我的校園黑客日記 連載３

上次說到，我再次來到校園機房。請“高手”助陣，利用系統(tǒng)漏洞本地溢出拿到了系統(tǒng)管理員的權(quán)限。當(dāng)我正厲兵秣馬準備一展身手的時候，受小黑之邀，意外地去客串了一把“辦公室黑客”……

好不容易盼到了周末，天氣還不錯，寢室的哥們幾都出去玩了，我也正準備去機房繼續(xù)搞那臺電腦……突然，手機“今天好運氣，你老狼請吃雞呀～～”響了，一看短信，“大校門，速來！小黑”。一定有好事兒，我來不及細想，急忙往大校門趕去……

辦公室泄密，當(dāng)前的大問題

見到小黑后，他二話不說，抬手攔了一輛的士，“司機，我們到市xx局，謝謝！”來到目的地——市xx局后，門口的中年男子和門衛(wèi)交涉了幾句，把我們“領(lǐng)”了進去。我們邊走邊聊，原來這位中年男子是小黑的叔叔，市xx局的一位科長，由于近期他們辦公室因泄密事件被上頭批評了幾次，所以就想請小黑來看看。我這次要扮演“反派”——辦公室竊密的“黑客”，小黑則客串“安全專家”。我們不僅要演練辦公室安全攻防，還要進行安全加固工作。

叔叔的辦公室屬于市xx局的局域網(wǎng)，一臺交換機連接了六臺電腦，設(shè)定為一個工作組，通過代理服務(wù)器連到外網(wǎng)。每臺電腦都是用的WinXP SP2，也都安裝了殺毒軟件和防火墻，看樣子安全防范工作做得還不錯。但是堡壘往往容易從內(nèi)部攻破，辦公室泄密事件大多是由于內(nèi)部人員操作不當(dāng)或大意引起的，所以我和小黑就把演練重點放在了內(nèi)部安全漏洞上。

我攻你守，辦公室拒絕“內(nèi)鬼”

第一步，查看電腦是否設(shè)置了開機密碼和系統(tǒng)登錄密碼，這是辦公人員最容易忽視的地方。以小黑叔叔的電腦為例，我坐上去開機……不出所料，我發(fā)現(xiàn)他為了使用方便，不僅沒有設(shè)置開機密碼和系統(tǒng)登錄密碼，而且連屏幕保護密碼也沒有設(shè)。這樣我就輕而易舉地進入了系統(tǒng)，各種工作文檔呈現(xiàn)在眼前……

小黑看到，立馬和我換位，邊重啟邊向他叔叔講解：“第一步進入BIOS設(shè)置，設(shè)好開機密碼及BIOS設(shè)置密碼，第二步進入控制面板的‘用戶賬戶’，為自己的系統(tǒng)賬戶設(shè)一個密碼。這樣，開機時要輸入開機密碼，進入系統(tǒng)時要輸入登錄密碼，只有輸對這兩道密碼才能進入系統(tǒng)桌面。這好比兩道防線。”

“另外，開啟屏幕保護密碼。如果有事要暫時離開，一段時間后系統(tǒng)會自動運行屏保程序，回來后必須輸入登錄密碼才能解除鎖定。”

第二步，看看電腦是否共享了不必要的文件夾，這也是很多辦公室人員的通病。我坐回電腦后打開其“網(wǎng)上鄰居”，吃驚地發(fā)現(xiàn)很多共享文件夾，不僅有和工作相關(guān)的，也有和工作無關(guān)的(圖1)！

我隨意選了一個共享文件夾，直接雙擊就打開了，連密碼都沒有！“看樣子，這些共享文件夾都是大家有意無意間共享的，其中的機密文件夾可能是共享用完后忘了關(guān)閉。如果我是有心偷資料的內(nèi)部人員，這簡直就如探囊取物……”我一邊搖頭一邊說。

“那怎么防備‘內(nèi)賊’呢？有時為了方便個別同事查閱，我必須共享一些資料。”叔叔急切地說道，眼中閃過一絲不安。

“這個很簡單，如果非要使用共享文件夾，那就為它設(shè)置訪問密碼，只允許知道密碼的人打開。”小黑落座之后，邊操作邊講解。首先，他打開“我的電腦”，依次進入“工具”→“文件夾選項”→“查看”，去掉“使用簡單共享(推薦)”的鉤。然后，依次點擊“開始”→“設(shè)置”→“控制面板”→“用戶賬戶”，創(chuàng)建一個有密碼的受限用戶Share。接著，用鼠標右鍵單擊要共享的文件夾(假設(shè)要共享NTFS分區(qū)上的“Datr文件夾)，依次選擇“共享和安全”→“共享”→“共享該文件夾”。最后，點擊“權(quán)限”→“刪除”按鈕，將默認的Everyone(任何用戶)刪除，再依次點擊“添加”→“高級”→“立即查找”，在用戶列表中選擇Share受限用戶添加，并控制其訪問權(quán)限(圖2)這樣一來，只有被叔叔私下告知了這個Share用戶名及密碼的內(nèi)部人員，才能以有限的權(quán)限進入他的共享文件夾“Data’，查看資料。

