為你的Windows穿上防彈衣

　本文將首先闡述對PC用戶數據產生重大危害的各種病毒、間諜軟體和其他威脅，並教你如何檢查PC是否安全，當然我們還會教你如何對它進行更好的保護。

　　在線安全問題是否被媒體和安全廠商所誇大？我從來沒有安裝反病毒軟體，但我的電腦一直用得很好。為什麼非要安裝Internet防火牆？我覺得沒有什麼黑客會對我電腦中的數據感興趣。　　

　　以上觀點正是不少普通電腦用戶的真實想法，但這種「天下無賊」式的天真想法具有很大的危險性，實際上黑客們有非常多的動機去入侵你的機器，比如，免費利用你的PC的閑置運算能力就是一個最簡單的理由。當然，他們能幹的事情遠不止此，攻擊者可以利用你的電腦以及其他人的電腦構建一個龐大的破壞性網路來散布病毒或垃圾信息。還有一些攻擊者則喜歡搜集你的個人信息用於更進一步的破壞活動（比如盜用你的信用卡）。在你自以為安全的電腦上，也許正運行著幾十個病毒和數百個間諜程序，這一點也不誇張，而是我們每天都要面對的現實。　　

　　在接下來的幾頁內容中，我們將為你講述最近在PC安全領域出現的幾個重大趨勢，之後我們將給出一些有價值的小技巧，幫你為Windows穿上一件能夠有效防止黑客攻擊的防彈衣。　　

　　人人都有危險　　

　　只要是在線的電腦都有遭到攻擊的危險，但不管是家庭用戶還是商業用戶，都對這種風險有所低估。來自美國國家網路安全協會（NCSA，National Cyber Security Alliance）的一份調查報告（www.staysafeonline.infonewssafety_study_v04.pdf）表明：84%的被調查者會在電腦中保存敏感性數據；72%的在線用戶會在網上使用這些敏感性數據；77%的在線用戶認為自己的電腦很安全但他們實際上並沒有採取太多的防護措施；將近2/3的被調查者沒有及時更新防病毒軟體或者根本就沒有安裝；67%的被調查者沒有使用Internet防火牆，而在安裝了防火牆的用戶當中又有將近70%的人未能正確配置（比如仍然存在好幾個開放的埠）；12%的被調查者在使用WLAN產品，但幾乎沒有人啟用WPA（Wi-Fi Protected Access）加密選項，其中62%的WLAN用戶使用安全性較差的WEP（Wireless Encryption Protocol）加密，剩下的WLAN用戶則沒有採取任何保護措施。　　

　　在調查對象中，每5台計算機中就有一台曾經感染過病毒（19%），在一些電腦中甚至有200種以上的病毒。至於間諜軟體和廣告程序的問題就更加讓人觸目驚心，有超過80%的計算機曾遭受過它們的侵擾，平均每台電腦遭受過93種惡意工具的攻擊，而有的電腦甚至遭受過超過1000種惡意工具的攻擊。

　　僅在2004年11月，就產生了1379種新病毒，而2004年上半年新產生的病毒數量為4500，這些數據與2003年相比有了近5倍的增長。截止到2004年年底，大約有98000種病毒還在四處傳播，而到了2005年1月這一數據已經超過了10萬種。

　　　堵不完的安全漏洞　　

　　安全漏洞不僅存在於操作系統中，瀏覽器、應用程序也存在著漏洞，從安全漏洞被發現到第一次利用該漏洞的攻擊行為發生，這中間的時間間隔越來越短，目前這個平均時間間隔為6天左右。但具體到某個安全漏洞，留給用戶彌補漏洞的時間可能就更加緊迫，有些漏洞在被發現的當天可能就會出現相應的攻擊行為。而那些通過網路或Internet攻擊安全漏洞的病毒可能會在數秒鐘內傳遍全世界，比如Mydoom-AH病毒就是一例。　　

