在互聯網上存在大量各種各樣的幫助信息，告訴你如何確保計算機免受遠程入侵和惡意移動代碼的感染，并且在很多正規的IT安全教育培訓中這樣的主題也常常是重點。如果你考慮到這一點，物理上確保計算機不被盜竊并不是什么困難的事情。但對于安全保護來說，更困難的可能是，如何阻止通過網絡物理連接進行的未經授權的使用。

大量的書籍甚至也包括不少討論組，都對如何控制公司網絡上的計算機并監測其使用情況這一問題進行了討論，甚至象棘手問題處理策略之類的重要資料，我們也可以找到。但經常被忽視的一個問題是，怎樣確保在你離開計算機的幾分鐘時間沒有人利用它進行未經授權的操作。

特別是在計算機安全對你來說是非常重要的今天，這樣做可能有多種原因。舉例來說：

· 即使沒有對員工進行嚴格的監測，你也可能會認為工作場所是一個安全的地方，也可以放心留下無人值守的計算機，但這可能會導致你成為心懷不滿的員工或意外的訪客惡意行為的犧牲品。

· 在工作場所對員工實行基于登錄名的審核，可能是一個不錯的選擇。這樣可以確保在你離開的時間，沒有人可以利用你的帳戶進行未經授權的操作。

· 當在咖啡館和其他公共場所利用筆記本計算機進行工作(或娛樂)的時間，不要認為沒有人會在你離開的時間偷走它。即使是留下通常值得信賴的朋友在筆記本計算機旁邊，也可能會出搞笑事件，舉例來說，他可能利用微軟Windows操作系統的熱狗展臺主題將圖形界面改變造成一種令人痛苦的效果。

· 當有人希望你不要離開自己的計算機以防止被盜的時間，確保系統中的機密信息不會被小偷恢復是非常重要的。

讓我們確定你已經使用了包括全磁盤加密、強安全性密碼的操作系統登錄模式以及個人文件加密等在內顯而易見的高技術措施來防范這些時刻存在的威脅。這樣的話，你就應該更關注于怎樣在離開筆記本計算機到洗手間或離開IT部門一次會議上辦公桌這段時間里，采取什么樣的措施才能保證系統的安全。下面提供的五項簡單措施，就可以提高你的系統安全性，防范那些妄圖直接進入的人：

1. 為基本輸入輸出系統BIOS和CMOS設置密碼

盡管，為計算機的基本輸入輸出系統BIOS和CMOS設置一個密碼并不能提供“真正的”安全。只要打開機箱，從主板上取下CMOS的電池，就可以輕松繞過基本輸入輸出系統BIOS和CMOS的設置密碼。但從另一方面考慮，如果某人只有在你遠離的幾分鐘才能接近系統的話，這會是一個非常重要的防護措施，可以降低他在你回來前獲得系統控制權的概率。由于基本輸入輸出系統BIOS和CMOS的密碼只能消除，而不會被黑客行為破解，這樣也可以讓你發現有人試圖利用你的計算機進行未經授權的訪問操作。

2. 禁止使用外部設備開機

利用一張軟盤就可以實現整個操作系統的全部功能，CD或DVD、甚至USB閃存設備也可以用來啟動系統，大量的黑客工具也可以做到這一點。只要將它們插入相應的驅動器中，并重新啟動系統即可。如果你在CMOS設置中沒有禁止這些選項的話，它們將容許其他人利用別的操作系統啟動系統。正如我文章上面所述的，如果你為基本輸入輸出系統BIOS和CMOS設置密碼，在清除密碼更改設置前是不可能使用這些啟動設備的。

3. 在遠離計算機的時間始終鎖定屏幕或登出用戶

在離開的時間留下支持用戶登入所有應用都處于激活狀態的計算機，是讓未經授權的人獲得系統中的大量信息最快和最簡單的方式。如果你離開的時間，磁盤解密功能是處于運行的狀態，全磁盤加密并不會給信息安全帶來保障，只要有足夠的時間，就可以通過USB閃存設備將機密文件復制出來，甚至也許更容易，只要通過GMail或者雅虎郵箱將數據發送給本人就可以了。使用系統的屏幕鎖功能，以防止這種物理連接行為。舉例來說，你可以為屏幕保護程序設定密碼，或者在離開的時間登出系統，這樣的話，任何人想進入系統都必須再次登入。

