在使用NTFS分区的Windows 2000/XP系统中,安全性能得到了很大的提高。但如果稍不留意,一些常用的工具便会成为窃密者的帮凶,我们最熟悉的克隆工具Ghost就是其中的一例……
笔者办公室有一台多用户使用的机器,安装的是Windows XP系统,出于安全性的考虑,安装时把系统分区(C盘)转化为NTFS文件系统,其它的分区仍然采用FAT32文件系统。共设有三个专人账户,均使用密码登录,并且在C:\Documents and Settings下的各个用户文件夹都被相应的用户设置为“专用”(如图1)。专用文件夹的安全性可以说是比较高的了,Administrator用户也无法直接访问。
图1 将文件夹设为“专用”
前几天笔者对系统作了一次升级,谁知中途停电,此后再开机,所有账户都无法登录进去了,也无法进入安全模式,看来需要重装系统了。由于各个专人账户里都保存有许多重要的资料,并且都保存在设置为“专用”的私人文件夹里,看来要想把这些重要资料保存出来并不是很容易的事?
一时也没有想出什么好办法,只好先用Ghost把这个分区克隆出来保存,待日后再说了。
重启后进入Dos方式,用Ghost不到10分钟便把原来这个系统分区克隆出来了。重装系统后,我用Ghost Explorer8.0(Ghost 镜像浏览器)竟然能把这个无法登录的系统镜像打开,更令人高兴的是,各账户原来“专用”文件夹里面的文件也能一览无遗!里面的文件不但可以复制和提取出来,而且无需任何密码便可直接打开。
用Ghost就这样轻松找回重要的资料和数据,这确实令笔者高兴不已,但这么轻易就取得了所有用户专用文件夹里的资料,系统的安全性又着实让人担心。笔者对受损系统和正常系统的克隆镜像文件都以超级用户、受限用户、Guest用户等身份进行了测试,都存在这种情况。因为绕过了登录身份验证,任何人都可以用Ghost Explorer来获取私人账户里的资料。从这里可以看出,Windows XP中各用户所设的密码登录、“专用”文件夹都并不十分安全(如图2)。
图2 神通广大的Ghost浏览器
虽然在Windows XP系统各用户都必须凭密码登录,其他用户也无法浏览“专用”文件夹里的文件,但别有用心的人只要花上几分钟把“专用”文件夹所在的硬盘分区用Ghost克隆成镜像,然后借助Ghost Explorer就可以从这个镜像里轻松获取里面的任何文件了,要提取Windows的密码文件――SAM更不在话下了,是不是很可怕?
那么Windows XP里的加密文件夹经过克隆后,Ghost镜像浏览器能不能提取出里面的文件呢?笔者用一个加密文件夹做测试,读取遭到了拒绝,看来我们只有用这最后一招来对付Ghost 镜像浏览器的偷窥。
安全建议:
1. Windows 2000/XP安装时尽量不采用双系统,特别是另一个系统为Windows 98,任何人通过Ghost都可轻易获取Windows 2000/XP的密码文件SAM,NTFS分区里各用户专用文件夹的数据就会被轻而易举地获取。
2. 存放重要数据的文件夹应当采取加密措施,以防数据被Ghost镜像浏览器窃取。方法:在文件夹属性的“常规”标签中点击“高级”按钮,进入高级属性,把“加密内容以便保护数据”一项选上即可(如图3)。
图3 加密文件夹
