Bear's House
 資訊科技

個人電腦安全守則
 
 

首  頁

資訊科技

教育學 習

有感而發

相關鏈結

批評指教

 

中研院計算中心 曾士熊 2005/1/28

  桌上型個人電腦(personal computer,簡稱PC)或筆記型電腦(notebook,簡稱NB)的潛在不安全性,往往被使用者所忽略。作者積多年使用PC和NB的經驗,以及幾次慘痛教訓的心得,特地寫了這份文件供大家參考,希望能幫助各位更安全的使用PC和NB。本文是為一般使用者所寫的,儘可能避免涉及太多資訊與通訊安全的專業知識,因此部分內容難以詳盡或深入的交代,敬請見諒。

1.防範資訊洩漏

1.1 開機密碼的設定

  如果你的PC是放置在多人共用的辦公室裡,或者你的NB經常離開你的視線,導致他人有機會接觸甚至開啟你的PC或NB的話,你應該把PC或NB設定為密碼(password)開機方式,以避免有人趁你不在場時開機閱讀、下載,甚至竄改或刪除存放在PC或NB裡的檔案。

  開機密碼包括基本輸出入系統(Basic Input/Output System,簡稱BIOS)的開機密碼和作業系統(Operating System,簡稱OS)的帳號密碼兩項,如下所述。不過在你設定BIOS開機密碼和OS帳號密碼之前,請先參閱1.2節的說明,以便先設計出好記又安全的密碼。

1.1.1 BIOS開機密碼的設定

  打開PC或NB的電源開關時,首先啟動的就是預先燒錄在主機板唯讀記憶體裡的開機程式BIOS,BIOS接著才從硬碟載入並執行OS(例如Windows XP)。當你把BIOS設定為密碼開機方式之後,BIOS一經啟動將隨即要求使用者輸入密碼,必須密碼正確無誤,BIOS才會載入並執行OS。BIOS的密碼包括“supervisor password”和“user password”兩項,前者用以防止他人修改BIOS的設定(setup),而後者則是開機密碼。就PC而言,設定BIOS開機密碼的步驟如下:

  1. 開啟PC電源後,按住DeleteDel鍵不放,螢幕上即出現BIOS的設定主畫面(Setup- main)。

  2. 利用↑和↓鍵選擇“user password”選項,按下Enter鍵。螢幕隨即出現要求輸入User Password的畫面。

  3. 重複輸入兩次事先選定的密碼之後,即可按F10鍵完成設定工作,回到BIOS繼續原先的開機程序。

  至於NB,其BIOS開機密碼的設定方式,各廠牌的做法並不相同,例如IBM的Thinkpad系列NB設定BISO開機密碼的方式與PC類似,不同的是需按F1鍵而非Delete鍵,但是Toshiba的Portege系列NB卻需另外從網站下載設定程式。因此各廠牌NB的BIOS開機密碼的設定方式需研讀廠商所提供的使用手冊,依據手冊的說明進行。
 

1.1.2 OS帳號密碼的設定

  任何具備多人共用功能的OS都會提供設定個別使用者帳號密碼的功能,但其設定方式並不一致。在此只介紹設定Windows XP電腦系統管理員帳號密碼的方法:

  1. 直接點選並啟動「控制台」,或是依後敘步驟啟動控制台。將游標移到螢幕左下方的開始圖示,按滑鼠左鍵即出現「開始功能表」。接著將游標上移至開始功能表的設定選項,即自動彈出「設定功能表」;再將游標右移至設定功能表的控制台選項,按滑鼠左鍵兩次即可開啟「控制台畫面」。

  2. 將游標移到控制台畫面中的使用者帳號選項,按滑鼠左鍵兩次即可開啟「使用者帳號畫面」。

  3. 將游標移到使用者帳號畫面中預設的電腦系統管理員選項(其帳號名稱通常預設為“Admin”或“Administration”),按滑鼠左鍵一次即可開啟該使用者帳號畫面。

