以然”的人,将可以了解到一些深入的技术细节和原理,并能通过这些信息更好地使用Windows。致谢本书主要由刘晖、汤雷、张诚编写,其他编写人员包括刘宝良、王凤霞、董晓兰、刘步庭、李红莉、刘进业和张惠玲。本书在编写过程中得到了电子工业出版社博文视点资讯有限公司郭立总经理、李冰编辑、黄爱萍编辑等人的大力帮助,在这里对他们表示衷心的感谢,没有他们的帮忙,本书的顺利出版是不可能的。在写这本书的时候,作者已经尽了最大的努力保证在技术和文字上没有什么错误或者疏漏,但由于水平有限,难免会出现一些错误或者不足,敬请指正。如果您在阅读本书的过程中有什么疑难问题,请发邮件到jsj@phei.com.cn,并使用“《Windows 7安全指南》技术问题”作为邮件主题,方便及时处理。刘晖2010年5月第1部分Windows安全对于计算机来说,操作系统是其他所有应用的基础。无论使用计算机做什么,如果操作系统不安全,那么其他应用和数据就会受到影响。因此,对于需要更安全的计算环境的用户,首先需要保证Windows的安全。然而长久以来,因为各种原因,很多人对Windows的安全性有一个误解,认为和其他操作系统相比,Windows不够安全,其他系统更安全。其实这个观点在很大程度上都是站不住脚的。首先,我们必须知道,Windows是全世界使用率最高的操作系统,很多人都在研究和破解Windows的各种安全功能,以达到各自的目的。设想这样一种比较极端的情况:有一种全新的操作系统,存在比较严重的漏洞,但全世界只有一两个人在使用这个系统,并且主要用于娱乐用途,那么会有人对这种操作系统的漏洞感兴趣吗?很显然,不会,因为没有价值。那么Windows呢?情况有些复杂。很多人在用Windows,我们会在Windows下进行网络理财、股票交易,会在Windows下处理公司的财务数据,会在Windows下撰写新计划的企划书,会在Windows下玩网络游戏,打造可以卖钱的极品装备……总之,在Windows下进行了太多有价值的应用。因此,研究 Windows 各种功能和漏洞的人最多,进而,Windows 上出现的安全问题也最容易被怀有恶意的人利用,这些因素更让Windows显得不够安全。其次,Windows是由人编写的一套非常庞大的操作系统。而只要是人,就难免犯错误,再加上数量庞大的代码,因此,Windows下暴出安全漏洞也并不奇怪。其实其他任何软件产品也是如此,只不过有些软件的用户数量太少,问题不那么突出罢了。不过好在微软有一套相当成熟的补丁管理机制,可以在发现新的安全漏洞后的最短时间里发布相应的补丁程序。我们只需要及时安装新的补丁程序,就可以将风险扼杀在摇篮中。最后,为了保证一定的易用性,在 Windows 中,很多默认的设置都是不够安全的。虽然在Windows Vista/7中的这种情况有所好转,不过问题依然存在。更重要的是,系统的安全性在很大一部分情况下都取决于使用这套系统的人,不管多安全的操作系统,如果让不懂技术的人使用,都有可能因为改变了设置或者错误的使用习惯而导致原本安全的系统变得不再安全。因此,就算选择使用Windows,也不用因为上述内容而沮丧。因为通过本书,我们会了解到怎样进一步提高Windows的安全性,同时,本书还会介绍怎样让我们在Windows下进行的其他操作更安全。第1章 安装和设置很多人认为Windows的安全设置是在安装好系统之后才进行的,其实不然。要知道,从操作系统的安装开始,很多因素都有可能影响到系统和其他程序的安全性。举例来说,如果安装系统所用的安装文件被病毒感染或者被第三方恶意修改,那么这样安装的系统将存在先天不足的缺陷,虽然可能不至于导致系统无法使用,但安全隐患肯定是存在的。另外,如果安装的某个设备驱动有问题,不仅可能影响到系统安全性,甚至可能导致整个系统崩溃。因此,在安装操作系统之前,最好能花一些时间注意这些问题,而这也正是本章的主要内容。1.1 安装前的准备工作在本节中将了解到:如何通过选择合适的安装介质安装出一个更加安全的系统,以及如何将补丁和更新程序直接集成到Windows的安装文件中,这样安装好的系统就直接带有各种更新程序,避免了装好系统才进行更新的麻烦。1.1.1 安装介质的选择对于大部分购买了零售版Windows或者购买预装了正版Windows的品牌机用户来说,这部分内容可以跳过,因为正版Windows系统几乎不存在这类问题。但对于使用盗版或者“伪正版”的用户,这是一个很重要的问题。虽然提倡使用正版,但事实上,依然有很多人因为各种原因在使用盗版软件,其中就包括Windows。