2007/05/25
2007年6月刊《TechNet 杂志》目录: 安全性
深入了解 Windows Vista 用户帐户控制
用户帐户控制 (UAC) 是 Windows Vista 中最令人误解的新功能之一。但是它的目标 ? 使用户能够以标准用户权限运行 ? 可以解决许多安全问题。下面我们将深入了解 UAC 旨在解决的问题,以及这一新功能的具体工作方式。
Mark Russinovich使用 BitLocker 驱动器加密以保护数据的密钥
BitLocker 起着两个相当重要的作用:它同时提供了整卷数据加密,以及在 Windows Vista 启动之前验证早期启动组件完整性的方法。大致了解 BitLocker 的工作原理,并了解它如何帮助您保护您的组织。
Byron HynesWindows Vista 防火墙探究
移动性已经改变了计算机所受到的威胁以及用来保护它们的技术。当便携式计算机游离到外围网络之外、又回到网络之后,您需要更好的方式来保护您的系统。了解如何使用 Windows 防火墙保护您的计算机 ? 在 Internet 和在您自己的内部网络中。
Steve Riley新 ACL 改进 Windows Vista 的安全性
虽然 ACL 未发生重大变革,其中仍有许多重要变化,您在 Windows Vista 环境中管理 ACL 时需要对其加以了解。发现 30 个 ACL 如何得到改进而提高安全性,了解它们将如何影响您的组织,以及学会如何管理在基础结构中发生的这些变化。
Jesper Johansson通过组策略管理硬件限制
拇指 U 盘和其他可移动设备可使您的个人生活更方便,但会给工作环境带来隐患。为提高安全性,您需要通过某种方式控制用户在其工作系统中安装的硬件设备。现在您可以使用组策略来控制用户可以使用哪些设备,以及不可以使用哪些设备。
Jeremy Moskowitz每个 IT 组织都必须具备的 4 项安全技术
大多数企业都面临类似的安全问题。在今天的互联世界里,通常有四种类型的安全工具是每个组织都必须具备的。我们来看看它们是哪些工具,以及如何在未来将所涉及的这些技术融合在一起以创建理想的安全解决方案。
Matt Clapham 和 Todd Thompson用于证书管理的强大新工具
证 书是基础结构中的关键组件 ? 当证书过期时,生产力便会停止。如果您依赖于 Microsoft PKI 环境,则全新的 Identity Lifecycle Manager Certificate Management (ILM-CM) 解决方案能够帮助您保持一切顺利运行。您将了解此工具如何帮助您改进身份验证过程,并降低证书管理成本。
Kevin Dallmann标签: TechNet, Vista, Windows Vista, 安全
2007/05/17
[Bug]腾讯的财付通的小漏洞
https://www.tenpay.com/cgi-bin/v1.0/success.cgi?suc_msg=
在这串URL的?suc_msg=后面输入什么后,打开的页面也会显示相应的文字信息。与工商银行前一段时间发生的漏洞极为相似。比如我访问:
https://www.tenpay.com/cgi-bin/v1.0/success.cgi?suc_msg=财付通此时忙,请使用支付宝!"http://www.alipay.com"
结果就会显示如图所示页面:
2007/04/28
Windows XP USB Mass Storage Device Security FAQ
我们单位是个安全单位,对于数据的安 全有很高的要求。我们单位的计算机上均装有Windows XP但我们单位有不少些同事使用USB FlashDisk(闪盘)接在我们单位的计算机上。领导很担心数据的外泄,也挺担心个别同事的闪盘上带有间谍软件进入计算机系统来,怎么办呢?
A:
1、给所有用户设上非管理员权限的帐户
a、点击『开始』菜单中的“运行”并键入"control userpasswords2"(不包括双引号)後确定
b、在“用户帐户”中添加用户时注意选择何种级别的访问权限时选择受限用户或更改现有用户 的属性时在其“属性”页中的“组成员”标签页中选择“受限用户”
2、将系统以及数据所在分区使用 convert 命令转换为NTFS文件格式分区
a、点击『开始』菜单中的“运行”并键入"cmd"(不包括双引号)後确定
b、在CMD命令行下键入"convert x: /FS:NTFS"(不包括双引号且其中的x表示欲转换的盘符)
3、为%SystemRoot%\Inf下的Usbstor.pnf和Usbstor.inf这两个文件设置用户权限
a、右击这两个文件,点击“属性”,在其“属性”页中点“安全”标签
b、将Users组的“完全控制”中选择“拒绝”复选项
c、点击“高级”按钮,在打开的“权限”页中去掉“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选项後确定
[注:欲看到文件属性的“安全”标签,需要先在“文件夹选项”中的“查看”页中去掉“使用简单文件共享(推荐)”之后才可见。并且Home版需要进入安全模式下进行了前面文件夹选项设置後才可见]
Q:
上面的办法确实有效果,不过有不少机子已经装过USB Mass Storage Device了,好像已经加载过上面提到的两个文件了,对于那些机子似乎就没什么作用了,对于这一类的机子该怎么办呢?
