暴力破解的方式入侵系统。关于如何设置安全的密码,请参考后面文章 “设置安
全的密码”中的相关内容。
对于Windows XP家庭版,情况有所不同,在该系统中,默认情况下Administrator账户的密码是空的,那么这会不会导致安全漏洞呢?其实不然,在Windows XP家庭版中,虽然默认情况下Administrator账户没有密码,不过该账户被禁止进行本地登录或者网络登录,
因此这并不会导致安全隐患,相反,WindowsXP家庭版中的Administrator账户只是为了方便使用安全模式或者故障恢复控制台等功能而设置的,并且这些操作都必须要求用户坐在计算机前操作,甚至使用Windows XP安装光盘引导系统才能使用,因此并不会影响系统在正常情况下的安全性。
注意物理安全很重要。
很多人在系统安全方面存在一个误区,那就是:技术是万能的,靠技术可以解决一
切问题。然而在安全领域(以及其他大部分领域)却并非如此。例如,网上曾经盛
传过一个所谓的Windows XP的漏洞,具体内容是这样的:“我们都知道,要想在
Windows XP中进入故障恢复控制台,必须使用Windows XP的安装光盘引导计算
机,选捧修复,同时如果要修复的是Windows XP专业版,我们还必须使用正确的
Administrator账户的密码登录才可以使用。然而如果使用Windows 2000安装光盘
引导安装了Windows XP的计算机,并选择修复,进入故障恢复控制台,无论是
Windows XP专业版还是家庭版,完全不需要登录,就可以直接进入。”很多人认为这是一个很大的安全漏洞,但微软却一直没有修复这个问题。
在讨论这个问题之前,我们必须明白一个问题:到底什么才是安全的系统?要让自
己的系统安全,是否单凭操作系统本身的功能就可以实现?其实上面就是一个很好
的例子,虽然这样的“缺陷”可能导致系统不够安全,但严格说来,这种缺陷远非
很多人想象的严重。因为如果怀有恶意的人可以使用光盘将我们的计算机引导到故
障恢复控制台环境下,这也就意味着对方已经可以在物理上接触到这台计算机,而
这种情况下我们还能奢望操作系统的安全功能起什么作用呢?
举一个更形象的例子吧,如果我是一个黑客,想要攻击某个大型网站的服务器,
让服务器的服务中断。那我为什么非要费劲寻找成千上万的肉鸡对网站服务器发起
拒绝服务( DDOS)攻击?或者,我为什么要辛苦寻找网站服务器的漏洞?直接把
服务器的电源拔掉不就实现目的了吗?不管服务器运行多安全的操作系统,电都断
了,还能提供什么服务。然而真有那么简单吗?重要的服务器一般都放置在保安措
施很严密的机房中,同时有很多机制保证服务器在遇到各种突发问题的时候都能继
续提供服务,哪有那么容易让人拔电源的。
因此在这里也要提醒大家,在按照本书的介绍加固操作系统安全的同时,计算机的
物理安全问题依然不能忽视。大部分时候,技术都不是万能的.
1.2.1.2 Windows Vista中的Administrator账户
茬Windows Vista中,Administrator账户的问题就简单多了。在所有版本的Winclows Vista中,默认情况下Administrator账户都是被禁用的,而且在安装过程中不需要我们为该账户设置密码.同时,默认的设置下,就算在安全模式中也不能使用Administrator账户登录.
另外,有很重要的一点需要注意,虽然将Administrator账户启用后,我们可以在正常模式或者安全模式下使用该账户登录系统,但默认情况下该账户完全不受用户账户控制功能的限制,有可能带来一定的安全隐患.因此建议平时使用标准账户,或者非Administrator的管理员账户.关于用户账户控制的相关内容请参考后续文章 用户账户控制(UAC)的相关内容,
1.2.2 来自网络的威胁
在安装过程中,关于网络,只有一个问题需要注意,那就是将系统接入网络的时间。
我们都知道,系统的安装是分布进行的,一般情况下,在系统还没有完全安装好的时候,只要网络组件已经安装好,那么系统就可能已经被接入网络。那么在安装过程中,如果系统已经连通了网终,但其他安全组件尚 未 启动,就有可能导致隐患。
例如前两年冲击波病毒肆虐网络的时候笔者曾亲身经历过的一件事:当时笔者在给朋友的电脑安装系统,安装的是没有集成任何Service Pack的Windows XP专业版,安装系统之前忘记了将网线拔掉,而他使用了不需要拨号即可联网的小区宽带。结果在安装系统的过程中,当网络组件被安装好,安装程序还在继续后面的安装时,网络中其他中了冲击波病毒的计算机就对这台计算机发起了攻击,这直接导致系统还没有装完就因为被攻击而自动重启.
在对待这个问题上,操作系统本身的一些功能可以有效避免.
例如在Windows Vista中,Windows防火墙是被默认启用的,同时,在操作系统的启动过程中,一旦网络组件被成功启动,Windows防火墙的一部分就会开始生效,限制系统只能进行必要的网络活动,
例如联系DHCP服务器获取新的IP地址配置o而只有在系统完全启动好,Windows防火墙组件也全部被成功加载后,系统才可以完整使用所有网络功能o
虽然系统自身的一些改进已经让这个问题不再那么突出了,不过为了保险起见,在安装系统的过程中,最好能将网络断开,甚至把网线拔掉。待系统安装好,并配置好防火墙和反病毒软件之后,再将系统连接到网络.