　　在2004年，有大約3000個軟體漏洞被發現。對多數用戶來說，其中的一小部分漏洞遭受攻擊的可能性不大。但根據Symantec安全專家對2004年上半年發現的1237種安全漏洞進行的統計來看，其中70%的安全漏洞很容易被惡意利用，而96%的安全漏洞可以被較有經驗的黑客們利用。毫無疑問，絕大多數安全漏洞都出現在沒有打過補丁的Windows系統以及Internet Explorer瀏覽器中。被惡意程序控制的PC已經成為相當普遍的現象，而絕大多數用戶並不會察覺，當你的上網速度變慢時，你很容易將它歸結為伺服器負載過大，而很可能此時你的私人數據已經在不知不覺中被人偷走。

　　　為生存而戰　　

　　在2004年還出現了一種很有趣的情況，病毒編寫者們似乎花了不少的精力進行互相爭鬥。一些蠕蟲和病毒中包含了去除其他惡意程序的代碼，比如網路天空（Worm.Netsky）就可以清除Mydoom和Bagle病毒，而被清除一方病毒的編寫者則會編寫病毒變種以抗衡，這種情況促成了病毒變種的急劇增多。

　　病毒編寫者被檢舉和揭發的情況也變得普遍起來，2004年有好幾個病毒編寫者被捕，他們被認定與Sasser、Netsky、Agobot、Phatbot和 Lovesan等病毒有關。

　　垃圾郵件的昂貴代價　　

　　垃圾信息的泛濫也成為令人頭疼的問題，它們已經不僅僅是廣告的載體，同時也能傳播蠕蟲、病毒和特洛伊木馬程序。　　

　　根據E-mail安全解決方案廠商MXLogic（www.mxlogic.com）的說法，大約有93%的e-mail都屬於垃圾郵件，另一家廠商Frontbridge（www.frontbridge.com）的調查結果則顯示該比率為82%。儘管這兩家安全解決方案廠商的數據多少有些誇大的成分（畢竟他們有推銷自己產品的動機嘛），但實際情況的確令人擔憂，我想70%的e-mail屬於垃圾郵件還是比較符合事實的。2005年預計會有3500萬封e-mail被發送，而其中的2450萬封都屬於垃圾郵件，還有可能帶有惡意代碼。　　

　　據專家估計，由於垃圾郵件引起的工作效率下降導致的經濟損失在2004年達到了200億美元，對於一個有500名員工的公司來說，每年處理垃圾郵件帶來的損失會高達400萬美元。　　

　　在2004年出現的另一種趨勢是「偽造陷阱」的增多，這種e-mail會誘使你訪問偽造的網站（它們粗看起來和正規的網站非常相似），這類網站往往會讓你確認銀行賬戶的信息，比如讓你輸入賬號和密碼，而隨後你會發現你的賬戶中的錢莫名其妙地被人花掉了。大約有140萬網上用戶落入過這種「偽造陷阱」，造成銀行和信用卡公司的直接經濟損失高達12億美元，而個人用戶的經濟損失可能也在這個數量級。

　　根據Anti-Phishing Working Group（www.antiphishing.org）的調查，截止到2004年10月，已經出現了1142個偽造在線網站，這個數量在以每月25%的速度增長，每家偽造網站的生存周期平均為6天。

　　未來會怎樣？　　

　　未來的情況會如何呢？安全專家們一致認為，2005年安全問題將變得更加令人關注，下列攻擊行為仍將繼續增長：　　

　　● 通過基於Web的應用程序發動的攻擊　　

　　● 自動郵件群發、垃圾郵件、特洛伊木馬和DDoS攻擊　　

　　● 具有自動防禦機制的病毒攻擊　　

　　● 針對安全工具（如防病毒軟體、Internet防火牆、路由器）發起的攻擊

　　● 更智能化和更大規模的自動程序網路（botnets）　　

　　● 更多的隱蔽性攻擊　　

　　● 社會工程學攻擊　　

　　正所謂「道高一尺、魔高一丈」，未來可能還會出現更多我們以前沒有碰到過的病毒類型，比如在2004年我們就領教了首次出現的行動電話蠕蟲病毒―Cabir，儘管它只是一款概念驗證性惡意程序（與首次出現於Pocket PC手持設備的特洛伊木馬程序Duts類似），暫時還沒有太大的危害，但無疑已經吹響了攻擊的號角。隨著WLAN變得越來越普及，黑客們肯定不會放過這個誘人的攻擊目標，而與之相對應的現實是：絕大多數無線用戶都缺少安全防護意識。目前大約有12%的在線訪問是通過Wi-Fi方式進行的，這一比率將在2009年上升到50%，不難想象，黑客們將有更多的機會從開放的WLAN熱點或者終端中竊取數據、植入木馬程序並建立自動程序網路發起惡意攻擊。