  4. 如果你不喜歡預設的電腦系統管理員帳號名稱,可以先將游標移到使用者帳號畫面中的變更我的名稱選項,把電腦系統管理員的帳號名稱替換成你所喜歡的帳號名稱,然後再進行下一個步驟。

  5. 將游標移到使用者帳號畫面中的建立密碼選項,按滑鼠左鍵一次即可開啟「建立密碼畫面」。接著依指示連續輸入兩次所選定的密碼之後,將游標移至右下方的建立密碼選項按滑鼠左鍵一次即完成設定OS帳號密碼的工作。

  6. 最後關閉使用者帳號畫面和控制台畫面。

1.2 如何選個好記又安全的密碼

  請注意,一旦設定了BIOS開機密碼和OS帳號密碼,千萬不能忘記。萬一忘了任何一個密碼,你的PC或NB就再也無法開機了,必須找專家用很麻煩的方法救回你的PC或NB,但不保證救得回來。所以你需要替自己挑選好記又不容易被人猜中的密碼。挑選密碼的原則如下(僅供參考,請舉一反三):

  1. 避免使用個人資訊做密碼,例如:生日、電話號碼、身分證號碼、英文名字、中文名字的倉頡碼或注音符號等,這些都是很容易被外人拿來測試的密碼。

  2. 不要用鍵盤上特定位置的連續鍵做密碼,例如:“qazwsx”、“poiuy”、“zxcvb”等,這些也同樣是很容易被外人拿來測試的密碼。

  3. 可以選個你很熟悉,但對一般人而言卻極為罕見的專有名詞做密碼,英文專詞固然可用,但法文、德文、西班牙文,甚至拉丁文更好。

  4. 可以選用組合式密碼,例如把對某一位親人的暱稱(當然要先轉成英文形式)配上她或他的農曆生日,當然這暱稱必須是只有親人才知道的。

  5. 最好在密碼中區分大小寫並夾雜符號和數字,藉以提高安全性,例如拿“Yes,Sir!”或“1Yes2Sir”做密碼絕對要比只用“YESSIR”安全的多。

1.3 養成注意安全的好習慣

  「安全」和「方便」、「不好意思」從來就不是好朋友,所以為了提高使用PC或NB的安全性,必須犧牲部分的方便性和放下對人不好意思的感覺。

  1. 輸入任何密碼之前,應先要求他人迴避。不要因為不好意思而讓人有機會窺知密碼。

  2. 當你正在閱讀或處理機密性或敏感性檔案而有人靠近時,應立即關掉PC螢幕的電源(所以要事先知道PC螢幕的開關在哪裡),或是壓下NB的螢幕,以防止機敏性資訊被人無意間窺見。

  3. 處理機敏性檔案,應慎防側窺。如果PC或NB兩側沒有防側窺的隔板,建議你購買防側窺的螢幕保護膜(3M公司有此產品)貼上。如此一來,只有正對螢幕才能看見螢幕所顯示的內容。

  4. 當你處理完機敏性檔案,要將檔案刪除時,必須同時按Shift和Delete兩個鍵,以便真正刪除檔案而非只是棄置於「資源回收筒」。

  5. 因故暫時離開座位時,應讓PC或NB進入待命(甚或休眠)狀態,以防止有人趁你不在時閱讀甚至存取檔案。就PC而言,可以點選「開始功能表」中的登出選項,接著再點選切換使用者即可讓PC進入等待輸入帳號密碼的狀態。就NB而言,只要蓋上螢幕即可讓NB進入待命或休眠狀態。若是待命狀態,只要拉開螢幕,NB會立即回到等待輸入帳號密碼的狀態。若是休眠狀態,拉開螢幕並不能喚醒NB,必須再按一次電源開關才能使NB回到等待輸入帳號密碼的狀態。

1.4 避免明碼傳送帳號和密碼

  竊聽程式或木馬程式不只收集被入侵電腦上的資訊,還會竊聽同一個子網路的資訊,尤其是帳號和密碼。假設你的PC或NB的IP位址是140.109.10.2,只要140.109.10.0∼140.109.10.255這整個子網路當中有任何一部PC或NB被植入竊聽程式,你就難逃被竊聽的命運。所以為了預防洩密,最好是將所有透過網路傳送的資訊都進行加密處理,若有困難最起碼也要把帳號和密碼加密處理。