在默認狀態下，一些圖形用戶界面環境并不包含這樣的功能，我選擇的窗口管理器(AHWM和wmii)就屬于這樣的情況。并且，象這樣的輕量級圖形用戶界面環境也沒有相關的設置;我選擇一個稱做slock的屏幕鎖定工具來實現這樣的功能，盡管它非常小，但功能非常出色。如果你選擇使用它的話，請務必記得要登出TTY控制臺，因為slock本身只會鎖定X會話，TTY控制臺是不包括在內的。

4. 為加密工具選擇只使用內存的安全部分

正如我在《“不安全的內存”常見問題解答》一文中所解釋的，加密工具會將密碼保存在可以使用的空間里，因此，當計算機系統內存被大量占用的時間，原先保存在內存中的數據就可能被交換到磁盤上(舉例來說，根據微軟的官方術語，叫做存儲頁文件)。如果這樣的情況出現了，就可能出現在關閉系統后數據還是存在的問題。這時間，只要坐在硬盤前，運行一個簡單的分析工具，加密密碼就被恢復了。

解決這個問題的關鍵是要確保你使用的內存是安全的：對于操作系統來說，不同用處的隨機存取記憶的管理方式是不一樣的，預留給某一特定應用的內存位置將永遠不會被交換到磁盤。如果你希望了解詳細的信息，可以參考《“不安全的內存”常見問題解答》一文。當出現這種情況的時間，請確保不要在關閉系統的時間就馬上離開，應該稍微再等幾分鐘;因為存在擁有這樣功能的惡意安全裝置，只要物理連接到系統上，可以快速對隨機存取記憶里保存的信息進行恢復。

5. 為未經授權的密碼恢復操作設定阻礙措施

現在的大部分普通操作系統都提供了對由于系統誤差和用戶錯誤操作導致的密碼失敗恢復設置。其中的一些甚至提供了一種可以直接恢復或重設丟失的管理員密碼的辦法。這也就意味著，存在一種幾乎不受到任何限制進入系統任何部分的方法(除了需要專門密碼的加密文件)。其中最簡單的一種就是進入備用操作模式，微軟Windows操作系統的安全模式和Unix(包括Linux )單用戶模式就屬于這種情況。

在微軟Windows操作系統的安全模式下，大部分安全軟件都將被禁用，甚至通常使用的一些日志和加密工具也被包括在內。對于黑客來說，這是一個不錯的攻擊途徑，可以方便地獲得系統管理員帳戶的密碼;舉例來說，微軟Windows XP操作系統就可以創建沒有密碼的系統管理員帳戶，對于安全實踐來說，這是一個多么可怕的錯誤啊。為了防范這種情況的發生，就需要對安全模式進行設定，禁止未經授權的人隨意地進入系統。不過，如果這個人比較了解技術，能夠使用網絡上大量存在的Windows操作系統密碼恢復工具(而且是免費的)，這樣的限制設定效果并沒有多大。

另一方面，在Unix和類Unix操作系統中，繞過安全措施進行破解以獲得root密碼也是相當困難的。不過，這種操作系統提供了一種單用戶模式，可以在沒有正確設置的情況下，獲得系統根級別的大部分權限。因此，你需要通過對TTY控制臺的設置進行調整，取消root權限，來解決這個問題。在不同的操作系統下，相應的操作也是不一樣的。舉例來說，在FreeBSD和蘋果MacOS操作系統下，你需要在/etc/ttys的文件里對配置進行調整，而在許多Linux操作系統里，它們位于/etc/securetty文件中。

結 論

顯而易見，本文并不打算為你在公司網絡的周邊提供更好的安全，也不會教你如何進行現場調查或滲透測試。所有要做的，僅僅是提醒你安全的基礎應該是個人，無論他們是什么背景(工作、家庭、學校等)，對于安全事故來說，最常見的原因依舊是用戶的粗心大意。盡管內容可能不那么全面(畢竟，這僅僅這個列表僅僅包含了五項)，但也可以給你開始的方向。

通常情況下，安全鏈中最薄弱的環節就是用戶。你的責任就是讓這種情況不要成為現實。

【編輯推薦】

1. 十大絕招幫助企業化解經濟危機安全風險
2. Win2003 安全配置技巧
3. 網絡和數據通訊安全
4. 路由器安全性基礎設置