　　未來的安全工具 　　

　　集成式的安全防護工具會在2005年成為主流，功能單一的安全工具將逐步讓位於功能更為豐富的軟體包。一個基本的概念是：用戶不需要也不可能把自己訓練成為計算機安全領域的專家，他們所需要的是一個完整的防護方案。集成式的安全防護工具也有缺點，因為這種安全軟體包中的每一種工具不一定都是最好用的。比如，安全廠商A的軟體包中可能包含了最優秀的Internet防火牆，安全廠商B的軟體包中則有最出色的防病毒軟體，而安全廠商C的軟體包中有最好的反垃圾郵件工具。　　

　　來自McAfee 的Toralv Dirro認為，單純的被動式防病毒軟體將逐漸退出市場，集成了桌面防火牆和入侵防護系統（IPS，Intrusion prevention systems）的產品會成為主流。入侵防護系統可能會成為2005年廠商著力宣揚的賣點，入侵防護系統的主要目標是在惡意代碼發動攻擊之前攔截它們，這就要求入侵防護系統能夠對網路安全漏洞進行檢測並搜尋已經發布的補丁程序。儘管這個概念聽起來很不錯，但即便是最智能的入侵防護系統也無法阻止用戶自己去點擊帶有惡意代碼的e-mail附件，事實上絕大多數攻擊都是用戶自己點擊某按鈕或運行e-mail附件所造成的。

　　安全建議　　

　　防護你的XP和Internet Explorer

　　為了防止遭受攻擊，你需要避免在PC上執行任何惡意代碼。實現有效的防護實際上並不困難，任何想要入侵系統或者對你的電腦進行遠程控制的黑客都需要突破三道關卡。首先，他們需要把文件傳送到你的PC上，然後他們需要用欺騙的辦法讓用戶或者操作系統運行代碼，最後，他們還不能讓自己的行蹤輕易被發覺。下面我們將講述幾個基本的PC安全法則，幫助你更好地保護你的PC和數據不受攻擊。　　

　　警惕性是最有力的武器　　

　　如果你收到一封不明發件人的e-mail，帶有明顯的廣告信息或折扣信息，你可能會看也不看就把它們刪掉。但如果這封e-mail中帶有某個女明星的照片或類似的鏈接，你可能會剋制不住好奇心去看上一眼，而這一次點擊就可能會讓黑客們輕易衝破前兩道關卡。　　

　　因此PC安全的首要法則就是：永遠不要打開任何附件，除非你自己主動向別人索取過該附件。如果無法確認或存在疑問，最好在打開之前向發件人詢問一下他們是否真的發送了這封e-mail。　　

　　你還可以諮詢一下郵件服務商是否對發出的郵件提供了病毒掃描服務。同時你應該及時更新自己電腦上的防病毒軟體並打開對郵件和壓縮文件的實時監測選項。把你的Internet防火牆設置成高安全級別，這是防止特洛伊木馬和遠程控制工具的唯一辦法。　　

　　　安裝Windows XP Service Pack 2　　

　　儘管Service Pack 2也無法完全擔保Windows的安全，但與以前相比，它在安全性方面的確有了顯著的提高，因此我們建議你最好儘快把Windows XP升級到SP2。一方面，這個升級版本對此前發現的安全漏洞進行了一次全面的彌補，另一方面它也擴展了操作系統在安全方面的功能，比如提供了Windows安全中心（如圖1所示）和Windows防火牆。與運行Windows XP SP1的系統相比，升級到Service Pack 2的系統的安全漏洞要少得多。如果你正在使用Windows XP，可以到Windows更新網站下載Service Pack 2或者訂購升級光碟。