市面上各种盗版Windows产品的种类非常多,例如,号称某企业或者某政府机构的专用免激活大客户版,或者以某论坛或网站名义制作的 Ghost 镜像等。很多人贪图方便,使用这些盗版,尤其是 Ghost 镜像,因为使用起来很便捷,只要几分钟就可以安装好操作系统和所有常用的程序。虽然传播这些软件的人大部分都只是为了方便大家使用,而不是为了私利,但在这背后却隐藏着巨大的危险,因为有少数人在借助这些东西非法赢利。例如,前一段时间新闻里报道,某个非常著名的Ghost镜像版本的Windows XP打包者被抓捕,并且发现该打包者的软件内通过收费的方式捆绑其他软件,非法获利上百万,而其中捆绑的软件大部分都有一些不好的“恶意行为”,使用了这种系统的人可能面临系统中弹出广告、隐私或机密信息被泄露,甚至系统功能无法正常使用等各种危险。其实这些问题还不是最严重的,有些 Ghost 镜像中甚至建立了隐藏的账户,并开放了某些网络端口,这样,制作这些镜像文件的人将可以通过开放的端口,使用隐藏账户连接我们的系统,暗地里进行一些不好的操作。这才是对系统和数据安全危害最大的!因此,在选择操作系统的安装介质时一定要小心谨慎,尽量不要因为贪图便宜或方便而导致更麻烦的后果。1.1.2 将补丁和更新集成到安装文件中什么是补丁,补丁都有哪些类型,为什么要安装补丁,又怎样才能获得并安装补丁,这些内容会在本书第 4 章“补丁和更新”中详细介绍。这里只介绍怎样将补丁集成到Windows 的安装文件中,这样安装好的系统就已经包括了集成的补丁,避免了装好系统后花大量时间进行更新的麻烦。在Windows 7中,因为修补方式的改进,用很简单的操作就可以将所有的更新程序集成到安装文件里。因为在撰写这本书的时候,Windows 7还没有发布任何Service Pack(简写为SP),因此,在这里只能以Hotfix补丁为例来介绍。在Windows 7的SP1发布后,就可以使用类似的方法将Service Pack集成到安装文件中。要将更新程序和补丁集成进Windows 7的安装文件,我们需要准备下列工具和材料:● DVD刻录机和DVD刻录盘,或者使用普通的U盘,因为Windows7可支持从U盘引导安装(具体做法请参考下文)。● 原始版本的Windows7安装光盘。● Windows7的更新程序和补丁,这些文件可以在http://tinyurl.com/ybop2yj中下载,或者也可以使用下文介绍的WUD工具进行批量下载。● 用于将更新整合到Windows安装文件,以及对安装文件进行定制的工具Win Integrator,其下载地址为http://tinyurl.com/yephvxj。如何下载Windows 7所需的更新程序?其实也有比较简单的办法,通过使用网上流传的一些小工具,我们可以将所有需要的更新一次性下载下来。此处推荐使用 Windows Updates Downloader(下文简称为WUD),这是一个免费的工具,我们只要准备好合适的列表文件,即可下载微软所有产品的更新程序。首先请访问http://tinyurl.com/cuhe86,并单击页面顶部的“Program Files”链接,随后出现的页面中将列出所有可供下载的版本。在撰写本书时,这个工具的最新版是2.5 Build 1000版,下文将以该版本为例进行介绍。下载并安装该工具,随后还需要提供不同产品的列表。WUD工具实际上是一个下载器,单纯的该工具并不能下载任何内容。而网络上很多人提供了针对微软不同产品的下载列表,这个列表实际上可以理解为更新的清单,其中列出了不同操作系统所需的更新数量、类型、简介,以及下载地址。只有使用WUD加载了某个列表后,才能开始下载。对于Windows 7系统,可以在http://tinyurl.com/ydum4od处下载到最新的x86以及x64版本的下载列表,并且该列表会每月更新,因此,用户总是可以下载到最新的版本。从上述地址下载到的列表是.ulz格式的,安装WUD后,直接双击这样的文件,即可启动WUD软件,并加载该列表,随后可以看到如图1-1所示的界面。图1-1 从列表中选择要下载的更新如果曾经加载过多个列表,那么可以从窗口顶部的“Update List”下拉菜单中选择要使用的列表,本书所选的是针对32位Windows 7 RTM的列表。随后还可以通过右上角的“Change”按钮指定下载下来的文件的保存位置。窗口的中央部分则列出了列表所包含的内容,共分为四个部分:Critical Updates(关键更新)、Important Updates(重要更新)、.NET Framework Updates(.NET Framework更新)、Optional Updates(可选更新)。