安全：为Windows穿防弹衣

安全：为Windows穿防弹衣

　　安全建议
　　防护你的XP和Internet Explorer
　　为了防止遭受攻击，你需要避免在PC上执行任何恶意代码。实现有效的防护实际上并不困难，任何想要入侵系统或者对你的电脑进行远程控制的黑客都需要突破三道关卡。首先，他们需要把文件传送到你的PC上，然后他们需要用欺骗的办法让用户或者操作系统运行代码，最后，他们还不能让自己的行踪轻易被发觉。下面我们将讲述几个基本的PC安全法则，帮助你更好地保护你的PC和数据不受攻击。
　　警惕性是最有力的武器
　　如果你收到一封不明发件人的e-mail，带有明显的广告信息或折扣信息，你可能会看也不看就把它们删掉。但如果这封e-mail中带有某个女明星的照片或类似的链接，你可能会克制不住好奇心去看上一眼，而这一次点击就可能会让黑客们轻易冲破前两道关卡。
　　因此PC安全的首要法则就是：永远不要打开任何附件，除非你自己主动向别人索取过该附件。如果无法确认或存在疑问，最好在打开之前向发件人询问一下他们是否真的发送了这封e-mail。
　　你还可以咨询一下邮件服务商是否对发出的邮件提供了病毒扫描服务。同时你应该及时更新自己电脑上的防病毒软件并打开对邮件和压缩文件的实时监测选项。把你的Internet防火墙设置成高安全级别，这是防止特洛伊木马和远程控制工具的唯一办法。
　　安装Windows XP Service Pack 2
　　尽管Service Pack 2也无法完全担保Windows的安全，但与以前相比，它在安全性方面的确有了显著的提高，因此我们建议你最好尽快把Windows XP升级到SP2。一方面，这个升级版本对此前发现的安全漏洞进行了一次全面的弥补，另一方面它也扩展了操作系统在安全方面的功能，比如提供了Windows安全中心（如图1所示）和Windows防火墙。与运行Windows XP SP1的系统相比，升级到Service Pack 2的系统的安全漏洞要少得多。如果你正在使用Windows XP，可以到Windows更新 站下载Service Pack 2或者订购升级光盘。

　　其他的安全工具
　　除了升级到Service Pack 2，你还需要正确选择另外的安全工具。你至少需要安装一款防病毒软件，比如Norton AntiVirus 2005（www.symantec.com）或Panda Antivirus Titanium（www.pandasoftware.com）。桌面防火墙也是必不可少的，Sygate Firewall Pro（www.sygate.com）就是一款不错的产品，此外，你还应该同时使用基于路由器的防火墙。
　　垃圾邮件过滤工具也是值得投资的，你可以选择独立的工具，比如Mailwasher Pro 4.1.9（www.mailwasher.net），也可以选择插件，比如Spambully （www.spambully.com）。安全清除工具也会帮助你彻底清除恶意代码，这方面我们推荐你使用O&O Safe Erase 2（www.oo-software.com）和免费的Eraser 5.7（www.heidi.ie/eraser）。
　　最低限度的防火墙
　　Windows XP Service Pack 2附带的Windows防火墙能够提供最低限度的安全防护。如果你想使用Windows防火墙的话，首先你需要找出有哪些端口被其他的程序所用。
　　你可以在Windows XP 的命令行模式下运行netstat.exe来完成这项检测工作。首先你需要启动被检测的软件，并让它访问 络资源。然后打开Windows XP 的命令行模式（开始
　　运行
　　cmd），输入netstat -ano c:ports.txt命令并按回车键。这时Windows会把所有开放的端口写入c:ports.txt文件（如表3所示）。
　　接着输入tasklist c:asks.txt命令并按回车键。Windows会把当前运行的所有任务写入c:asks.txt文件。打开c:asks.txt文件，你会看到一系列当前运行的任务的执行文件名、PID会话名和内存使用情况（如表4所示）。你需要特别注意的是它们的PID（Process Identification Number）会话名，因为这是用来区分进程的唯一标识。
　　你可以在ports.txt中找到使用开放端口的程序的PID，端口 会显示在Foreign Address一列中，而协议则会显示在Proto一列。从我们的例子中可以看出，PID为4044的程序为flashget.exe，它通过端口8080建立了与202.103.49.156的8个连接。你也可以使用免费的第三方工具来进行检测，如图2所示的TCPview 2.34（www.sysinternals.com）。

