Bear's House |
個人電腦安全守則 |
中研院計算中心 曾士熊 2005/1/28 桌上型個人電腦(personal computer,簡稱PC)或筆記型電腦(notebook,簡稱NB)的潛在不安全性,往往被使用者所忽略。作者積多年使用PC和NB的經驗,以及幾次慘痛教訓的心得,特地寫了這份文件供大家參考,希望能幫助各位更安全的使用PC和NB。本文是為一般使用者所寫的,儘可能避免涉及太多資訊與通訊安全的專業知識,因此部分內容難以詳盡或深入的交代,敬請見諒。 1.防範資訊洩漏1.1 開機密碼的設定如果你的PC是放置在多人共用的辦公室裡,或者你的NB經常離開你的視線,導致他人有機會接觸甚至開啟你的PC或NB的話,你應該把PC或NB設定為密碼(password)開機方式,以避免有人趁你不在場時開機閱讀、下載,甚至竄改或刪除存放在PC或NB裡的檔案。 開機密碼包括基本輸出入系統(Basic Input/Output System,簡稱BIOS)的開機密碼和作業系統(Operating System,簡稱OS)的帳號密碼兩項,如下所述。不過在你設定BIOS開機密碼和OS帳號密碼之前,請先參閱1.2節的說明,以便先設計出好記又安全的密碼。 1.1.1 BIOS開機密碼的設定打開PC或NB的電源開關時,首先啟動的就是預先燒錄在主機板唯讀記憶體裡的開機程式BIOS,BIOS接著才從硬碟載入並執行OS(例如Windows XP)。當你把BIOS設定為密碼開機方式之後,BIOS一經啟動將隨即要求使用者輸入密碼,必須密碼正確無誤,BIOS才會載入並執行OS。BIOS的密碼包括“supervisor password”和“user password”兩項,前者用以防止他人修改BIOS的設定(setup),而後者則是開機密碼。就PC而言,設定BIOS開機密碼的步驟如下:
至於NB,其BIOS開機密碼的設定方式,各廠牌的做法並不相同,例如IBM的Thinkpad系列NB設定BISO開機密碼的方式與PC類似,不同的是需按F1鍵而非Delete鍵,但是Toshiba的Portege系列NB卻需另外從網站下載設定程式。因此各廠牌NB的BIOS開機密碼的設定方式需研讀廠商所提供的使用手冊,依據手冊的說明進行。 1.1.2 OS帳號密碼的設定任何具備多人共用功能的OS都會提供設定個別使用者帳號密碼的功能,但其設定方式並不一致。在此只介紹設定Windows XP電腦系統管理員帳號密碼的方法:
1.2 如何選個好記又安全的密碼請注意,一旦設定了BIOS開機密碼和OS帳號密碼,千萬不能忘記。萬一忘了任何一個密碼,你的PC或NB就再也無法開機了,必須找專家用很麻煩的方法救回你的PC或NB,但不保證救得回來。所以你需要替自己挑選好記又不容易被人猜中的密碼。挑選密碼的原則如下(僅供參考,請舉一反三):
1.3 養成注意安全的好習慣「安全」和「方便」、「不好意思」從來就不是好朋友,所以為了提高使用PC或NB的安全性,必須犧牲部分的方便性和放下對人不好意思的感覺。
1.4 避免明碼傳送帳號和密碼竊聽程式或木馬程式不只收集被入侵電腦上的資訊,還會竊聽同一個子網路的資訊,尤其是帳號和密碼。假設你的PC或NB的IP位址是140.109.10.2,只要140.109.10.0∼140.109.10.255這整個子網路當中有任何一部PC或NB被植入竊聽程式,你就難逃被竊聽的命運。所以為了預防洩密,最好是將所有透過網路傳送的資訊都進行加密處理,若有困難最起碼也要把帳號和密碼加密處理。 需要帳號密碼的場合包括以終端機模擬程式(例如telnet、netterm等)或是透過web介面登入(log-in)遠端電腦、利用ftp程式對遠端電腦的個人帳號進行檔案上傳或下載,以及利用email程式(例如Outlook、Outlook express等)收取電子郵件。在這幾項裡,以收取電子郵件最容易洩漏你在email伺服器(例如gate.sinica.edu.tw)上的個人帳號和密碼。舉例來說,當你設定Outlook為預設的email程式時,Outlook通常會預設每五分鐘收發一次電子郵件。於是Outlook每五分鐘就以明碼方式送一次帳號和密碼到email伺服器,因此你的PC或NB每小時洩漏12次你的email帳號和密碼,從上午八點上班到下午五點下班,總共洩漏了至少100次帳號及密碼。