对于每个类别,展开后可以看到具体的每个更新,将鼠标指针指向它后还可以看到详细的描述。对于希望下载的更新或某个类别的所有更新,只要单击对应的复选框即可。这里需要提醒一点, Windows 7是完全语言中性的,也就是说,所有语种的Windows 7,在绝大部分情况下都可以共用相同的更新程序,除非某个更新解决的是特定语种Windows中存在的问题,否则该列表就可以下载到Windows 7所需的全部更新。选择要好下载的内容后单击“Download”按钮,WUD 会自动开始下载,并将下载的文件保存到指定的目录中(如图1-2所示)。针对不同的内容,下载回来的更新程序可能使用了不同的扩展名。例如,有些文件使用了.msu扩展名,这种文件可以直接使用Win Integrator整合到安装文件中,但有些文件可能使用.exe扩展名,此类文件无法直接整合。不过,好在Windows 7的绝大部分更新都是.msu格式的。运行Win Integrator(下文简称为WI),该工具的大部分操作都是通过选项卡进行的,但在第一个选项卡上需要首先指定Windows 7安装文件的原始位置。请单击“Select”按钮,然后选择放入安装光盘的光驱,或保存了安装文件的文件夹。如果所选文件中包含图1-2 下载所有选中的更新[1]多个Windows 7 版本的映象 ,则要选择自己需要使用的版本(如图1-3 所示)。图1-3 指定安装文件的位置并选择版本随后打开“Updates”选项卡,在这里可以添加之前使用WUD批量下载下来的更新文件。请单击“Open”按钮,并将所有需要整合的更新文件(.msu格式)都添加进来(如图1-4所示)。图1-4 添加好的更新程序打开“Create iso”选项卡,为ISO 文件输入卷标,并单击右下角的“Create iso”按钮,程序会利用原始文件,以及添加和修改的内容新建一个 ISO,并保存到我们指定的位置。至此,已经可以将所有必要的安全更新都整合到Windows 7 安装文件中。不过WI 的功能还远不止这么简单,我们还可以根据需要,对安装文件进行更多的定制。上述操作没有提到的选项卡以及各自的用途如下:● Drivers:用于将驱动程序加入安装文件,这样在安装好系统后,所有的设备都可直接使用,不再需要手工安装设备驱动。● Remove:该选项卡下的内容默认都会被会安装(如图1-5所示),如果不希望安装,可以将其选中。但是一定要记得某些组件可能看似没用,但实际上自己的正常操作还是需要的。因此,如果不确定某个组件的用途,或者不能肯定自己是否需要,建议将其保留,不要删除。而且这一操作无法“回滚”,也就是说,一旦在安装系统时将某个组件排除,后来发现自己需要这个组件时,将无法单独安装,可能需要重装整个系统。● Features:这里对应了Windows 7控制面板添加或删除Windows组件功能所能添加和删除的内容(如图1-6所示)。如果自己需要使用某个默认不被安装的组件(例如Telnet 客户端),可以在这里选中,并在安装系统的过程中自动安装。相比 Remove选项卡下的内容,这里的内容可以放心地添加或删除,如果有必要,在装好系统后还可以从“添加/删除Windows组件”窗口中修改。图1-5 需要慎重增/删的组件图1-6 可以放心增/删的组件到这里,我们已经获得了定制过的Windows 7安装文件。Windows 7的安装方式多种多样,可以通过光盘安装,也可以通过U盘,或者直接在PE环境下从硬盘安装。但作为最普遍的方法,大部分人可能依然会选择通过光盘安装的方式。因此,对于定制后的 ISO文件,还需要将其刻录到光盘上。在刻录光盘时需要注意,ISO 等光盘镜像的刻录与普通文件的刻录不同,必须将其以“光盘镜像”的形式刻录,而不能当做普通文件一样刻录,如果刻录好的光盘中只显示了一个ISO文件,这样的光盘既不能用于启动计算机,也不能用于安装Windows。如果你的计算机已经运行Windows 7,则有一种比较简单的办法,在Windows 7系统中,用鼠标右键单击创建出的 ISO 文件,指向“打开方式”,并选择“Windows 光盘映象刻录机”,随后即可使用系统内建的功能刻录成光盘。如果你的计算机没有运行Windows 7,那么就必须借助第三方光盘刻录软件。很多刻录机附带的刻录软件通常都具有类似的功能,不过名称可能会有所不同,详细方法请参考刻录软件的说明。经过上面的操作,我们已经了解了怎样将更新和补丁程序集成到Windows的安装文件中。如果不想刻录光盘,或者某些计算机没有光驱,其实还有更简单的方法。