08
2006
12

简单的谈谈如何用密码来保护自己的Windows系统

    首先,本文章只针对那些又不需要特别高的安全级别,但又不想自己的心血被人随意参观的朋友使用。 
    其次,由于本人也是从自己的实践出发,很多情况下可能与他人遇到的情况不相符…大家多指正! 
    最后,鉴于个人用户对密码多半属于可有可无状态,所以建议路过此文:P(路过别忘顶一下嘛~) 

    谈到系统密码这个话题总觉得高深的很,一直有想法去写,但又一直不知从哪里下手,写的太深,我没那个理论基础,太浅又怕被高手们贻笑大方。但毕竟也该有点尝试,今天趁着有此兴致,试写此话题,跟大家探讨一下咯。 

    网络上各种关于Win系统密码破解的文章、软件大家已经屡见不鲜了,其实从各种文章中,我们不难看的出,此类软件与文章都从这样的一个方面入手:首先必须要获得系统最高控制权或者外部切入点。 
    系统最高控制权当然就是指管理员权限,SYSTEM权限。外部切入点就是指可以使用DOS命令,使用EDR或者其他此类不依赖系统权限的工具软件(光盘)。 

    其中,获取系统最高控制权的方法,多半要求可以在系统内安装软件,最起码也要拥有系统分区的写入权限(我这里都是在说NTFS分区,FAT忽略),比如很多密码破解类工具,或者矮人DOS工具箱带的密码破解工具。另外如使用net user命令的,就需要你必须已经是administrators组帐户登录的。而即使我们真遇到这个问题,其实简单的给系统管理员组的每个账户增加一个帐户密码就可以了,并保证管理员账户只由授权的管理员可以使用。这样既可阻止外来软件造成系统被破解,也可防止net user命令提高用户权限。最后,获取系统最高控制权的方法还有一个很终极的……那就是利用系统漏洞,关于系统漏洞,我没有什么特别好的办法,只能建议大家每月按时安装微软补丁,并检查自己所安装的其他软件是否有此方面的漏洞,或升级或更换。 
    而获取外部切入点的方法,多半由于对DOS命令行不严格控制,外来启动存储设备不严格控制等原因造成。面对外部入侵,首先不用多说则是为主板BIOS增加一个管理员密码(详见主板说明书,BIOS设定章节),其次,强烈建议对于存储有重要资料的个人电脑来说,平时把首选启动设备设置为硬盘,并禁止从光盘、移动硬盘等设备启动(详见主板说明书)。 
    当然讲到这里,很多朋友会说主板密码也很好破解啊…对啊,这也是个问题,但如果你能容忍别人拆你主机,给你主板放电,我则真不打算讲下去了-_-||| 
    做好上述BIOS设置后首先可以阻止别人带来的破解工具光盘在你的机器上启动,从而保护你的系统。也能够限制那些企图用光盘、U盘进入DOS来破坏系统的家伙。 
    当然还有个很重要的细节,那就是管理员密码的保护。很多情况下,自己的机器并不是只有自己用,如果自己的机器上只有一个administrator账户,又加了密码,同事、舍友肯定会说你小气,最终你还是要泄露密码。遇到此类问题,我通常建议除了自己的administrator账户外,再增加一个Uesrs组账户,并设定适当的文件、注册表访问权限。这样既不影响你的文件保密,也不让大家笑你小气,更可以防止别人在你机器上乱装软件等等… 

    说到这里大家也应该把思路缕出来了: 
    首先,保护系统BIOS,防止别人进入BIOS设置,并从这里设定好系统启动顺序,阻止外来光盘、软盘、U盘等设备启动系统。 
    其次,设定好管理员账户密码,在这里有个原则,就是系统管理员组的帐户是越少越好。 
    第三,安装好所有系统补丁,防止由漏洞造成的攻击事件,导致系统泄密。 
    第四,在NTFS权限基础上,设定好低权限组成员所具备的权限,尽量阻止其他组账户具备写入C盘根目录、Windows目录、system32目录、Documents and Settings目录的权限(NTFS默认对这些加以限制的),这样可以阻止公共低权限账户突破系统限制。限制Debug等危险命令的运行(这个也使用NTFS权限来限制)。 
    最后,不要经常使用管理员账户安装各类软件,防止病毒、木马等软件窃取你的密码,使得功亏一篑。 

    简单的就介绍到这里,破解高手对此有什么意见可以提出来交流,系统密码与破解是个永远的话题,我只按我的一般思路来简单介绍了一下相关的保护知识。希望大家指正!
 

   OK,终于写完,现在潜水睡觉去……

写作于2006年12月8日,腾讯论坛:http://bbs1.qq.com/cgi-bin/bbs/show/content?from=t&groupid=103:10040&messageid=662361&club=3


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。