不同操作系統(tǒng)下防病毒措施例談

王弘毅 哈爾濱工業(yè)大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院

一、行文背景

前不久，關(guān)于各種勒索病毒及其變種的新聞充斥在各大媒體的版面上，讓生活早已離不開(kāi)互聯(lián)網(wǎng)的廣大人民群眾紛紛神經(jīng)緊繃。實(shí)際上，除了這種新出現(xiàn)的、主要以索取錢財(cái)為目的的病毒，當(dāng)下的互聯(lián)網(wǎng)還充斥著許多其他以盜取用戶信息，或單純進(jìn)行破壞為目的的其他不法軟件。這些威脅的存在使得確保計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)的安全在如今顯得極為重要——稍不留神，這些妖魔鬼怪就會(huì)趁虛而入。針對(duì)運(yùn)行不同操作系統(tǒng)的計(jì)算機(jī)，提高計(jì)算機(jī)安全性的措施會(huì)有細(xì)微差別，但毋庸置疑，其中也有一些共性的東西存在。

二、通用原則

1.安裝并積極更新殺毒軟件。盡管大多數(shù)操作系統(tǒng)內(nèi)建了防火墻和簡(jiǎn)單的防病毒軟件，但要想獲得更完全的安全防護(hù)，則應(yīng)該在系統(tǒng)防護(hù)的基礎(chǔ)上安裝正規(guī)殺毒軟件，加固系統(tǒng)安全防線。這些專業(yè)的殺毒軟件會(huì)在系統(tǒng)中安放“鉤子函數(shù)”，以捕捉到不法軟件企圖破壞系統(tǒng)的行為，并對(duì)此做出反應(yīng)。除了防病毒，這些軟件一般也有查殺木馬和發(fā)現(xiàn)蠕蟲(chóng)的功能。

2.積極進(jìn)行系統(tǒng)更新，保證自己的計(jì)算機(jī)補(bǔ)丁保持最新。一些漏洞，如之前由Google 團(tuán)隊(duì)發(fā)現(xiàn)的熔斷和幽靈漏洞，實(shí)際上靠殺毒軟件是很難修復(fù)的。因?yàn)檫@些漏洞多是由硬件設(shè)計(jì)上的疏忽造成的。像熔斷漏洞，實(shí)際上是利用現(xiàn)代高性能處理器亂序執(zhí)行指令的特點(diǎn)，使程序有可能訪問(wèn)到按照順序來(lái)說(shuō)本不應(yīng)該訪問(wèn)到的數(shù)據(jù)。這樣的漏洞只能靠安裝系統(tǒng)廠商發(fā)布的補(bǔ)丁進(jìn)行彌補(bǔ)，且很大程度上會(huì)犧牲機(jī)器的性能。

3.養(yǎng)成定期進(jìn)行數(shù)據(jù)備份的習(xí)慣。許多操作系統(tǒng)內(nèi)建有數(shù)據(jù)備份的功能，但最好的方式還是將本機(jī)的重要數(shù)據(jù)拷貝到可靠的外部存儲(chǔ)設(shè)備，如移動(dòng)硬盤之中。這樣，就算碰到了勒索病毒導(dǎo)致大部分文件、甚至之前留在本機(jī)硬盤中的系統(tǒng)備份文件也被加密的情況，也可以通過(guò)重新安裝操作系統(tǒng)，再將數(shù)據(jù)從外部存儲(chǔ)器拷貝進(jìn)本機(jī)的方法解決。

4.主動(dòng)防范不熟悉的電子郵件和鏈接，不輕易點(diǎn)擊。通過(guò)郵件和網(wǎng)頁(yè)鏈接傳播病毒是非常古老，但也非常經(jīng)典的手段。不法分子往往會(huì)利用人們貪小便宜的心里，偽造中獎(jiǎng)信息，誘導(dǎo)用戶透露自己的個(gè)人信息。對(duì)這類攻擊，最根本的解決方案還是提高警惕，并且只在通過(guò)多種渠道確認(rèn)對(duì)方身份之后再進(jìn)行進(jìn)一步操作。

三、運(yùn)行Windows 的計(jì)算機(jī)

除去上面的通用原則，針對(duì)運(yùn)行不同操作系統(tǒng)的計(jì)算機(jī)，還有一些特殊的操作可以提高計(jì)算機(jī)安全性。

當(dāng)前的市場(chǎng)中，絕大多數(shù)的個(gè)人計(jì)算機(jī)都運(yùn)行Windows 操作系統(tǒng)。更準(zhǔn)確來(lái)說(shuō)，2019 年以來(lái)，在我國(guó)的個(gè)人計(jì)算機(jī)操作系統(tǒng)中，Windows 占據(jù)了92.96%的份額。

Windows 是一款非常優(yōu)秀的操作系統(tǒng)，其界面優(yōu)雅直觀，操作方便，當(dāng)年一上市就獲得了許多消費(fèi)者的青睞。但也正由于其極大的市場(chǎng)占有率，許多病毒都是針對(duì)Windows 操作系統(tǒng)來(lái)編寫的，這也使Windows 的用戶相較其他人暴露在更大的風(fēng)險(xiǎn)之中。