只要有容量不低于4 GB的U盘,并且计算机可以支持从USB设备引导(能运行Windows 7的计算机通常都可满足该要求),就可以直接使用处理后的 U 盘引导计算机,并完成安装,具体的过程与用光盘安装完全一致。在将U盘连接到计算机后,假设U盘的盘符是E,需要按照下列步骤处理该U盘:打开“开始”菜单,在搜索框中输入“cmd”,在显示的cmd程序上单击鼠标右键,选择“以管理员身份运行”,打开管理员命令行窗口。运行“diskpart”命令,随后运行“list disk”命令,列出本机所有的磁盘(如图1-7所示)。图1-7 列出所有的本地磁盘随后需要根据磁盘的大小信息,判断哪个是U盘,例如,本例中的U盘是“磁盘4”。接着按顺序执行下列命令,每一行的黑体字是一个完整的命令,“#”符号以及该符号后面的内容是注释,用于解释该命令的作用,不需要输入。Select disk 4 #选中U盘,这样后续操作都会对U盘生效(注意:这里一定要小心,如果错误地选择了其他磁盘,有可能导致数据丢失)。Clean #清除该磁盘上的分区表,这样其中的所有分区和数据都将被删除。Create partition primary #在该磁盘上使用所有可用的空间新建一个主分区。Select partition 1 #选中该主分区,这样后续操作都会对该分区生效。Active #将该分区设置为活动的。Format fs=ntfs quick#将该分区快速格式化为NTFS文件系统。Assign #为该分区分配第一个可用盘符。Exit #退出Diskpart命令行工具。还是在该命令行窗口中,使用“cd”命令进入Windows 7安装文件目录(本例中是d:\Windows),并进入到“boot”子目录下,然后运行“Bootsect.exe /nt60 X:”命令(其中的“X”是给U盘分配的盘符,请根据实际情况替换),该操作会在U盘上复制引导计算机所需的必要文件,如果一切正常,将能看到图1-8所示的界面。随后将d:\Windows目录下的所有文件和文件夹都复制到该U盘的根目录下。至此,可用于安装操作系统的U盘制作完成。在使用时,可以和使用光盘安装一样的方法,将 U 盘连接到 USB 接口,并通过 BIOS 或计算机的引导方式选择界面选择使用 U盘引导。随后的安装过程和使用传统的U盘安装方法完全相同。图1-8 将U盘设置为可引导设备将更新程序整合到Windows安装文件中的方法比较麻烦,因此,有些人可能会纳闷,干嘛非要这样做?安装好系统再进行更新难道不行吗?如果因为一些原因(例如测试软硬件)需要经常重装操作系统,每次重装完系统之后才安装各种补丁程序,这样很浪费时间。如果需要给多台计算机安装系统,这样不仅浪费时间,还会造成网络带宽的浪费。因此,如果需要面对这些问题,花费一些时间将补丁和更新集成到Windows的安装文件中还是很有必要的。注 释[1]. 注意,由于采用了映象安装的方式,结合单实例存储等技术,一张Windows 7 安装光盘实际上可以包含多个版本的安装文件。但使用零售版光盘安装时会发现,并不能选择要安装的版本,而且也不能像Windows Vista那样通过输入不同的序列号,用同一张光盘安装出不同的版本。其实零售版Windows 7 光盘一样包含了多个版本,不过通过技术手段屏蔽了这种做法,无法直接安装。为了解决这一问题,可将光盘“Sources”目录下的“ei.cfg”文件删除,这样以后进行安装时,安装程序将提供选择列表,列出不同的版本供我们根据实际需要选择(这一点与Windows Vista不输入序列号直接安装后的效果一致)。不过,在使用WI进行整合的时候,必须选择一个自己要使用的版本,并且这样处理过的安装文件将不再包含多个版本的内容。1.2 安装过程中的注意事项就算使用集成了最新更新和补丁程序的Windows安装程序安装系统,这也不意味着装好的系统就是安全的,因为在安装过程中,我们还需要注意两个问题:Administrator 账户以及网络上的威胁。另外,在安装好Windows 7之后,很多人可能会看到自己的硬盘上被建立了一个100 MB大小的隐藏分区。本节将介绍该分区的用途,以及为什么只有在某些计算机上才能看到该分区。1.2.1 Administrator账户的问题Windows 7也是基于Windows NT系统发展起来的,而在所有的Windows NT系统中,在管理员账户方面都有一个最显著的特征:所有的Windows NT系统都自带一个名为Administrator,且对整个系统拥有最高权限的管理员账户。因此,一旦该账户出现问题,例如没有设置密码,或者设置的密码强度不够,就容易导致他人乘虚而入,破坏我们的系统安全。