第三步，看看能不能從外部接入移動存儲設(shè)備，悅?cè)≠Y料。我回座后繼續(xù)進行“入侵”嘗試，在電腦的USB接口上插入閃盤……一會JLwinXP就識別出閃盤并彈出了自動運行窗口。小黑臉上閃過一絲苦笑，雖然只是模擬演練，但此漏洞卻為可小覷。不管是單位內(nèi)部人員還是外來人員，都可以利用這個漏洞手工或用病毒自動把電腦中的資料下載到閃盤中，同時還可以給電腦植入木馬程序。

對于沒必要使用USB接口的電腦，完全可以把USB接口禁用，以避免外接USB存儲設(shè)備帶來的安全隱患。小黑重新啟動電腦，在開機自檢時按下鍵盤上的“Delete”鍵并輸入密碼進入BIOS設(shè)置界面，選擇“Inteerated Perioherals”選項，將其“USB 1.1 Controller”和“USB 2.O Controller”的屬性設(shè)置為“Disabled”，禁用了USB接口。加上前面設(shè)置的開機密碼和BIOS設(shè)置密碼等，最大限度地保證了他人無法解“鎖”USB接口。

查漏補缺，辦公室安全加固

“有了這三大安全措施，基本能確保自己的內(nèi)部資料不會泄露了。”聽到小黑這番話，叔叔微微頷首。“不過，對于系統(tǒng)本身的漏洞以及安全軟件的設(shè)置，也不可忽視。”小黑這句話讓叔叔的臉色再次凝重起來。“對，蒼蠅不叮無縫的蛋！我們要做的，就是讓電腦不要出現(xiàn)漏洞。”我點頭表示同意。

1.重要文件，設(shè)置密碼

“密碼是保護系統(tǒng)安全的有力武器，對于文件保護也是如此。”小黑打開桌面上的一個Word文檔，然后扭頭對叔叔說，“其實Office文件和WinrarE，縮包等都可以設(shè)置密碼，我們可以利用其自帶的加密功能來提高安全性。”

小黑接著演示了怎樣加密Word文檔，依次單擊word主界面的“工具”→“選項”→“安全性”，輸入密碼并確認后，點擊“確定”按鈕。

注意：Office的其他軟件，例如Excel和PowerDoInt等的密碼設(shè)置方法與word類似。

2.系統(tǒng)補丁，及時安裝

“由于windows系統(tǒng)過于龐大復(fù)雜，因而安全漏洞難免存在。我們一定要及時安裝系統(tǒng)補丁，否則電腦就等于打開了后門，任由網(wǎng)絡(luò)黑客出入。”小黑熟練地打開控制面板，雙擊“自動更新”圖標，在彈出的窗口中將“自動”項選中，并設(shè)定了一個自動下載補丁的時間，單擊“確定”按鈕保存設(shè)置。“以后每天一到我設(shè)定的時間，系統(tǒng)就會自動從Windows官方網(wǎng)站中查找、下載和安裝最新的補丁了。”

注意：如果你不喜歡wlndows的自動更新功能，可用《360安全衛(wèi)士》、《金山清理專家》、《雅虎天盾》、《QQ醫(yī)生》或《迅雷》的相關(guān)功能來修補系統(tǒng)漏洞。

3.安全軟件，確保更新

“安裝了殺毒軟件和防火墻，并不意味著高枕無憂。如果不及時進行病毒庫和安全規(guī)則的更新，這些防線形同虛設(shè)。我們一定要將其都設(shè)置為自動更新！”小黑用鼠標右擊系統(tǒng)托盤的天網(wǎng)防火墻圖標，選擇“系統(tǒng)設(shè)置”→“在線升級設(shè)置”，將“有新的升級包就提示”項選中(圖3)。“OK，現(xiàn)在防火墻軟件就可以時刻保持最新版本了，下面設(shè)置殺毒軟件……”

“除了前面的單機安全措施之外，其實還有一個整體解決方案，那就是使用局域網(wǎng)監(jiān)控軟件，由專人來管理局域網(wǎng)內(nèi)所有辦公人員的電腦及其上網(wǎng)行為”我繼續(xù)補充道。“不過這涉及個人隱私保護和制度的問題，要慎重使用。”叔叔滿意地拍著我和小黑的肩膀：“先不管它，走！叔叔請客，出去撮一頓……”