好在Windows 經(jīng)過(guò)了多年的發(fā)展，功能已經(jīng)發(fā)展得非常完善，其內(nèi)置了許多提高系統(tǒng)安全性的選項(xiàng)，并且也內(nèi)置了一個(gè)優(yōu)秀的殺毒軟件Defender。這款軟件的病毒庫(kù)更新是比較頻繁的，因此往往可以應(yīng)對(duì)大多數(shù)普通的威脅。除此之外，Windows 的防火墻也是功能非常齊全的，可以通過(guò)用戶連接網(wǎng)絡(luò)的具體種類來(lái)進(jìn)行不同程度的防護(hù)。這兩個(gè)防護(hù)一定程度上幫助用戶維持了系統(tǒng)的穩(wěn)定，也防御了外部網(wǎng)絡(luò)的一些威脅，并且都是默認(rèn)開(kāi)啟的，因此用戶只要不要被某些網(wǎng)站誤導(dǎo)，去主動(dòng)關(guān)閉即可。除此之外，在最新版本的Windows10中，系統(tǒng)還新增了一個(gè)“使用隨機(jī)硬件地址”的選項(xiàng)，該選項(xiàng)可以讓用戶在網(wǎng)絡(luò)中進(jìn)行通信時(shí)使用一個(gè)虛擬的隨機(jī)MAC 地址，從而可以有效防止內(nèi)網(wǎng)中的攻擊。該選項(xiàng)可以在設(shè)置中的WLAN 選項(xiàng)下找到，且默認(rèn)關(guān)閉。如要提升系統(tǒng)對(duì)內(nèi)網(wǎng)中攻擊的防御能力，則應(yīng)該開(kāi)啟。

圖1 使用隨機(jī)硬件地址

四、運(yùn)行Linux 的計(jì)算機(jī)

大多數(shù)運(yùn)行著Linux 的計(jì)算機(jī)實(shí)際上是各大公司提供互聯(lián)網(wǎng)服務(wù)的服務(wù)器。這些服務(wù)器往往需要運(yùn)行FTP 和SSH 等一系列需要支持用戶遠(yuǎn)程登入以管理主機(jī)的程序，從而也會(huì)給惡意用戶留下遠(yuǎn)程侵入系統(tǒng)的可乘之機(jī)。

由于Linux 是開(kāi)源免費(fèi)的操作系統(tǒng)，所以軟件更新一般會(huì)稍稍滯后。并且由于個(gè)人計(jì)算機(jī)往往很少使用，因此針對(duì)該系統(tǒng)的殺毒軟件往往也沒(méi)有Windows上的那樣成熟。但好在Linux 有著極高的自定義性，因此我們可以通過(guò)很多其自身的特點(diǎn)加強(qiáng)防御。

1.chroot 命令

chroot 對(duì)于運(yùn)行FTP 或者SSH 的主機(jī)來(lái)說(shuō)是非常有效的防御措施，可以在終端中通過(guò)chroot 命令執(zhí)行。其概念類似于一個(gè)簡(jiǎn)單的虛擬機(jī)，也即將FTP 與SSH 運(yùn)行在一個(gè)區(qū)別于真實(shí)系統(tǒng)根目錄的虛擬根目錄下。該方案相比將程序運(yùn)行在VMware 等程序提供的完整虛擬機(jī)上的最大好處就在于其運(yùn)行效率很高，并且可以自己選擇將哪些文件復(fù)制到虛擬目錄下。在這樣的情況下，就算惡意用戶通過(guò)FTP 或SSH 遠(yuǎn)程登錄了主機(jī)，也只能對(duì)虛擬目錄下的文件進(jìn)行破壞，而不會(huì)影響真實(shí)的操作系統(tǒng)文件。

2.合理設(shè)置權(quán)限

簡(jiǎn)單來(lái)說(shuō)，Linux下文件的權(quán)限主要分為讀、寫和執(zhí)行，且分別面向文件擁有者、組成員和其他用戶分別設(shè)置。有些時(shí)候程序提示權(quán)限不夠，會(huì)有程序員為了避免麻煩直接而將所有權(quán)限均賦予該程序。這樣一來(lái)，程序確實(shí)可以正常運(yùn)行了，但卻使得其他用戶也有了利用該程序的機(jī)會(huì)。為了提高系統(tǒng)的安全性，在給文件賦予權(quán)限時(shí)，一定要保證權(quán)力不多給、不亂給，從而防止其被惡意用戶利用。

3.設(shè)置能力位

在2.1 版本以后，Linux 系統(tǒng)擁有了一個(gè)為程序設(shè)置能力位的功能。該功能是為了避免程序因?yàn)橐獔?zhí)行某些特殊功能而獲取系統(tǒng)最高權(quán)限后可能會(huì)被惡意用戶利用的情況。使用了能力位的程序只能在某一類操作上擁有系統(tǒng)最高權(quán)限，而不能進(jìn)行能力位未授權(quán)的其他操作。在終端中，可以通過(guò)setcap 命令對(duì)文件進(jìn)行能力位授予，而此操作也一樣應(yīng)該秉持能力位不多給、不亂給的原則。

五、結(jié)束語(yǔ)

針對(duì)個(gè)人用戶經(jīng)常使用的Windows 和互聯(lián)網(wǎng)服務(wù)提供商通常使用的Linux 系統(tǒng)，本文分別給出了相應(yīng)的提高系統(tǒng)安全性的方法。但本文所提到的這些方法僅僅只是幾個(gè)有代表性的方法，并非全部。在提高計(jì)算機(jī)安全的路上，沒(méi)有所謂的終點(diǎn)。維護(hù)信息安全仍需要人們持續(xù)的研究與努力。