為了預防重要的資訊(尤其是帳號和密碼)被網路上伺機而動的竊聽程式所攔截,建議使用具備加密功能的終端機模擬程式(例如putty)和檔案傳輸程式(例如winscp)。 Outlook具備以加密方式傳送email帳號、密碼甚至信件的功能,但必須email伺服器安裝經認證的加密機制。本院的gate主機上雖然已經安裝了開放資源(open source)的加密機制,但卻與Outlook的加密機制不相容,所以只能勉強以加密方式傳送帳號和密碼,至於信件本身只能明文傳送或事先加密了。設定Outlook以加密方式傳送帳號和密碼的步驟如下:
請注意,設定電子郵件帳號及密碼加密傳送之後,啟動Outlook連接gate主機時螢幕上會出現「網際網路安全性警告」視窗,並詢問「您繼續使用這台伺服器?」,此時點選是即可。這是因為gate的加密機制與Outlook不相容所致,但據說gate還是可以收受Outlook所傳送來的加密帳號和密碼。如果你想確保電子郵件的收發都以加密方式進行,中研院同仁可改用本院的Open web mail:https://www.sinica.edu.tw/openwebmail210-bin/openwebmail.pl。雖然系統遲鈍,但比較安全。或是另外申請Hotmail、Yahoo、Yam等免費email帳號。 1.5 機密或敏感資訊務必加密儲存機敏性資訊若要存放在PC或NB裡,應加密處理之後再存檔,以防萬一電腦被竊或檔案被下載後洩漏重要資訊。有兩種方法可為資料檔加密:
請注意,利用PGP將原始資料檔加密產生新的加密檔案,或是利用WinRAR、WinZip將原始資料檔以附加密碼方式產生新的壓縮檔之後,務必以同時按Shift和Delete兩個鍵的方式刪除原始資料檔,否則檔案加密就沒有意義。 2. 預防資訊毀損PC硬碟的使用年限大約2∼3年,NB硬碟的壽命比PC硬碟還短一些。硬碟損壞,輕者幾個磁區(sector)損壞,重者整個硬碟報銷。損壞的磁區若只是儲存不重要的資料檔,干係不大;要是所儲存的是重要資料檔,恐怕會損失慘重;萬一所儲存的是系統檔,甚至會嚴重到讓PC或NB無法開機。為了避免因為硬碟損壞導致資訊毀損,應事先做好下列預防措施。 2.1 分割主硬碟購買PC或NB時,最好能要求廠商(或請資訊技術人員協助)將硬碟分割成C碟和D碟:C碟做為系統硬碟,完全用以安裝OS和各種程式;D碟做為資料硬碟,完全存放資料檔。這麼做的好處是:(1)當硬碟毀損時,通常不會C碟和D碟同時毀損。(2)便於製作C碟的還原備份檔(Ghost檔案),和萬一C碟出問題時便於藉Ghost程式和備份檔救回C碟。【註:Ghost檔案絕不能存放在C碟裡,因為Ghost程式還原C碟各磁軌內容時必然蓋掉還來不及使用的Ghost檔案,使得還原工作失敗。這也是為何需要D碟的另一個原因:存放Ghost程式和還原備份檔。】 Windows習於把所有資料檔及其資料夾預設於「我的文件」資料夾之下,所以需要把「我的文件」從C碟移置D碟,以達到將資料檔完全存放於D碟的目的。做法如下:
2.2 定期檢查磁區錯誤建議每個月一次檢查磁區錯誤,OS不只能幫忙找出已經毀損的磁區加以記錄,藉以避免再使用已毀損的磁區,還能附帶修復因磁區毀損而出錯的檔案。PC或NB的磁區檢查工作只能在剛開機時進行,所以建議你以下列方式設定磁區檢查後,隨即關機重新啟動,讓OS檢查磁區:
2.3 為系統硬碟製作可還原備份檔可使用Symantec的Ghost程式對硬碟C做可還原備份檔,這項工作有點複雜,建議請資訊專業人員代勞。務必記住,製作Ghost檔案之前先針對C碟進行掃毒工作,以免病毒或蠕蟲揮之不去。通常程式安裝之後,不會像資料檔一般頻繁的新增、異動或更新,因此將程式和資料分別存放於不同的硬碟,有下列優點:
2.4 資料檔異碟備份為避免因磁碟毀損所帶來的災難性後果,最好養成隨時備份資料檔的良好習慣。備份資料檔不應與原始資料檔存放在同一顆硬碟上,以免硬碟毀損時玉石俱焚。就PC而言,最好加裝第二顆硬碟做為資料檔備份之用。就NB而言,因為無法加裝第二顆硬碟,建議買個至少20GB的USB外接硬碟做為資料檔備份之用。60GB以下的USB外接硬碟,市價不超過5,000元,稱得上物美價廉。 3. 預防病毒(virus)和蠕蟲(worm)入侵病毒和蠕蟲兩者的差異在於後者會主動透過網路入侵其他PC或NB,其危害程度更甚於前者。目前病毒(包含蠕蟲)氾濫的程度已經達到連瀏覽網頁、點閱圖檔都可能中毒。因此預防病毒入侵已成為PC和NB使用者必須面對的課題。 3.1 安裝具自動防護功能的病毒防護程式病毒防護程式首推趨勢科技(Trend Micro)的PC-Cillin(此名稱取材自最早問世的抗生素Penicillin),以及Symantec的NAV(Norton AntiVirus)。這兩者都具備自動防護功能,不論安裝哪一種,都能對PC和NB提供相當程度的病毒防護功能。 3.2 勤於更新病毒碼和定期掃瞄病毒防病毒程式必須依靠病毒碼來辨識程式或檔案是否感染了病毒。由於新種或變種病毒層出不窮,因此安裝防病毒程式之後還必須經常上網下載新的病毒碼,以免無法防堵新種或變種病毒。以下就以NAV為例,說明如何更新病毒碼:
請注意,有些隱藏在程式或檔案中的病毒並不會被防病毒程式的自動防護功能所偵測出來,因此必須依賴定期掃瞄功能來找出這些漏網之魚。建議每週一次進行病毒掃瞄,以下就以NAV為例,說明如何設定病毒的定期掃瞄:
3.3 定期升級病毒防護程式除了新種和變種病毒層出不窮之外,還有新型態病毒所造成的問題,例如夾帶在gif、jpg之類壓縮檔裡的病毒。新型態病毒往往不是現有防病毒程式所能防堵的,因此PC和NB的使用者除了必須勤於更新病毒碼之外,最好能定期(例如每年)升級防病毒程式,以提升PC或NB防堵病毒的能力。 4. 預防spyware入侵4.1 認識spywarespyware通常是在瀏覽某些商業性網站時,隨著網頁內容入侵PC或NB。雖不像病毒般具有強大的破壞性,但spyware擅自收集個人資訊、動不動就彈出廣告,以及擅自更改PC或NB上的設定(尤其是把IE啟動後的首頁連到某個奇怪的網站或色情網站)等,都會造成當事人的困擾。關於spyware,可詳見下列網站的相關說明:http://www.microsoft.com/athome/security/spyware/software/default.mspx。 4.2 安裝具自動防護功能的spyware防護程式有些極為頑強的spyware一旦入侵PC或NB之後,甚至無法用現有的防spyware程式加以排除。所以別等spyware入侵後才來收拾善後,最好能防範於未然,事先安裝spyware防護程式。可從微軟的網站下載免費的Spyware防護軟體“Windows AntiSpyware”:http://www.microsoft.com/athome/security/spyware/checkcomputer.mspx。 5. 其他安全事項5.1 防止NB被竊NB由於輕巧價高很容易成為竊賊下手的對象。如果你的辦公室經常人來人往,建議你去3C賣場買條NB專用的帶鎖鋼纜。這種鋼纜可以一端固定,另一端扣住NB的鎖孔後上鎖,讓NB不容易被人順手牽羊。 5.2 Firewall的功用細胞膜上有數以萬計的「通道」(或受體),才得以讓物質(包括營養成分、廢棄物、激素、甚至病毒等)經由這些通道進出細胞。通道和物質之間有其專一性,例如人類的細胞膜上沒有適合口蹄役病毒的通道,因而不會感染口蹄役。電腦透過網路與外界連通的方式與此類似。在網路的世界裡,資訊(包括程式、指令、資料等)都以封包的形式進出電腦,而進出的通道稱為“port”。封包和port之間同樣有其專一性,彼此以port number對應,例如ftp封包的port number為21、telnet為23、Email為25、http為80或8080等。必須OS開設出對應的port number之後,才能收發對應的封包,進而與網路世界連通。 如同細胞膜上的通道並非為病毒而設,但病毒卻會偽裝成無害的物質騙過通道而入侵一般,有害的封包也是利用OS的信任而入侵電腦。防堵有害封包的方法有二:
PC或NB可安裝firewall,不論趨勢或Symantec都有提供個人用的firewall,但都得付費購買。如果你的OS是Windows XP,建議你下載並安裝Service pack 2,雖然可能有些程式會受到影響,但Windows XP SP2所提供的firewall功能卻可以大幅提升PC或NB的安全防護能力。下載Windows XP SP2的官方網站為:http://v5.windowsupdate.microsoft.com/v5consumer/default.aspx?ln=zh-tw
|