　　选择开放端口
　　通常情况下，你应该只允许少数的几个程序不经询问就能访问Internet。
　　在控制面板中打开“Windows安全中心”并点击“管理安全设置”中的“Windows防火墙”，在“例外”选项卡中就能看到被允许访问 络连接的程序（如图3所示）。另一种快速访问“Windows防火墙”选项卡的办法是在“开始”
　　“运行”对话框中输入firewall.cpl并按回车键。如果你想开放某个端口，就点击“例外”选项卡中的“添加端口”按钮，它会弹出一个“添加端口”的对话框。你需要输入程序名称和所用的端口 ，并指定端口所使用的协议类别（TCP或UDP），然后按“确定”按钮即可。

　　Microsoft公司为Windows XP SP2防火墙和组策略的使用提供了详尽的说明，你可以查看到 站上进行查看（www.microsoft.com/downloads/details. aspxmilyid=4454e0e1-61fa-447a-bdcd-499f73a637d1&displaylang=en）。
　　找出安全漏洞
　　即便你已经安装了Windows XP SP2，也并非意味着可以高枕无忧，接下来你需要做的一件事就是对系统进行安全扫描。你可以使用免费的Microsoft 基准安全分析器（MBSA，Microsoft Baseline Security Analyzer）V1.2来对系统进行扫描（http://www.microsoft.com/china/technet/security/tools/mbsahome.mspx）。《个人电脑》的下载频道也提供了该软件的下载（http://www.pcpro.com.cn/club/download/software.php=79）。当然你也可以选择来自第三方的安全扫描工具，比如Symantec公司的产品。
　　Microsoft 基准安全分析器会对操作系统和常用的Microsoft 应用程序进行检测和监听，比如Office 和Internet Explorer，搜寻已知的安全漏洞并给出可能的解决办法。如果你愿意的话，还可以把监听范围扩大到其他一系列的IP刂罚涂梢约觳href=’http://www.enet.com.cn/eschool/includes/zhuanti/zt/lan/27.shtml’ target=’_blank’ class=’article’局域 中的所有客户端电脑。当然，你需要拥有这些电脑的管理员（administrator）权限才行。
　　在进行监听之前，Microsoft 基准安全分析器会让你选择对单台电脑还是多台电脑进行监听，如果你选择了单台电脑，只需选中该电脑就可以开始进行扫描了。如果选择检查 络中的多台电脑，你需要输入一个域的名称或是一组IP地址，比如192.168.0.0到192.168.0.10，然后再进行扫描。
　　 络安全监听
　　如果你是公司的 络管理员，并且有一台专门的软件升级服务器（SUS，Software Update Services Server）的话，你需要修改一下Microsoft 基准安全分析器的扫描设置选项。你需要激活“Use SUS Server”选项并输入相应的URL。这样一来，Microsoft 基准安全分析器就会帮你检查软件升级服务器上所有可用的安全补丁是否已经被发放到每一个客户端。不过目前Microsoft 基准安全分析器在使用“Use SUS Server”选项进行扫描时还无法对SQL Server、Exchange或Office的升级补丁进行检查。
　　修补安全漏洞
　　Microsoft 基准安全分析器在扫描结束之后会为你提供一份清晰的安全 告，其中严重的问题会被标记为红色的X ，不太严重的问题则被标记为黄色的X 。如果要修补该问题，你需要点击“Procedure for fixing this problem”并按照它的提示进行操作。
　　我们建议你对Microsoft 基准安全分析器发现乃舛冀涡薏梗僭诵幸淮瓮icrosoft 基准安全分析器进行扫描。这样才能保证你的系统已经完全修补了Microsoft至今为止发现的所有安全漏洞。
　　Windows自动更新
　　尽管Windows自动更新经常显得比较烦人，但最好不要关闭这个功能，毕竟这是及时获得操作系统安全补丁的最有效的办法。从安全漏洞被发现到针对其编写的病毒出现，这之间的间隔越来越短，因此尽快安装操作系统安全补丁是非常有必要的。
　　不过，如果你对电脑知识比较精通的话，可以设定让Windows只是下载这些补丁程序但不要安装，之后你可以自行决定是否安装这些补丁程序，因为的确有些程序可能是完全不必要安装的。
　　你可以到Windows XP的控制面板中双击“自动更新”工具，然后在弹出窗口中选定“下载更新，但是由我来决定什么时候安装”（如图4所示）。

