关于计算机系统安全的若干问题及解决方案
2013年6月,前美国中央情报局技术分析员,爱德华.斯诺登将美国“棱镜”电子监听计划披露给英国《卫报》记者格伦·格林沃尔德。如今,有越来越多的证据显示,个人电子邮件,浏览信息,聊天记录,网站信息正在被大规模的监控。从斯诺登曝光的机密文件可看出,NAS(美国国家安全局)不仅通过网络远程监控,还通过“人力情报”项目的方式挖取个人隐私。人们有必要去采取必要手段来抑制有关机构这种不正当的行径,从而维护公民基本合法权益。
正文:
近年来,为应对信息全球化,美国Microsoft公司在数十年时间内锐意进取,Windows平台不断推陈出新。近年来,微软一贯采取率先发布预览版,采集用户反馈信息的方式去修复系统与应用软件不兼容问题,或是采取不定期发布系统安全补丁的方式来维持用户良好的操作环境。
截止到2016年5月25日,Windows操作系统占中国大陆比重高达79.96%。近年来,盗版微软系统在国内猖獗,早在Windows XP时代,国内用户普遍采取使用ISO镜像文件安装Ghost盗版系统,上至知名PC品牌售后服务中心,下至城镇电脑维修点,莫不如此。众所周知,制造者可使用UltraISO等软件编译指定的ISO文件,因此,安装未知来源的镜像系统存才不可忽视的安全风险。
伴随操作系统应运而生的是WinPE维护系统,在方便用户进行系统主引导区修复,还原和备份系统分区等操作的同时,紧随而来的安全问题也同样令人堪忧。例如,用户可以在硬件尚未自检,系统尚未启动的BIOS(CMOS)界面下,更改计算机的第一启动顺序为外部储存器(例如闪存盘或是移动硬盘),从而启动WinPE。在当前的维护系统界面中,市面上主流的PE系统(U深度,老毛桃,大白菜,一件工作室等)普遍内置了,例如ADSL账号密码获取工具,开机密码移除和账户添加工具等等。在方便用户对系统做出更改的同时,也给予不法分子以可乘之机。
例如,Windows操作系统中,与登录密码相关联的是主分区目录下的SAM文件,WinPE内置的工具中,可以指定访问C:\Windows\System32\Config\sam路径下的数据库文件。本人亲测,一方面,除微软账户登录选项的密码外,其他类型账户(包括Administrator账户),可以做到强制更改。另一方面,倘若只有微软账户登录选型,他人可以通过解锁Administrator账户,并且具有系统最高权限(众所周知,初始状态的Administrator账户是无密码)或是解锁Default Account,或是解锁Guest User账户来实现系统的访问。更有甚者,在更低版本的Windows系统中,例如Win7,Vista,WinXP,他人甚至无需登录WinPE系统就可以实现对SAM文件的修改。由此可见,老系统固然性能稳定,兼容性良好,但因存在市场时间太久,会暴露出有待改进的地方。
倘若不使用WinPE系统对开机密码做出修改,还可以通过命令提示符语句实现上述操作,具体步骤如下:假设当前使用的计算机主板的启动方式为UEFI,而不是慢慢退出市场的传统BIOS启动方式,则需要另做更改。开机按下F2键(不同品牌主板按键略有差异)不动,在“Boot”标签下,更改UEFI为Legacy Support,此时会有Legacy First字样,F10保存并退出。倘若可以正常进入系统,在管理员模式下运行命令提示符,输入“bcdedit /set {default} bootmenupolicy legacy”带系统显示:操作完成字样后退出即可。上述命令语句为实现安全模式的快速启动,按下F8即可进入。或是点下Shift选择重启即可一次性进入安全模式。或是倘若无法正常进入系统,要实现对安全模式的访问,若是笔记本电脑,在开机界面强制关机4~5次即可,若是台式计算机,用户可直接拔下电源,下次开机计算机会自动进入安全模式(注:上述方法会对计算机硬件造成不可逆损伤)。用户进入安全模式,在“疑难解惑”标签下选择“带有命令提示符的安全模式”。在对话框中输入“net user setName password /add”(注:setName为自定义用户名,password为自定义密码)即可实现对系统账户的添加(此账户不具管理员权限)。倘若要赋予该用户管理员权限,进入命令提示符,输入“net localgroup administrators setName”,即可将用户提升为系统管理组的用户,进而拥有最高权限。(注:本人亲测,在WinPE环境下运行命令提示符,上述操作无效。系统将显示“无法识别net关键字”从而无法执行命令语句)。当上述操作进行完毕,即可实现对并行账户的设置。值得说明的是,PIN码最初目的是:方便识别用户,快速登录系统,然而,它的级别实际上是低于密码的,用户可以强制更改密码,无需验证即可删除PIN码,或是在“登录选项”中选择重设的密码登录,进而窃取用户数据。总而言之,Windows密码只能在安全层面起到一定的阻拦作用,并不能完全规避风险。可见,大多数用户所使用的计算机并不如官方宣称那般固若金汤。
