一、禁用高权限用户

主要指Windows系统中Administrators组的用户或Linux/Unix系统中root组的用户。

举例:很多程序员在使用Linux/Unix系统进行开发时,都知道用普通用户的帐号进行操作;需要做某些高级权限操作时,再切换到管理员帐号(root帐号)。但使用Windows系统时,却喜欢用管理员(Administrator组)进行日常操作。

注:Windows系统中,即使用户名不叫“Administrator”, 任何一个用户只要属于“Administrators组”,同样具有管理员权限。

1.高权限用户的危害性

平时总是用管理员权限登录系统,并进行日常工作,那就意味着所运行的每一个程序,同时也具有了管理员权限。

举例:如果从网上下载了一个感染病毒的软件,当我们直接运行该软件时,病毒一旦被激活,就同样具备了管理员权限。病毒在获得与杀毒软件平起平坐的权限时,清除会很麻烦,有些高级病毒可以骗过杀毒软件甚至直接把杀毒软件干掉。

2、安全防范建议

以Windows系统举例,尽量少用高权限用户。最好在刚装好系统后,单独创建一个非管理员用户。你可以让该用户仅仅属于“Power Users组”;如果想更安全,可以只加入“Users组”,今后就主要通过该低权限用户进行日常操作。

1.“Power Users组”权限 < “Administrators组”权限

“Power Users组”限制如下几项主要权限:

  • 不能添加、删除、禁用系统中的其它用户。
  • 不能修改其它用户的属性(包括口令、所属的用户组等)。
  • 不能安装/卸载硬件驱动程序。
  • 不能安装/卸载某些应用软件。
  • 不能查看系统的安全日志。

2.“Users组”权限 < “Power Users组”权限 < “Administrators组”权限

“Users 组”限制了如下几项主要权限:

  • 不能添加、删除、禁用系统中的其它用户。
  • 不能修改其它用户的属性(包括口令、所属的用户组等)
  • 不能安装/卸载硬件驱动程序。
  • 不能安装/卸载某些应用软件。
  • 不能查看系统的安全日志。
  • 不能修改系统时间。
  • 不能修改某些系统目录(包括系统盘的\WINDOWS目录、\WINDOWS\SYSTEM32目录、\Program Files目录)。
  • 不能启动/停止某些系统服务。
  • 不能修改注册表“HKEY_LOCAL_MECHINE”下的所有键值。

总结:从上述对照,明显可知“Users组”的权限更小,使用起来更安全。
举例:运行了一个带毒的程序,由于病毒仅有“Users组”的权限。所以病毒也就无法修改/破坏重要的系统目录,掀不起太大风浪。通常来说,越安全的措施,往往也意味着操作越繁琐。但是这些问题,都有相应的解决之道。

3、切换用户的问题

当你以低权限组登录后,因为某些原因,需要临时使用管理员权限。但是,当前用户运行了很多程序,不想直接注销。那么可以使用【快速用户切换】功能来切换用户组。Windows系统提供该功能,可以让几个不同的用户同时登录同一系统,平滑地切换。

4、安装软件/驱动的麻烦

安装驱动需要管理员权限才行;另外,某些软件在安装时,也需要用管理员权限进行。所以在刚装好系统后,先用管理员用户把高权限安装的软件/驱动程序都搞好。然后,就无需再用管理员用户了。毕竟日常使用的软件相对固定,不可能三天两头安装软件或驱动。即便偶尔需要重装软件或驱动,也可以临时切换到管理员用户。

5、修改系统时间的问题

如果平时用的是“Users组”而不是“Power Users组”,那么是没有修改系统时间权限的。所以直接启用Windows系统自带的时间同步服务即可。

二、常见的密码盗取手段

1、木马

如果用户电脑已经被攻击者安装了木马,那么输入任何密码,都可能被盗。

2、弱密码猜解

如果登录密码比较弱,攻击者就很容易猜出来。

3、暴力破解

除了对弱密码进行猜解,攻击者还可以通过穷举的的方式,破解中等强度的密码。现在CPU的计算能力日新月异,尤其是多核CPU/GPU普及之后,暴力破解的效果会越来越好。由于这种攻击手法,需要成千上万次的试错,所以比较适合针对本地应用的口令(比如破解加密的压缩文件),而不太适合对网络应用进行在线口令破解。

4、网络传输截获(嗅探)

在这种方式下,攻击者会通过网络嗅探的方式,分析用户上网数据。如果上网过程中,存在明文传输的口令,就会被截获。

5、客户端截获

通常是针对网络应用的口令而言。

6、服务端截获

凡是利用口令进行验证的软件系统,都需要存储口令相关的信息。否则的话,软件系统就无法验证用户输入的口令。如果攻击者能够拿到这些口令的关联信息,那么就有可能分析出口令。
注:存储口令关联信息有三种常见方式:①存储口令的明文;②存储口令经过加密后的密文;③存储口令的散列值。