　　

　　　其他的安全工具　　

　　除了升級到Service Pack 2，你還需要正確選擇另外的安全工具。你至少需要安裝一款防病毒軟體，比如Norton AntiVirus 2005（www.symantec.com）或Panda Antivirus Titanium（www.pandasoftware.com）。桌面防火牆也是必不可少的，Sygate Firewall Pro（www.sygate.com）就是一款不錯的產品，此外，你還應該同時使用基於路由器的防火牆。　　

　　垃圾郵件過濾工具也是值得投資的，你可以選擇獨立的工具，比如Mailwasher Pro 4.1.9（www.mailwasher.net），也可以選擇插件，比如Spambully （www.spambully.com）。安全清除工具也會幫助你徹底清除惡意代碼，這方面我們推薦你使用O&O Safe Erase 2（www.oo-software.com）和免費的Eraser 5.7（www.heidi.ie/eraser）。

　　最低限度的防火牆　　

　　Windows XP Service Pack 2附帶的Windows防火牆能夠提供最低限度的安全防護。如果你想使用Windows防火牆的話，首先你需要找出有哪些埠被其他的程序所用。　　

　　你可以在Windows XP 的命令行模式下運行netstat.exe來完成這項檢測工作。首先你需要啟動被檢測的軟體，並讓它訪問網路資源。然後打開Windows XP 的命令行模式（開始　運行　cmd），輸入netstat -ano >c:ports.txt命令並按回車鍵。這時Windows會把所有開放的埠寫入c:ports.txt文件。　　

　　接著輸入tasklist > c: asks.txt命令並按回車鍵。Windows會把當前運行的所有任務寫入c: asks.txt文件。打開c: asks.txt文件，你會看到一系列當前運行的任務的執行文件名、PID會話名和內存使用情況。你需要特別注意的是它們的PID（Process Identification Number）會話名，因為這是用來區分進程的唯一標識。　　

　　你可以在ports.txt中找到使用開放埠的程序的PID，埠號會顯示在Foreign Address一列中，而協議則會顯示在Proto一列。從我們的例子中可以看出，PID為4044的程序為flashget.exe，它通過埠8080建立了與202.103.49.156的8個連接。你也可以使用免費的第三方工具來進行檢測，如圖2所示的TCPview 2.34（www.sysinternals.com）。　　

　　

　　選擇開放埠

　　通常情況下，你應該只允許少數的幾個程序不經詢問就能訪問Internet。　　

　　在控制面板中打開「Windows安全中心」並點擊「管理安全設置」中的「Windows防火牆」，在「例外」選項卡中就能看到被允許訪問網路連接的程序（如圖3所示）。另一種快速訪問「Windows防火牆」選項卡的辦法是在「開始」　「運行」對話框中輸入firewall.cpl並按回車鍵。如果你想開放某個埠，就點擊「例外」選項卡中的「添加埠」按鈕，它會彈出一個「添加埠」的對話框。你需要輸入程序名稱和所用的埠號，並指定埠所使用的協議類別（TCP或UDP），然後按「確定」按鈕即可。

　　

　　Microsoft公司為Windows XP SP2防火牆和組策略的使用提供了詳盡的說明，你可以查看到網站上進行查看（www.microsoft.com/downloads/details. aspx?familyid=4454e0e1-61fa-447a-bdcd-499f73a637d1&displaylang=en）。

　　找出安全漏洞　　

　　即便你已經安裝了Windows XP SP2，也並非意味著可以高枕無憂，接下來你需要做的一件事就是對系統進行安全掃描。你可以使用免費的Microsoft 基準安全分析器（MBSA，Microsoft Baseline Security Analyzer）V1.2來對系統進行掃描（http://www.microsoft.com/china/technet/security/tools/mbsahome.mspx）。《個人電腦》的下載頻道也提供了該軟體的下載（http://www.pcpro.com.cn/club/download/software.php?id=79）。當然你也可以選擇來自第三方的安全掃描工具，比如Symantec公司的產品。　