窍门 为什么不禁用Administrator账户看到这里,可能有人会纳闷:既然Administrator账户会带来这么多问题,那为什么不直接将其禁用?毕竟我们还可以使用其他管理员账户。其实这是有原因的,虽然除了Administrator账户,系统中还可以创建其他管理员账户,但这些管理员账户和Administrator账户有所不同,主要体现在一些特殊情况下。举例来说,如果系统崩溃,已经无法启动,甚至连安全模式都无法进入,这时候可以考虑使用故障恢复控制台。然而只能使用系统自带的Administrator账户登录故障恢复控制台,其他管理员账户无法登录。在安装过程中,这个问题主要体现在对该账户的密码设置方面,下面将介绍这个特殊的账户,同时还会讨论系统自带的Administrator账户和其他在安装系统过程中创建的账户。注意 物理安全很重要。很多人在系统安全方面存在一个误区,那就是:技术是万能的,靠技术可以解决一切问题。然而在安全领域(以及其他大部分领域)却并非如此。例如,前几年网上曾经盛传过一个所谓的Windows XP漏洞,具体内容是:“我们都知道,要想在Windows XP中进入故障恢复控制台,必须使用Windows XP的安装光盘引导计算机,选择修复,同时,如果要修复的是Windows XP专业版,还必须使用正确的Administrator账户的密码登录才可以使用。如果使用Windows 2000安装光盘引导安装了Windows XP的计算机,并选择修复,进入故障恢复控制台,无论是Windows XP专业版还是家庭版,完全不需要登录,就可以直接进入。”很多人认为这是一个很大的安全漏洞,但微软却一直没有修复这个问题。在讨论这个问题之前,必须首先明白一个问题:到底什么才是安全的系统?要让自己的系统安全,是否单凭操作系统本身的功能就可以实现?其实上面就是一个很好的例子,虽然这样的“缺陷”可能导致系统不够安全,但严格说来,这种缺陷远非很多人想象的那么严重。因为如果怀有恶意的人可以使用光盘将我们的计算机引导到故障恢复控制台环境下,这也就意味着对方已经可以在物理上接触到这台计算机,而这种情况下,我们还能奢望操作系统的安全功能起什么作用呢?举一个更形象的例子:如果我是一个黑客,想要攻击某个大型网站的服务器,让服务器的服务中断。为什么我非要费劲寻找成千上万的肉鸡对网站服务器发起拒绝服务(DDoS)攻击?或者为什么要辛苦寻找网站服务器的漏洞?直接把服务器的电源拔掉不就实现目的了吗?不管服务器运行多安全的操作系统,断电后将无法提供任何服务。事实上,重要的服务器一般都放置在保安措施很严密的机房中,同时有很多机制保证服务器在遇到各种突发问题的时候都能继续提供服务,让人拔电源就更不容易了。因此,在这里也要提醒大家,在按照本书介绍加固操作系统安全的同时,计算机的物理安全问题依然不能忽视。大部分时候,技术都不是万能的。在Windows 7中,Administrator账户的问题其实很明了,在所有版本的Windows 7中, Administrator 账户默认情况下都是被禁用的,而且在安装过程中不需要我们为该账户设置密码。默认的设置下,就算在安全模式中也不能使用Administrator账户登录。另外,有很重要的一点需要注意,虽然将Administrator账户启用后,可以在正常模式或者安全模式下使用该账户登录系统,但该账户在默认情况下完全不受用户账户控制功能的限制,有可能带来一定的安全隐患。因此,建议平时使用标准账户或者非 Administrator的其他管理员账户。关于用户账户控制的相关内容,请参考本书 2.2 节“用户账户控制(UAC)”的相关内容。1.2.2 来自网络的威胁在安装过程中,关于网络,只有一个问题需要注意,那就是将系统接入网络的时间。我们都知道,系统的安装是分阶段进行的,一般情况下,在系统还没有完全安装好的时候,只要网络组件已经安装好,系统就可能已经被接入网络。那么在安装过程中,如果系统已经连通了网络,但其他安全组件尚未启动,就有可能导致隐患。例如,前几年冲击波病毒肆虐网络的时候,笔者曾亲身经历过的一件事:当时我在给朋友的电脑安装系统,安装的是没有集成任何Service Pack的Windows XP专业版,安装系统之前忘记了将网线拔掉,而他使用了不需要拨号即可联网的小区宽带。结果在安装系统的过程中,当网络组件被安装好,安装程序还在继续后面的安装时,网络中其他中了冲击波病毒的计算机就对这台计算机发起了攻击,这直接导致系统还没有装完就因为被攻击而自动重启。对于这个问题上,操作系统本身的一些功能可以有效地避免。