7、网络钓鱼

攻击者会伪造某些网站,然后通过某种方式(如虚假链接、欺诈邮件、DNS欺骗等),引诱用户登录伪造站点。由于假网站和真网站的界面很像,用户可能难以分辨。有些高明的钓鱼网站,甚至会采用类似Web代理的技巧,把用户所有输入操作,转交给真网站,然后把真网站输出的界面,再转回给受害者。这样,受害者就好像在真实网站进行操作,很难看出破绽。

8、情报分析

如果攻击者对受害者比较了解,那么他有可能通过深入的分析,攻破受害者的口令防护。

9、偷窥和欺骗

偷窥和欺骗同时作为社会工程学的攻击手法,十分有效。

三、密码/口令安全防范措施

1.谨慎使用统一密码/口令。

2.对密码进行分级管理。

第一级:不重要的口令
我们有时会遇到一些网站,只允许注册账号下载资源。因此可以注册一个临时账号(不要关联重要账号信息),用完即扔。

第二级:重要但少用的口令
对于重要口令,要根据使用频率区别对待。有些口令虽然重要,但是使用频率很低,所以设置得麻烦一些,问题也不大。

第三级:重要且频繁使用的口令
此类口令,重要且经常使用。所以,设置口令要同时兼顾安全性和易用性。

注:单汉字拼音(或英文单词)、纯数字作密码,容易遭字典攻击,所以应该考虑由大小写字母加数字、穿插特殊符号构成不少于16位的用户密码。

四、安全漏洞的基本防范

1、防火墙

个人防火墙主要用于防范“远程漏洞”,对于“本地漏洞”,防火墙基本帮不上忙。因为大多数远程漏洞,都存在于系统对外开启的监听端口中。个人防火墙可以阻止这些端口对外开放,从而避免潜在的漏洞被攻击者利用。

2、定期升级系统补丁

Windows系统的漏洞一直比较多,毕竟用户群大、漏洞利用价值空间巨大,容易被攻击者盯上。所以微软会定期提供Windows补丁,如果遇到高危漏洞,也会临时发布紧急补丁。只需要在“控制面板”里打开“自动更新”功能即可。只要确保系统”自动更新”机制处于启用状态,就可以堵住很多系统漏洞,从而降低被攻击的风险。

注:其它用户群较大的桌面系统(如Mac OS、Ubuntu)也提供自动更新安全补丁的功能。

3、启用软件的自动更新

某些软件会内置自动更新功能(如Firefox、Chrome),一旦官网发布新的版本或补丁,就会自动下载并更新。为防范该类软件有安全问题,可以启用它们的自动更新功能。

4、使用小众且活跃的软件

俗话说树大招风。越知名的软件,就越容易引起攻击者注意,发现安全漏洞的概率也会增大。

五、Web相关的防范

1.多浏览器

在一台电脑上安装多款不同内核的浏览器。

2.多实例

不管是Firefox还是Chrome,默认安装时只有一个实例(Profile)。浏览器相关信息,包括插件、扩展、外观、页面缓存、cookie等等,都存储在这个实例中。反之,如果使用多实例,每个实例都具有独立的插件、扩展、外观、页面缓存、cookie等等。不同实例之间是相对隔离的,不会互相影响。

3.多用户

“多浏览器”和“多实例”两种方案,都无法防范某些浏览器或插件的高危漏洞。因为这些高危漏洞会导致在本地执行攻击代码,并有可能植入木马。而多用户方案可以防范大部分在本地执行的攻击代码。

“多用户方案”可以隔离攻击代码,是因为现在主流的操作系统,都能够在系统层面对不同的系统用户进行隔离。所以限制了攻击代码的危害性。但是,操作系统层面的隔离,不能保证百分之百可靠。如果你的操作系统存在“提权漏洞”,同时浏览器或者插件存在“能够在本地执行代码的漏洞”。那么,攻击者就可能把两者组合起来,对受害者系统进行组合攻击。

4.多虚拟机

利用虚拟化软件,在电脑上创建多个虚拟机,分别用来实现不同安全级别的上网行为。

  • 优点:在4种浏览器隔离方案中,多虚拟机的安全性最高。即使某个虚拟机被病毒感染或者被植入木马,也不会影响到其它虚拟机和真实系统。当然,没有绝对的安全,虚拟化软件也可能出现漏洞。但是,想通过虚拟化软件的漏洞来突破虚拟机的壁垒,难度更大(远远大于突破操作系统的用户壁垒)。
  • 缺点:对硬件配置要求高(主要是内存和CPU)。