　　Microsoft 基準安全分析器會對操作系統和常用的Microsoft 應用程序進行檢測和監聽，比如Office 和Internet Explorer，搜尋已知的安全漏洞並給出可能的解決辦法。如果你願意的話，還可以把監聽範圍擴大到其他一系列的IP地址，這樣就可以檢查區域網中的所有客戶端電腦。當然，你需要擁有這些電腦的管理員（administrator）許可權才行。

　　在進行監聽之前，Microsoft 基準安全分析器會讓你選擇對單台電腦還是多台電腦進行監聽，如果你選擇了單台電腦，只需選中該電腦就可以開始進行掃描了。如果選擇檢查網路中的多台電腦，你需要輸入一個域的名稱或是一組IP地址，比如192.168.0.0到192.168.0.10，然後再進行掃描。

　　網路安全監聽　　

　　如果你是公司的網路管理員，並且有一台專門的軟體升級伺服器（SUS，Software Update Services Server）的話，你需要修改一下Microsoft 基準安全分析器的掃描設置選項。你需要激活「Use SUS Server」選項並輸入相應的URL。這樣一來，Microsoft 基準安全分析器就會幫你檢查軟體升級伺服器上所有可用的安全補丁是否已經被發放到每一個客戶端。不過目前Microsoft 基準安全分析器在使用「Use SUS Server」選項進行掃描時還無法對SQL Server、Exchange或Office的升級補丁進行檢查。

　　修補安全漏洞　　

　　Microsoft 基準安全分析器在掃描結束之後會為你提供一份清晰的安全報告，其中嚴重的問題會被標記為紅色的X號，不太嚴重的問題則被標記為黃色的X號。如果要修補該問題，你需要點擊「Procedure for fixing this problem」並按照它的提示進行操作。　　

　　我們建議你對Microsoft 基準安全分析器發現的所有問題都進行一次修補，然後再運行一次Microsoft 基準安全分析器進行掃描。這樣才能保證你的系統已經完全修補了Microsoft至今為止發現的所有安全漏洞。　　

　　Windows自動更新　　

　　儘管Windows自動更新經常顯得比較煩人，但最好不要關閉這個功能，畢竟這是及時獲得操作系統安全補丁的最有效的辦法。從安全漏洞被發現到針對其編寫的病毒出現，這之間的間隔越來越短，因此儘快安裝操作系統安全補丁是非常有必要的。　　

　　不過，如果你對電腦知識比較精通的話，可以設定讓Windows只是下載這些補丁程序但不要安裝，之後你可以自行決定是否安裝這些補丁程序，因為的確有些程序可能是完全不必要安裝的。　　

　　你可以到Windows XP的控制面板中雙擊「自動更新」工具，然後在彈出窗口中選定「下載更新，但是由我來決定什麼時候安裝」（如圖4所示）。

　　

　　這樣一來， Windows會自動檢查是否有新的升級補丁，如果有的話就下載回來，並且在右下角的工具欄中顯示一個小圖標提示你找到了新的升級補丁。點擊該圖標就可以看到下載的狀態，如果你不想馬上安裝某個升級補丁，可以從屬性窗口中取消選擇某個補丁。Windows會提示你已經下載但沒有安裝該補丁，你可以在需要時再安裝它。　　

　　　　最新的消息

　　我們建議每個Windows XP用戶都應該經常訪問一下Microsoft安全公告網頁（http://www.microsoft.com/china/security/Bulletins/），你還可以訂閱每月一次的安全通訊電子期刊。這樣一旦微軟發布了什麼重要的安全補丁，你都可以及時地獲得消息並下載安裝。　　

　　如果你是一名系統管理員，那麼你應該比一般人更注意及時跟蹤PC安全方面的動向，你可以到http://www.securityfocus.com去訂閱Bugtraq安全郵件列表，還可以訪問著名的Georgi Guninski安全研究中心（www.guninski.com），那裡有大量的有用信息。　　