例如,在Windows 7中, Windows 防火墙是被默认启用的,同时在操作系统的启动过程中,一旦网络组件被成功启动,Windows 防火墙的一部分就会开始生效,限制系统只能进行必要的网络活动,例如,联系DHCP服务器获取新的IP地址配置。而只有在系统完全启动好,Windows防火墙组件也全部被成功加载后,系统才可以完整地使用所有的网络功能。虽然系统自身的一些改进已经让这个问题不再那么突出了,不过为了保险起见,在安装系统的过程中,最好能将网络断开,甚至把网线拔掉,待系统安装好,并配置好防火墙和反病毒软件之后,再将系统连接到网络。1.2.3 隐藏分区的问题有些人在安装好Windows 7,并运行“diskmgmt.msc”打开磁盘管理控制台后可以看到,自己的系统中存在一个100 MB的隐藏分区,并且该分区还会被Windows标注为“系统”分区(如图1-9所示)。但是有些人的系统中并没有这样的分区。这是为什么?为何要创建这样的分区?又如何让安装程序不要创建?图1-9 安装程序自动创建的隐藏分区其实,这个分区中保存了用于启动Windows 7系统的所有引导文件,以及WinRE (Windows 恢复环境)使用的必要文件。如果将其删除,或进行任何操作,都有可能导致Windows无法启动。另外,在使用BitLocker功能对本地硬盘分区进行加密的时候,如果要加密系统盘,那么就需要准备一个独立的系统分区(100 MB大小),用于保存不能被加密的引导文件(有关BitLocker功能的详细介绍,请参考本书第12章)。在Windows Vista时代,如果需要使用这样的功能,往往需要在安装系统之前手工调整硬盘分区,或使用微软提供的一个工具软件。这样做往往很麻烦,而且容易出错。因此,某些情况下,在Windows 7中安装程序可以自动创建这样的隐藏分区。那么什么情况才能创建?其实主要需要满足两个条件:使用介质引导计算机,并进行安装时。这里的介质可以是光盘,或者经过上文介绍的步骤处理过的U盘,甚至可以是网络引导。但一定需要使用介质引导计算机,如果是在老版本Windows运行的过程中从介质上运行安装程序,是无法创建的。另外,在安装过程中选择安装位置时,必须选中“未分配”的磁盘空间,而不能选择一个已经创建好的分区。在安装过程中,我们可以看到如图1-10所示的界面,在这里可以选择安装Windows 7的目标分区。如果硬盘上已经建立了分区,即使在这里将该分区格式化并安装,安装程序也无法创建隐藏分区。只有选择“未分配空间”,安装程序才能创建两个分区,其中一个是100 MB的隐藏分区,用于保存引导文件;另一个则会使用所有剩余的未分配空间,用于保存Windows系统文件。因此,如果是在已经安装有操作系统的计算机上全新安装Windows 7,并且希望创建这样的隐藏分区,此时可以首选原系统盘(通常是C盘),然后单击“驱动器选项(高级)”链接,利用安装程序提供的选项将该分区删除(这里必须要“删除”,而不能“格式化”),这样即可获得一块未分配空间。图1-10 选择系统安装到的分区1.3 初次使用中的设置系统安装好之后,第一次启动时,首先会看到一个向导,该向导可以帮助我们设置一些关键的选项,例如,可以创建账户、自定义当前账户的桌面环境、设置时区和网络类别,以及安全保护方式等。下面以零售版Windows 7为例介绍首次运行时需要设置的选项。注意,如果是购买品牌机预装的 OEM 版 Windows,整个过程可能会有所不同,因为品牌机厂商可能会在这个环节中增添一些自定义的选项和内容。在Windows 7下,安装好系统第一次启动的时候,需要在向导中设置很多选项。下面将挑选其中涉及系统安全性的内容进行介绍。首先是为自己创建账户,以及设置计算机名称的选项。单击“下一步”按钮后,还需要为自己的账户设置密码和密码提示,如图1-11所示。这里需要注意,密码是可选的,如果认为没必要,也可以不输入密码。但因为这里创建的是管理员账户,为了安全起见,最好还是设置一个密码。同时,这里还可以选择是否使用密码提示,通过设置密码提示,如果登录时忘记了密码,Windows 会自动显示这里输入的密码提示,帮助回忆密码。但是要小心,不建议使用密码本身作为密码提示,或者像有些人将类似“我的生日”、“我的手机号码”之类比较容易让人猜测到的密码短语作为密码提示。因为密码提示任何人都可以看到,如果别人打算使用我们的账户登录系统,但不知道密码,如果通过“我的生日”之类的短语猜到我们的密码,那么这个密码就没有意义了。有关密码安全性的信息,请参考下文相关内容;有关密码提示的详细信息,请参考1.3.2.1节的相关内容。接着可以在如图1-12所示的界面上设置Windows安全选项,只要从提供的选项中根据需要选择即可。