  需要帳號密碼的場合包括以終端機模擬程式(例如telnet、netterm等)或是透過web介面登入(log-in)遠端電腦、利用ftp程式對遠端電腦的個人帳號進行檔案上傳或下載,以及利用email程式(例如Outlook、Outlook express等)收取電子郵件。在這幾項裡,以收取電子郵件最容易洩漏你在email伺服器(例如gate.sinica.edu.tw)上的個人帳號和密碼。舉例來說,當你設定Outlook為預設的email程式時,Outlook通常會預設每五分鐘收發一次電子郵件。於是Outlook每五分鐘就以明碼方式送一次帳號和密碼到email伺服器,因此你的PC或NB每小時洩漏12次你的email帳號和密碼,從上午八點上班到下午五點下班,總共洩漏了至少100次帳號及密碼。

  為了預防重要的資訊(尤其是帳號和密碼)被網路上伺機而動的竊聽程式所攔截,建議使用具備加密功能的終端機模擬程式(例如putty)和檔案傳輸程式(例如winscp)。
下載putty的官方網站為:http://www.chiark.greenend.org.uk/~sgtatham/putty/
而下載winscp的官方網站則為:http://winscp.sourceforge.net/eng/download.php

  Outlook具備以加密方式傳送email帳號、密碼甚至信件的功能,但必須email伺服器安裝經認證的加密機制。本院的gate主機上雖然已經安裝了開放資源(open source)的加密機制,但卻與Outlook的加密機制不相容,所以只能勉強以加密方式傳送帳號和密碼,至於信件本身只能明文傳送或事先加密了。設定Outlook以加密方式傳送帳號和密碼的步驟如下:

  1. 將游標移到Outlook畫面上方的工具選項,按滑鼠左鍵即出現下拉式「工具選單」。

  2. 將游標移到工具選單裡的選項項目,按滑鼠左鍵即出現「選項(偏好)視窗」。若是在工具選單中看不到選項項目,請點選︾(展開)選項。

  3. 將游標移到選項視窗上方的郵件設定項目,按滑鼠左鍵即出現「選項(郵件設定)視窗」。接著將游標移到視窗右側的電子郵件帳號項目,按滑鼠左鍵即出現「電子郵件帳號」視窗。

  4. 點選電子郵件帳號視窗中的「檢視或變更現有電子郵件帳號」,接著點選「下一步」,即出現預設email伺服器名稱。

  5. 點選右側的變更選項,即出現「網際網路電子郵件設定」視窗。

  6. 點選右下方的其他設定選項,即出現「網際網路郵件設定(一般)」視窗。

  7. 點選右上方的進階選項之後,再點選「此伺服器需要加密連線」選項,接著點選右下方的確定選項即完成電子郵件帳號和密碼加密傳送的設定。

  8. 最後逐一點選各視窗的確定或完成選項,直到退回Outlook畫面為止。

  請注意,設定電子郵件帳號及密碼加密傳送之後,啟動Outlook連接gate主機時螢幕上會出現「網際網路安全性警告」視窗,並詢問「您繼續使用這台伺服器?」,此時點選是即可。這是因為gate的加密機制與Outlook不相容所致,但據說gate還是可以收受Outlook所傳送來的加密帳號和密碼。如果你想確保電子郵件的收發都以加密方式進行,中研院同仁可改用本院的Open web mail:https://www.sinica.edu.tw/openwebmail210-bin/openwebmail.pl。雖然系統遲鈍,但比較安全。或是另外申請Hotmail、Yahoo、Yam等免費email帳號。

1.5 機密或敏感資訊務必加密儲存

  機敏性資訊若要存放在PC或NB裡,應加密處理之後再存檔,以防萬一電腦被竊或檔案被下載後洩漏重要資訊。有兩種方法可為資料檔加密:

  1. 使用加密程式為資料檔加密:最常用的加密程式首推PGP,下載PGP freeware的官方網站為http://www.pgp.com/downloads/freeware/index.html
    至於如何使用PGP,可從下列網站獲得資訊:http://mouse.oit.edu.tw/pgp1/pgp.html

  2. 使用壓縮程式為資料檔加鎖:最常用的壓縮程式包括WinRAR和WinZip,兩者都提供附密碼壓縮功能。壓縮檔案時附加密碼就如同為壓縮檔上鎖,而該密碼就是開鎖的鑰匙。想解壓縮該檔案必須輸入當初所設的密碼才行。下載WinRAR的官方網站為:http://www.rarlab.com/download.htm。而下載WinZip的官方網站為:http://www.winzip.com/downwzeval.htm

  請注意,利用PGP將原始資料檔加密產生新的加密檔案,或是利用WinRAR、WinZip將原始資料檔以附加密碼方式產生新的壓縮檔之後,務必以同時按Shift和Delete兩個鍵的方式刪除原始資料檔,否則檔案加密就沒有意義。

2. 預防資訊毀損

  PC硬碟的使用年限大約2∼3年,NB硬碟的壽命比PC硬碟還短一些。硬碟損壞,輕者幾個磁區(sector)損壞,重者整個硬碟報銷。損壞的磁區若只是儲存不重要的資料檔,干係不大;要是所儲存的是重要資料檔,恐怕會損失慘重;萬一所儲存的是系統檔,甚至會嚴重到讓PC或NB無法開機。為了避免因為硬碟損壞導致資訊毀損,應事先做好下列預防措施。

2.1 分割主硬碟

  購買PC或NB時,最好能要求廠商(或請資訊技術人員協助)將硬碟分割成C碟和D碟:C碟做為系統硬碟,完全用以安裝OS和各種程式;D碟做為資料硬碟,完全存放資料檔。這麼做的好處是:(1)當硬碟毀損時,通常不會C碟和D碟同時毀損。(2)便於製作C碟的還原備份檔(Ghost檔案),和萬一C碟出問題時便於藉Ghost程式和備份檔救回C碟。【註:Ghost檔案絕不能存放在C碟裡,因為Ghost程式還原C碟各磁軌內容時必然蓋掉還來不及使用的Ghost檔案,使得還原工作失敗。這也是為何需要D碟的另一個原因:存放Ghost程式和還原備份檔。】

  Windows習於把所有資料檔及其資料夾預設於「我的文件」資料夾之下,所以需要把「我的文件」從C碟移置D碟,以達到將資料檔完全存放於D碟的目的。做法如下:

  1. 開啟我的電腦或檔案總管,接著點選畫面上方的資料夾選項,畫面左方即出現「資料夾」導引欄。

  2. 將游標移到資料夾導引欄上方的我的文件處,按滑鼠右鍵即彈出「功能表」。接著點選功能表下方的內容選項,即出現「我的文件 內容」視窗。

  3. 點選「我的文件 內容」視窗中間的移動選項,即出現「選擇一個目的」視窗,將游標移到「我的電腦」左側+上,按滑鼠左鍵即可展開。

  4. 將游標移到「本機磁碟(D:)」處按滑鼠左鍵,最後點選視窗下方的確定之後,逐一關閉各視窗即可。

2.2 定期檢查磁區錯誤

  建議每個月一次檢查磁區錯誤,OS不只能幫忙找出已經毀損的磁區加以記錄,藉以避免再使用已毀損的磁區,還能附帶修復因磁區毀損而出錯的檔案。PC或NB的磁區檢查工作只能在剛開機時進行,所以建議你以下列方式設定磁區檢查後,隨即關機重新啟動,讓OS檢查磁區:

  1. 直接點選並啟動「Windows檔案總管」,或是依後敘步驟啟動Windows檔案總管。將游標移到螢幕左下方的開始圖示,按滑鼠左鍵即出現「開始功能表」。接著將游標上移至開始功能表的程式集選項,即自動彈出「程式集表」;再將游標右移至程式集表的Windows檔案總管選項,按滑鼠左鍵兩次即可開啟「檔案總管」畫面。