　　这样一来， Windows会自动检查是否有新的升级补丁，如果有的话就下载回来，并且在右下角的工具栏中显示一个小图标提示你找到了新的升级补丁。点击该图标就可以看到下载的状态，如果你不想马上安装某个升级补丁，可以从属性窗口中取消选择某个补丁。Windows会提示你已经下载但没有安装该补丁，你可以在需要时再安装它。
　　最新的消息
　　我们建议每个Windows XP用户都应该经常访问一下Microsoft安全公告 页（http://www.microsoft.com/china/security/Bulletins/），你还可以订阅每月一次的安全通讯电子期刊。这样一旦微软发布了什么重要的安全补丁，你都可以及时地获得消息并下载安装。
　　如果你是一名系统管理员，那么你应该比一般人更注意及时跟踪PC安全方面的动向，你可以到htt ….

　　谁是最安全的操作系统r>　　Windows XP 中层出不穷的安全漏洞让很多用户开始思考是否应该转向另一种更安全的操作系统。
　　Linux的鼓吹者经常宣扬开发源代码的操作系统要比Windows更安全，而Microsoft公司自然会反对这个观点。Open BSD（一个Unix的免费版本，www.openbsd.org）自称是世界上最安全的操作系统，它的最重要的特性就是集成了内存保护机制和加密功能。事实上，这个世界上并不存在100%安全的操作系统，在操作系统这种异常复杂的软件中要想没有一个bug简直就是天方夜谭。
　　在桌面PC应用领域，操作系统通常不会将安全性作为首要考虑的问题，它们会更多地考虑易用性和功能丰富性。如果仅仅因为担心安全问题就放弃Windows转向其他操作系统并不值得，Linux和Mac OS也存在漏洞，并需要经常进行补丁升级。
　　公司承诺会在Windows XP的下一个版本Longhorn中提供更安全的防护机制，目前的争议在于Longhorn的虚拟机概念是否真的能让Windows用户获得更安全的使用环境。对于Intel公司将在未来的处理器中采用的Vanderpool virtualisation架构也存在同样的争议。虚拟机的好处是它将操作系统运行在一个安全的虚拟PC上，隔离了真实的系统硬件，从而让病毒难以渗透到系统深层进行破坏。
　　你的电脑究竟需要多少保护r>　　要想获得更好的安全性，你首先应该充分利用操作系统内置的功能：安装最新的安全补丁，并正确地配置操作系统和Internet浏览器的安全选项。你并不需要非得安装那些昂贵的间谍软件搜索工具或防木马工具，因为一个好的防病毒软件往往比它们更能提供一个安全的操作环境。如果你还是想安装单独的反木马工具的话，那就考虑那些免费的工具吧，比如Ewido Security Suite（www.ewido.net）。对于防广告和间谍软件的工具，情况也是如此，好的防病毒软件已经提供了这样的功能，如果你非要安装的话，就考虑免费软件，比如Ad-Aware（www.lavasoft.com）和Spybot Search &Destroy（www.safer-networking.org)）。
　　防病毒软件是必须安装的，同时我们还需要一个好的Internet防火墙，因为每个人都需要上 。即便你只有两台计算机，我们也建议你使用带有内置防火墙的路由器，最好是带有状态数据包检测（SPI，Stateful Packet Inspection）机制的防火墙，它能最大程度地防止恶意程序的破坏。