图1-11 为账户设置密码和密码提示图1-12设置Windows 7的安全选项这三个选项之间到底有什么区别?使用推荐设置这个选项可以启用Windows自动更新、Windows Defender、Windows问题报告和解决方案,Internet Explorer仿冒网站筛选等功能的默认设置,并会设置让Windows通过Windows Update获取有关设备驱动程序的更新,通常建议选择这个选项。仅安装重要的更新这个选项只启用Windows Update功能,并且只安装关键更新和安全更新,上面提到的其他选项都不会启用。如果没有特殊原因,不建议选择该选项。以后询问我 如果选择该选项,那么以后每次登录Windows的时候都会被询问,直到选择了上面任何一个选项。如果计算机上安装了网卡,并且在安装Windows的过程中已经安装了系统自带的网卡驱动,网卡可以正常工作,那么随后还可以看到如图1-13所示的选择网络位置的选项。图1-13 选择恰当的网络位置网络位置是从Windows Vista开始出现的一项功能,简单来说,就是根据网络的实际类型做出适合的配置,这些配置还会被应用给Windows自带的防火墙。举例来说,如果这台计算机是在家里或者办公室里使用的,那么根据实际情况选择“家庭网络”或“工作网络”后,Windows 就会根据我们的选择打开网络发现功能,方便查找局域网上的其他计算机;打开文件和打印机共享功能,方便与其他计算机共享文件。但如果我们正在公共场所使用计算机,例如在机场或者咖啡馆,很明显,为了安全,这种场合下最好能禁用网络的共享以及发现功能。网络位置功能的优势就在于,我们不再需要根据网络环境手工设置,所有的设置都是自动的。当第一次连接到一个网络的时候,Windows 会询问该网络的位置,并提供选项供选择。一旦选择好,那么下次如果再连接到该网络,系统将不再询问,直接应用同样的设置。当然,如果有需要,我们也可以手工修改。关于网络位置和Windows防火墙的详细内容,请参考本书第8章“网络防火墙”中的相关内容。如果这台计算机位于局域网中,局域网中有其他运行Windows 7的计算机,并且创建了家庭组(家庭组是Windows 7中新增的共享功能,详细信息请参考本书7.1.1节),那么还可以通过输入密码的方式加入该家庭组(如图 1-14 所示),这样就可以直接访问家庭组中所有共享的资源。如果当前所在局域网中尚未创建家庭组,则可以在这里创建家庭组,并设置密码。有关家庭组的使用,在这里只简单提及该功能,要了解家庭组的创建和加入、资源的共享和访问,以及退出等更详细的内容,请参考本书第7章的相关内容。图1-14 创建或加入家庭组1.3.1 新建账户并创建密码所有基于Windows NT的操作系统都是多用户操作系统。那么什么是多用户操作系统?这种系统和单用户操作系统相比又有什么优势呢?我们很多人的计算机都是要和多个人共同使用的,例如,放在家里的计算机,可能每个家庭成员都需要使用。如果是传统的单用户操作系统,那么每个人在使用计算机的时候都只能使用一个公用的账户,这样,一个人对系统更改的设置(例如更换墙纸、屏幕保护,甚至设置Internet Explorer的收藏夹、Cookie等)都会被其他人直接使用,不仅不方便,还有可能造成隐私泄露。但在多用户操作系统中就简单多了,每个人都可以使用自己的账户和密码(如果有的话)登录。这样一个人对某些选项(主要指针对当前用户的设置,而非针对整个系统的设置)的设置都只能被这个人使用。例如,我们自己设置的墙纸或者Internet Explorer收藏夹的内容,别人都看不到。因此,使用多用户操作系统为每个用户创建一个账户,并使用密码将账户保护起来,这是实现计算机安全的一个很重要的先决条件。1.3.1.1 账户和账户组的概念账户是很有用的,那么Windows中都有哪些账户,这些账户对系统具有怎样的权限,账户组又是什么意思,这些是本节要介绍的内容。首先需要明白,在 Windows 中,有两个系统自带的账户:Administrator 和 Guest,其中,前者属于管理员账户,对系统具有完整的控制权限;后者是来宾账户,只能对系统采取最基本的操作,无法修改系统设置。除了这两个账户外,在Windows中还有其他一些账户,主要用于一些特殊的环境,例如,用于进行远程协助的账户等,这些账户默认都没有启用,而且一般用户很少需要,因此,这里不再详细介绍。在Windows中,根据权限的不同,基本上有以下三种账户。● 管理员Administrator账户:就是管理员账户。除此之外,当我们安装好系统第一次启动的时候,在欢迎界面上创建的也都是管理员账户。