针对上述存在的安全风险,解决方案如下:
解决方案
一:驱动器加密方式
针对Windows平台,用户可以使用Windows自身的驱动器加密功能:BitLocker。Windows Vista首次推出,Windows 7进行了完善,Win8,Win8.1,Win10进行了很好的继承。(编者注:Windows10专业版及其以上版本包含此功能,且设备支持TPM模块)BitLocker在Win10平台存在两种加密模式,兼容模式和快速模式。顾名思义,兼容模式可以使驱动器在更老的系统上运行,但存在弊病:加密速度迟缓且安全等级不高(本人亲测,针对西部数据1TB移动硬盘选择兼容模式,加密时间长达10小时,连续长时间的20MB/s的写入写出操作将给硬盘碟片造成不可逆损伤)。选择快速模式,则采用AES 128bit的加密方式。(截至目前为止,AES 256位加密方式对中国的技术出口被美国军方所限制,因此,大陆地区非商业用途最高为128位AES加密方式)只要用户设置的密码足够复杂,在现阶段量子计算机正处于研发阶段并未投入商业化的情况下,可以近似认为该加密方式完美。在设置驱动器密码短语结束后,用户应妥善保存48位的数字恢复秘钥并与之对应的标识符。(针对美国政府的“秘钥收集”计划,建议用户最好不选择保存在微软OneDrive云服务器,或是苹果iCloud云服务器上。)倘若用户希望针对系统分区进行驱动器加密,并设置硬件层面的安全保护。打开命令提示符并执行如下命令:“manage-bde -protectors -add c: -TPMAndStartupKey h”(注:h为外部储存介质的盘符)从而将.bek系统文件转移至外部储存介质,每次开机时,用户须插入指定U盘才可解锁系统。
二:局部加密方式
PGP(Pretty Good Privacy),美国赛门铁克公司的安全软件,最高支持AES256位加密方式,支持构建PGP压缩包,虚拟分区,加密邮件等功能。用户可以自定义秘钥,用于新建虚拟磁盘或是加密整个驱动器或分区。2013年爱德华.斯诺登正是使用该软件,向英国《卫报》记者通过加密邮件提供了大量信息。在使用过程中,功能强悍的同时,操作较为麻烦。(本人亲测,PGP Desktop 10.2.0版本中,存在在U盘中加载虚拟分区后,USB设备存在无法正常弹出情况)。该软件截至目前为止,官方尚未发布简体中文版,用户需自行汉化(将汉化文件夹下所有文件覆盖粘贴至“String”文件目录下)。使用顺序最好为破解后汉化。本人注册机字样提供:
(附录:Name: Team ACME; Company: EViL Corp. 序列号:D49Z5JJQ013QVW360H0N5VJ1BZ0A)
GiliSoft File Lock Pro 10.6.0 加密方式,未知。同样作为一款文件加密软件,具有防止文件锁,文件加密,文件夹加密,针对外部USB设备文件夹加密等功能。其中的文件锁功能,可以在当前系统环境下有效防止文件的复制,剪切,粘贴,或是重命名等修改操作,进而防止数据的外泄,该软件被广泛应用于商业机构。据官网称,GiliSoft File Lock Pro 10.7.0版本的防止文件复制功能甚至在安全模式下依旧有效。在更早期的版本中,本人发现了致命性的漏洞(据本人实测,在10.6.0版本中,进入安全模式,用户可任意对文件做出修改,该保护功能失效)。或许更为早期的版本,还无法突破安全模式非系统进程的限制,致使在该环境下文件保护形同虚设。虽然该软件毁誉参半,但与其他加密软件组合使用仍能发挥一定作用。
三 :设置CMOS密码
该方式作为更底层的加密方式可有效防止外部存储设备对系统的修改,但不可避免的同样存在安全漏洞,他人可以通过电池放电的方法使其恢复出厂设置,尽管系统时间会初始化,但显而易见的,原密码将不复存在。他人只需将将主板上的CMOS电池取下3min即可完成放电。因此,该方法不建议台式计算机使用。