A:
对于已经加载过上面提到的Usbstor.pnf和Usbstor.inf这两个文件的系统使用上面提到的办法确实无效了,那么请使用下面方法
1、卸载所有挂载着的USB 存储设备
2、修改注册表
a、点击『开始』菜单中的“运行”并键入"regedit"(不包括双引号)後确定
b、在“注册表编辑器”中依次展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
将名为 Start 的DWORD键键值修改为十六进制的 4
[注:此法达到的效果为插入USB 存储设备无任何反应,并且盘符也不会出现,在“磁盘管理”中也看不到该移动存储设备。达到无处外泄数据和病毒无法被读取的目的]
Q:
确实,按照上面的方法去做, 没有任何反应了,也不会有盘符弹出,在“磁盘管理”中也看不到该移动存储设备了,不过不少同事可是一般把要完成的在家完成后存到闪盘里再带到单位来提交, 如果按照上面的办法的话,连闪盘上的东西都无法保存转移到计算机上来。我们这边有病毒实时监控,而且给用户设上了受限权限,即使有病毒也是没什么大碍的, 而且还升到了SP2了,应该不用担心太多安全方面的问题,所以该怎么办呢?
A:
如果有病毒实时监控,可要注意经常更新病毒定义库。如果是Windows XP with SP2的话,那就好办了,可以通过下面办法达到,可以读取闪盘上的数据,但却无法将计算机上的数据保存到闪盘上,从而保证了数据的不外泄。
1、卸载所有挂载着的USB 存储设备
2、修改注册表
a、点击『开始』菜单中的“运行”并键入"regedit"(不包括双引号)後确定
b、在“注册表编辑器”中依次展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies
如果在注册表项 Control下找不到名为 StorageDevicePolicies 的注册表项,那么则手动建立即可
c、在 StorageDevicePolicies 注册表项下建立名为 WriteProtect 的DWORD值,并将其键值定义为 1 即生效
[注: 此法的效果为使用闪盘时插入闪盘,系统会如常显示出盘符,但是只能读出闪盘中的数据文件,而无法往闪盘中写入数据,从而达到防止数据外泄的目的。此法仅对 Windows XP SP2有效,考虑到2003Server SP1其本质和XP SP2很像,故而大胆预测2003Server SP1应用此法一样有效。]
Q:
看来当初升级到SP2确实没 白装啊,用了上面的办法到Windows XP RTM上居然是无效的。上面的方法似乎已经是最完美的了,不过发现有些同事不知道用了什么办法好像突破了这个限制,而往他的MP3上拷贝了MP3,虽然他 没拷贝重要数据文件,但说明是有漏洞的啊,这该怎么办呢?
A:
估计是该用户的权限太高,要么更改为受限用户,要么去掉他对该注册表键值的控制权限即可。
如果该用户确实需要有足够的权限来完成某些任务,那么只有去掉他对该注册表键值的控制权限了
a、点击『开始』菜单中的“运行”并键入"regedit"(不包括双引号)后确定
b、在“注册表编辑器”中依次展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies
在该StorageDevicePolicies注册表项上右击菜单后点“权限”
c、在 “StorageDevicePolicies 的权限”中点击该用户后在“完全控制”后勾选“拒绝”复选项
d、点击“高级”按钮后去掉从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选项後确定两次即可
编后总结:
该FAQ以一个安全单位的管理员的疑问角度来撰写,并且就 WinXP的USB存储设备的这方面的应用提出几个安全相关的疑问和解决办法。但实际上还有不少其它的数据外移手段如软盘、刻录光盘、网络等手段。所以要 做好数据的防外泄有关工作光在这个USB闪盘上还不够,USB闪盘或移动硬盘只是因为普及且易携带,所以应该着重于这方面的防外泄工作。上面都是有关于技 术防外泄的,实际操作中还应配合着制度等的规定来达到防外泄的目的以保护单位数据安全。