管理员账户隶属于Administrator组,对系统拥有所有的权限,这些权限包括:● 创建、更改和删除用户账户和组。● 安装和卸载软件。● 配置自动更新,或者手工更新系统。● 安装ActiveX控件。● 安装或删除硬件设备驱动。● 共享文件夹。● 设置权限。● 访问所有的文件,包括其他用户的个人文件。● 获得文件或文件夹的所有权。● 将文件复制或移动到系统目录中。● 从备份中还原文件。● 给其他用户或者自己分配访问权限。● 配置家长控制功能。● 配置Windows防火墙。● 登录系统到安全模式。● 标准用户:默认情况下,系统中没有自带标准用户,但我们可以根据实际需要创建标准用户(“标准用户”是Windows 7等新版本Windows的叫法,在Windows XP及之前的版本中,这种账户被叫做“受限账户”)。标准用户隶属于 Users 组,虽然标准用户可以修改绝大部分非关键系统设置,不过却不能修改可能会影响系统安全性或稳定性的设置。标准用户具有的权限包括:● 更改自己账户的密码或显示图片。● 使用安装在本机的程序。● 安装批准的ActiveX控件。● 配置安全的WiFi连接。● 查看权限(对于WindowsXP,要求管理员把已经禁用了的简单文件共享)。● 在自己的文档文件夹或者共享文档文件夹中创建、更改或删除文件。● 还原自己文件的备份。● 查看系统时钟和日历。● 配置电源选项(仅限WindowsVista及以上系统)。● 登录到安全模式(仅限WindowsVista及以上系统)。● 来宾用户:默认情况下,系统中只有一个Guest账户属于来宾用户,而且我们没办法直接利用控制面板中的用户账户工具创建其他来宾用户。来宾用户隶属于 Guest组,拥有与标准用户类似的权限,但受到的限制更多。同时,系统自带的 Guest 账户和其他隶属于Guests组的来宾用户的权限也有区别,例如,Guest账户无法给自己设置密码,但其他来宾用户可以。除了用户账户,在Windows中还有一类安全主体需要注意,那就是账户组。前面我们已经提到过账户组的一些内容,例如管理员账户隶属于管理员组、标准用户隶属于 Users组、来宾用户隶属于Guests组。那么到底什么是账户组,账户组又有什么作用呢?顾名思义,账户组就是一组用户的集合,简单地说,如果一组用户具有相同的权限,那么就可以创建一个组,将这些用户全部添加到该组中。账户组在企业中使用得比较广泛,例如,如果企业中每个部门所有员工的账户所需要的权限都一样,例如市场部的所有员工都需要一样的权限,而财务部员工则需要一样的权限,那么在为这些人创建账户的时候,最笨的办法就是创建好每个账户后挨个为所有的账户设置权限,这样不仅操作烦琐,而且容易造成遗漏或者错误。这时候就可以使用账户组,例如,为市场部创建一个组,为财务部创建一个组,针对这些组来设置权限,然后将员工按照实际情况添加到不同的组中,这样每个员工也就有了和自己所在组一致的权限设置。这样做不仅方便,而且日后如果员工转换工作岗位,操作起来也很简单,只要把员工从一个组中删除(这里删除的只是用户和账户组之间的对应关系,而非账户),并添加到另一个组就可以了。Windows 中自带的组有很多,不过一般情况下都很少用到。我们只需要记住最常用的组就行了,这些组是Administrators组(注意,名称末尾带有“s”,代表这是一个账户组,而不是Administrator账户)、Users组,以及Guest组。这些组所具有的权限就是上文介绍的管理员账户、标准账户,以及来宾账户相对应的权限。1.3.1.2 创建账户和账户组本节将介绍在Windows 7下如何创建用户账户和账户组。需要注意的是,如果希望进行这些操作,首先需要使用管理员账户登录Windows。1.创建用户账户在Windows 7中,如果希望创建用户账户,可以按照下列步骤操作:依次单击“开始”“控制面板”“添加或删除用户账户”。单击“创建一个新账户”链接。在随后出现的页面上输入该账户的名称,并选择希望使用的账户类型。设置好之后单击“创建账户”按钮,即可完成创建。同样,通过上面的方法只能创建管理员账户或受限账户,虽然大部分情况下都已经够用了,但如果因为某种原因需要创建隶属于其他组的账户,依然需要使用计算机管理控制台中的本地用户和组管理单元。为此,请按照下列步骤操作:打开“开始”菜单,在搜索框中输入“lusrmgr.msc”并按回车键,打开本地用户和组控制台。在窗口左侧的控制台树列表中,鼠标右键单击“用户”节点,选择“新用户”,随后可以看到如图1-15所示的“新用户”对话框。试读结束[说明:试读内容隐藏了图片]