　　縮減不必要的Windows服務　　

　　在安裝了Windows XP SP2之後，它會默認關閉Messenger服務，這個服務通常會被垃圾信息發送者所濫用，除此之外，出於安全的考慮，還有若干服務也應該關閉。問題在於，我們無法給出一個確定的應當關閉的服務列表，畢竟每個人的應用環境是各不相同的。如果你需要使用Internet連接共享，那麼你就要打開Internet Connection Sharing（ICS）服務，而如果你不需要進行Internet連接共享，就可以關掉這個服務。　　

　　安全衝浪

　　隨著Internet 上令人眼花繚亂的資源越來越豐富，網上衝浪的危險性也越來越大。為了讓網站更有吸引力、更易用，網頁設計者會使用大量的動態內容，而這些動態內容是通過ActiveX或Javascript代碼來實現的，而ActiveX或Javascript代碼也會被用來植入病毒、特洛伊木馬或蠕蟲。如果想更安全地進行網上衝浪，也許你可以考慮選擇Firefox作為瀏覽器，但多數人恐怕不會這麼做，畢竟很多網頁都是針對IE開發的，在其他瀏覽器中也許會有些不便。修改一下Internet Explorer的配置可能是比較現實的做法，在IE瀏覽器中選擇「工具」　「Internet選項」，然後打開「安全」選項卡，選中Internet圖標，並點擊「默認級別」按鈕。如果想獲得更多的安全控制，可以點擊「自定義級別」按鈕，然後在下拉「設置」列表中找到「ActiveX控制項和插件」項目，你可以把該項目下所有與ActiveX有關的子項目都禁用，只開啟一項「下載已簽名的ActiveX控制項」即可（如圖5所示），這樣有害的Web內容就很難對你造成危害了。　　

　　

　　接下來讓我們來看一下「腳本」項目的設置，從易用性角度來說，基於Java或Visual Basic的腳本提供了更豐富的功能，但另一方面它們也是相當危險的。因此很多具有安全警惕性的用戶往往會禁用所有的三個腳本選項。　　

　　遺憾的是，如果採用了更嚴格的安全設置，你會發現有大量的依賴於ActiveX 控制項和腳本的Web網站會變得無法正確顯示，有時甚至完全不可用。　

　　配置IE的安全區域選項　　

　　除了攔截彈出窗口、管理cookies之外，Internet Explorer的安全區域系統還提供了更多的安全特性，比如你可以定義「受信任的站點」和「受限制的站點」，不過似乎很少有用戶會利用這個功能

　　你可以在微軟的網站上找到有關安全區域概念的描述（http://support.microsoft.com/?kbid=174360）。　　

　　你可以在網上搜一下受限制的網站名單，或者利用IE-Spyad 工具（https://netfiles.uiuc.edu/ehowes/www/resource.htm）。IE-Spyad提供了上千個受限制網站的URL，這些網站中可能帶有危險的代碼，你仍然可以看這些網站中的內容，但可能有害的程序會被過濾掉。該網站提供了兩個版本的工具：IE-Spyad和IE-Spyad 2，其中IE-Spyad只對Windows的當前賬戶有效，而IE-Spyad 2可以對該計算機上的所有用戶有效。當然你需要使用administrator賬戶來安裝IE-Spyad 2。　　

　　對於你信任的網站，你可以把它們加入「受信任的站點」，並對它們設置寬鬆一點的安全級別，當然你得確保它們是安全的才行。

　　檢測你的PC　　

　　如果你已經採取了必要的防範措施，可以利用安全監測工具來檢查一下防護手段的有效性。對於家庭用戶來說，可以從各種在線安全測試工具中選擇一款，而對於網路管理員來說最好選用更完整的軟體包。　　

　　　在線檢測你的瀏覽器　　

　　有很多網站都提供了在線安全檢測的功能，我們推薦你使用Symantec Security Check （http://security.symantec.com/sscv6/default.asp?productid=globalsites&langid=cs&venid=sym，如圖6所示）或者Sygate Security Scan （http://scan.sygatetech.com）。這類在線工具會使用各種腳本來進行測試，比如PHP、Perl、Javascript和ActiveX控制項，它們能檢測出何種數據會被泄漏以及哪些埠是開放的。有些工具還會檢測是否能利用ActiveX控制項更改你電腦中的Windows文件夾名稱，能否重新啟動機器或格式化硬碟。　