  2. 若檔案總管畫面左側為出現資料夾導引圖,應點選畫面上方的資料夾選項,讓檔案總管畫面左側出現資料夾導引圖。

  3. 將游標移到「我的電腦」左側+上,按滑鼠左鍵展開所有本機磁碟。

  4. 將游標移到「本機磁碟(C:)」處,按滑鼠右鍵即彈出「功能表」,點選下方的內容選項即出現「本機磁碟(C:)內容」視窗。

  5. 點選本機磁碟(C:)內容視窗上方的工具選項後,接著點選立即檢查選項,即出現「檢查磁碟本機磁碟(C:)」視窗。

  6. 勾選查磁碟本機磁碟(C:)視窗中的「自動修正檔案系統錯誤」,以及「掃瞄和嘗試恢復損毀的磁區」,接著點選下方的開始選項即出現告知必須下次開機時才會檢查的對話框,點選是選項即可。

  7. 針對其他本機磁碟重複(4)∼(6)的動作。

2.3 為系統硬碟製作可還原備份檔

  可使用Symantec的Ghost程式對硬碟C做可還原備份檔,這項工作有點複雜,建議請資訊專業人員代勞。務必記住,製作Ghost檔案之前先針對C碟進行掃毒工作,以免病毒或蠕蟲揮之不去。通常程式安裝之後,不會像資料檔一般頻繁的新增、異動或更新,因此將程式和資料分別存放於不同的硬碟,有下列優點:

  1. 只製作程式硬碟的Ghost檔案,因檔案佔用空間較小,製作與還原比較不耗時。

  2. Ghost程式只能依據Ghost檔案還原硬碟內容,任何新增、異動或更新的檔案都會消失不見。因此直接備份異動性高的資料檔較使用Ghost製作備份檔省時省力。

2.4 資料檔異碟備份

  為避免因磁碟毀損所帶來的災難性後果,最好養成隨時備份資料檔的良好習慣。備份資料檔不應與原始資料檔存放在同一顆硬碟上,以免硬碟毀損時玉石俱焚。就PC而言,最好加裝第二顆硬碟做為資料檔備份之用。就NB而言,因為無法加裝第二顆硬碟,建議買個至少20GB的USB外接硬碟做為資料檔備份之用。60GB以下的USB外接硬碟,市價不超過5,000元,稱得上物美價廉。

3. 預防病毒(virus)和蠕蟲(worm)入侵

  病毒和蠕蟲兩者的差異在於後者會主動透過網路入侵其他PC或NB,其危害程度更甚於前者。目前病毒(包含蠕蟲)氾濫的程度已經達到連瀏覽網頁、點閱圖檔都可能中毒。因此預防病毒入侵已成為PC和NB使用者必須面對的課題。

3.1 安裝具自動防護功能的病毒防護程式

  病毒防護程式首推趨勢科技(Trend Micro)的PC-Cillin(此名稱取材自最早問世的抗生素Penicillin),以及Symantec的NAV(Norton AntiVirus)。這兩者都具備自動防護功能,不論安裝哪一種,都能對PC和NB提供相當程度的病毒防護功能。

3.2 勤於更新病毒碼和定期掃瞄病毒

  防病毒程式必須依靠病毒碼來辨識程式或檔案是否感染了病毒。由於新種或變種病毒層出不窮,因此安裝防病毒程式之後還必須經常上網下載新的病毒碼,以免無法防堵新種或變種病毒。以下就以NAV為例,說明如何更新病毒碼:

  1. 將游標移到螢幕下方工作列右側的NAV盾牌圖示處,按滑鼠左鍵兩次,即出現NAV的視窗。

  2. 將游標移到視窗右下方LiveUpdate選項處,按滑鼠左鍵即出現「LiveUpdate」引導性對話框。

  3. 依據對話框的引導,即可一步步進行病毒碼的下載和更新。

  請注意,有些隱藏在程式或檔案中的病毒並不會被防病毒程式的自動防護功能所偵測出來,因此必須依賴定期掃瞄功能來找出這些漏網之魚。建議每週一次進行病毒掃瞄,以下就以NAV為例,說明如何設定病毒的定期掃瞄:

  1. 將游標移到螢幕下方工作列右側的NAV盾牌圖示處,按滑鼠左鍵兩次,即出現NAV的視窗。

  2. 將游標移到視窗左欄「自訂掃瞄」左側+上,按滑鼠左鍵之後接著點選「新增自訂掃瞄」,視窗右欄即出現引導性對話框。

  3. 依據對話框的引導,即可一步步進行病毒掃瞄週期的設定。

3.3 定期升級病毒防護程式

  除了新種和變種病毒層出不窮之外,還有新型態病毒所造成的問題,例如夾帶在gif、jpg之類壓縮檔裡的病毒。新型態病毒往往不是現有防病毒程式所能防堵的,因此PC和NB的使用者除了必須勤於更新病毒碼之外,最好能定期(例如每年)升級防病毒程式,以提升PC或NB防堵病毒的能力。

4. 預防spyware入侵

4.1 認識spyware

  spyware通常是在瀏覽某些商業性網站時,隨著網頁內容入侵PC或NB。雖不像病毒般具有強大的破壞性,但spyware擅自收集個人資訊、動不動就彈出廣告,以及擅自更改PC或NB上的設定(尤其是把IE啟動後的首頁連到某個奇怪的網站或色情網站)等,都會造成當事人的困擾。關於spyware,可詳見下列網站的相關說明:http://www.microsoft.com/athome/security/spyware/software/default.mspx

4.2 安裝具自動防護功能的spyware防護程式

  有些極為頑強的spyware一旦入侵PC或NB之後,甚至無法用現有的防spyware程式加以排除。所以別等spyware入侵後才來收拾善後,最好能防範於未然,事先安裝spyware防護程式。可從微軟的網站下載免費的Spyware防護軟體“Windows AntiSpyware”:http://www.microsoft.com/athome/security/spyware/checkcomputer.mspx

5. 其他安全事項

5.1 防止NB被竊

  NB由於輕巧價高很容易成為竊賊下手的對象。如果你的辦公室經常人來人往,建議你去3C賣場買條NB專用的帶鎖鋼纜。這種鋼纜可以一端固定,另一端扣住NB的鎖孔後上鎖,讓NB不容易被人順手牽羊。

5.2 Firewall的功用

  細胞膜上有數以萬計的「通道」(或受體),才得以讓物質(包括營養成分、廢棄物、激素、甚至病毒等)經由這些通道進出細胞。通道和物質之間有其專一性,例如人類的細胞膜上沒有適合口蹄役病毒的通道,因而不會感染口蹄役。電腦透過網路與外界連通的方式與此類似。在網路的世界裡,資訊(包括程式、指令、資料等)都以封包的形式進出電腦,而進出的通道稱為“port”。封包和port之間同樣有其專一性,彼此以port number對應,例如ftp封包的port number為21、telnet為23、Email為25、http為80或8080等。必須OS開設出對應的port number之後,才能收發對應的封包,進而與網路世界連通。

  如同細胞膜上的通道並非為病毒而設,但病毒卻會偽裝成無害的物質騙過通道而入侵一般,有害的封包也是利用OS的信任而入侵電腦。防堵有害封包的方法有二:

  1. 先讓封包進來,再檢查封包的內容,發現有害立即攔阻。防病毒程式和防spyware程式就是採取這種做法。

  2. 先檢查封包來源(以IP位址表示)及其類型(以port number表示),凡是來源不屬於可信賴者或其類型具潛在危險性(特別是ftp和telnet),立即擋駕。firewall就是採取這種做法。

  PC或NB可安裝firewall,不論趨勢或Symantec都有提供個人用的firewall,但都得付費購買。如果你的OS是Windows XP,建議你下載並安裝Service pack 2,雖然可能有些程式會受到影響,但Windows XP SP2所提供的firewall功能卻可以大幅提升PC或NB的安全防護能力。下載Windows XP SP2的官方網站為:http://v5.windowsupdate.microsoft.com/v5consumer/default.aspx?ln=zh-tw