　　此外，你需要安装一个好的反垃圾邮件工具来去除大量的垃圾邮件，并避免点击那些危险的链接。如果你使用Outlook或者Outlook Express，Spambully（www.spambully.com）是一个很好的选择。它的可定制性很强，能够过滤98%的垃圾邮件，完全值得你花22美元去购买它。另一个可以选择的工具是Mailwasher（www.mailwasher.net），它适用于任何e-mail客户端，但价格要稍贵一些（37美元）。
　　避免落入“伪造陷阱”
　　通过伪造合法 站来骗取用户私人信息的案件有越来越多的趋势。有三个基本的法则可以能让你避免落入“伪造陷阱”：
　　守口如瓶：记住，任何ISP、在线商店或者鹑诨换嶂鞫闾峁┱嘶苈耄阕约貉≡窳四持纸灰住！
　　r>　　忽略链接：如果你真的想访问e-mail中显示的那个链接，你就在浏览器中手动输入那个 址，而不要直接点击那个链接，因为那很可能并不是连到所显示的 址。
　　检查细节：对别人提供的URL要仔细检查是否拼写正确，如果有疑问，宁可先打个电话给该公司的客服部门进行确认。
　　保护你的硬件
　　如果你的PC中保存着重要的数据，那么它是否已得到足够的物理防护虑以下的一些问题：
　　建筑物：你的PC是否位于可封闭的区域人时办公室是否会被及时锁好r>　　纸张：打印有重要信息的纸张是否被及时粉碎还是直接被扔进废纸篓r>　　 络打印机： 络打印机是否位于公共区域，是否有别人能从那里拿走打印的文档r>　　窃贼：访客是否能不经检查就从公司取走电脑r>　　移动设备：笔记本电脑、PDA、智能手机中的信息是否加密r>　　访问权限：房间里的其他人能否启动你的电脑并植入特洛伊木马程序机箱上锁了吗r>　　访问权限：你的BIOS是否使用了密码保护r>　　访问权限：局域 是否对用户权限进行了明确的定义r>　　磁盘：磁盘在丢弃之前是否进行过彻底的数据删除r>　　PC安全的10大提示
　　很多用户仍然低估了做好PC安全防护的必要性，根据AOL的研究和来自美国国家 络安全协会（NCSA，National Cyber Security Alliance）的一份调查 告（www.staysafeonline.infonewssafety_study_v04.pdf）表明，67%的被调查者没有安装任何防病毒软件或者未能及时更新其病毒定义文件。而90%的PC被间谍软件光顾过，63%的用户没有使用任何Internet防火墙。
　　回答了以下的10个问题之后，你就会知道你的PC是否安全了。
　　1、你是否安装了防病毒软件并能及时更新其病毒定义文件r>　　2、你是否拥有Internet防火墙并进行了正确的配置或激活r>　　3、你是否充分利用了各种选项来保证Windows和Internet Explorer的安全（如自动更新选项和Windows安全中心）r>　　4、你是否安装了反垃圾邮件工具并且对带有可点击的链接的e-mail和弹出窗口保持了足够的警惕r>　　5、你的个人密码是否足够强壮而不易被猜出，在多人使用一台电脑时是否使用了不同的账 r>　　6、你是否喜欢从各种不太可靠的 站下载容易引入间谍程序的软件r>　　7、你是否对病毒和黑客的危害性有足够的认识r>　　8、你的WLAN是否使用了WPA加密机制r>　　9、你的PC上是否安装了并不需要的操作系统r>　　10、你是否对个人隐私数据或e-mail进行加密保护对系统进行备份p>