　　

　　還有幾個在線安全檢測網站值得推薦，包括Security-Check（www.security-check.ch）、GFI （www.gfi.com/emailsecuritytest）和Shields Up（（https//grc.com/x/ne.dll?bh0bkyd2）。　　

　　病毒和系統掃描

　　如果想判斷你的系統是否被病毒、特洛伊木馬或者間諜軟體所入侵，也可以選擇在線掃描方式。其中Trend Micro（http://www.trendmicro.com/cn/home/personal.htm）、Kaspersky（www.kaspersky.com/scanforvirus）和Panda Software（www.pandasoftware.com/activescan）都提供了免費的在線掃毒服務。這三家公司提供的免費系統掃描服務都採用了www.securityspace.com的安全掃描引擎（如圖7所示）。它會對超過5600種不同的安全漏洞和1500種以上的網路服務埠進行掃描。如果你不喜歡在線掃描的方式，www.securityspace.com也提供了桌面掃描工具，你可以在免費試用一次后決定是否購買。

　　

　　物理安全性　　

　　　　看好你的設備　　

　　如果數據竊賊能夠直接取走你的電腦硬碟，最好的防火牆和最複雜的密碼也無濟於事。因此你還必須採取一些措施來保證電腦的物理安全性。　　

　　　數據竊賊　　

　　物理安全性往往被人們所忽略，而其潛在的危險性決不容小視，尤其是在企業應用環境中。數據竊賊可以很輕鬆地從一台開著的辦公電腦中拿走大量重要的數據，比如銷售客戶的聯繫方式和項目計劃。當一名商業間諜簡直太容易了，只要你衣著光鮮，很容易被當成公司的來訪者或者新來的同事，等到人們去吃午飯的時候，你就可以迅速掏出一個U盤來啟動某人的電腦，從中拷走一些文件。而在下班時間假扮成打掃衛生的服務人員也是個絕妙的主意，你可以有充分的時間拷走任何你想要的東西。

　　同樣，如果你想進行破壞活動，通過區域網散布病毒、木馬或者間諜軟體也是相當方便和隱蔽的。

　　為了對這類行為進行防範，我們給你的第一條建議就是對硬碟上的重要數據進行加密。在Windows XP Pro版中你可以利用NTFS文件系統來實現加密，右鍵點擊某個文件夾並選擇「屬性」，然後在「常規」選項卡中點擊「高級」按鈕（注意，只有採用NTFS的分區才有這個按鈕），然後激活「加密內容以便保護數據」選項。　　

　　如果你想到Ebay、淘寶網上出售你的舊硬碟，最好先對舊硬碟進行一次徹底的安全刪除，否則上面的數據有可能被他人所獲取。免費的Eraser 5.7（www.heidi.ie/eraser）就能完成這項任務。　　

　　更安全的螺絲　　

　　為了確保數據的安全性，你不能僅僅依賴基於軟體的安全方案。為了防止數據竊賊從你的電腦中偷走硬碟，你應該使用能被鎖定的機箱螺絲，PC Guardian（www.pcguardiananti-theft.com）和Kensington（www.kensington.co.uk）都能提供這方面的產品。而當筆記本電腦沒有被隨身攜帶時，也應該使用金屬鏈和鎖將它鎖住。　　

　　封鎖介面　　

　　為了防止外人通過軟盤、光碟等介面訪問你的電腦，你需要在不需要時關閉這些訪問介面，通常利用一些軟體工具就能實現。但目前還沒有能簡單關閉USB介面的程序，你需要到BIOS中進行設置或者直接拆除USB物理介面。　　

　　未來的PC安全防護措施會引入生物工程系統，它能夠保存視網膜和指紋等唯一身份信息，你需要用智能卡來獲得操作硬體或者軟體的許可權，只有當你的視網膜和指紋數據與智能卡中存儲的一致時才有可能獲得訪問許可權。