文章編號: 818200 - 上次校閱: 2007年12月3日 - 版次: 10.8

有實體存取的電腦攻擊者可能能夠存取檔案及其他資料

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
全部展開 | 全部摺疊

徵狀

攻擊者有實體存取權的電腦可能可以使用另一個作業系統啟動。然後,攻擊者可能可以存取檔案和其他資料。比方說的攻擊者有實體存取權的電腦可以使用下列方法之一:
  • 移除硬碟] 磁碟,然後將它附加到另一台電腦。
  • 使用 [Microsoft Windows 光碟或協力廠商作業系統 CD],啟動電腦和再存取硬碟,或執行平行安裝。
  • 使用 MS-DOS 開機片] 或 [Microsoft Windows 98 開機片來啟動電腦。如果磁碟機格式化為 NTFS 檔案系統,攻擊者可以使用一個驅動程式的設定,該掛接 NTFS 磁碟區來存取磁碟機上的檔案。
  • 使用 Microsoft Windows 2000 光碟啟動執行 Windows Vista 或 Microsoft Windows XP 的電腦,然後再執行 Windows 2000 修復主控台]。因為安全性帳戶管理員 (SAM) 資料庫格式已變更在 Windows XP 和 Windows Vista 中,您不會提示,輸入系統管理員密碼執行 Windows XP 或 Windows Vista 的電腦上執行 Windows 2000 修復主控台時。
回此頁最上方

發生的原因

系統管理員可以使用 < 徵狀 > 一節中所述的方法,來執行系統修復。不過,而不需要實體安全性控制或資料保護功能,如檔案加密及磁碟區加密,這些方法也可由攻擊者存取的檔案和其他資料。比方說某些修復主控台] 作業需要系統管理員密碼。不過,此需求並不保證有心的攻擊者能夠在電腦的實體存取就會無法存取該資訊。沒有適用的實體存取控制項,並且不加密,電腦中有沒有可安全性界限。這個問題不是正在執行 Windows 作業系統的電腦專用的。
回此頁最上方

解決方案

若要協助防止攻擊者使用中 < 徵狀 > 一節所述的方法,使用資料保護功能,並實作安全性措施,以限制對電腦的實體存取。

我們建議下列的方法,以協助減少這類攻擊會帶來的威脅:
  • 使用 「 系統金鑰工具 (Syskey.exe) 一起使用電腦產生隨機金鑰存放在軟式磁片上。這個方法可避免未經授權的人啟動 Windows。將磁片放在安全的位置。當 Windows 啟動的啟動程序完成時,您必須插入磁片磁碟機中。「 系統金鑰 」 工具會包含與下列 Windows 作業系統:
    • Microsoft Windows NT 4.0 Service Pack 3 和更新版本的 Service Pack
    • Windows 2000
    • Windows XP
    • Microsoft Windows Server 2003
    • Windows Vista
    如需有關如何使用 「 系統金鑰,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
    143475? (http://support.microsoft.com/kb/143475/ ) Windows NT 系統金鑰允許 SAM 的增強式的加密
  • 使用 NTFS 檔案系統,並使用 「 加密檔案系統 (EFS) 」 功能來加密檔案。EFS 是 NTFS 檔案系統在 Windows 2000、 Windows XP 中、 在 Windows Server 2003 和 Windows Vista 中的功能。您可以使用 EFS 加密檔案、 資料夾或整個資料磁碟機。EFS 使用業界標準演算法,以及公開金鑰加密來協助保持加密的檔案機密,即使攻擊者取得不受限制存取檔案。如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
    308989? (http://support.microsoft.com/kb/308989/ ) 如何在 Windows XP 中的資料夾加密
    附註Windows XP,Windows Server 2003 和 Windows Vista 不需要預設修復代理使用 EFS 之前。這種行為是與 Windows NT 不同。 在 Windows XP 中、 在 Windows Server 2003 以及 Windows Vista,攻擊者無法存取 EFS 加密檔案,即使攻擊者會覆寫系統管理員的密碼,並取得電腦的系統管理存取。
  • 使用 BitLocker 磁碟機加密來加密系統磁碟區上的所有資料。這個方法會防止未經授權的使用者使用不同的作業系統來啟動電腦。這個方法也會防止未經授權的使用者交換至不同的電腦來讀取資料磁碟機。BitLocker 會包含與 Windows Vista 企業和終極跑車版本。您可以使用 BitLocker 配合系統金鑰 」 和 「 加密檔案系統。 如需有關 BitLocker 的詳細資訊,請造訪下列 Microsoft 網站:
    Windows Vista 安全性指南,第 3 章: 保護機密資料
    http://technet.microsoft.com/en-us/bb629455.aspx (http://technet.microsoft.com/en-us/bb629455.aspx)
    BitLocker 磁碟機加密
    http://technet.microsoft.com/en-us/windowsvista/aa905065.aspx (http://technet.microsoft.com/en-us/windowsvista/aa905065.aspx)
    如需有關資訊資料保護行動電腦上,請造訪下列 Microsoft 網站:
    行動電腦文件的資料加密工具組
    http://technet.microsoft.com/en-us/library/cc500474.aspx (http://technet.microsoft.com/en-us/library/cc500474.aspx)
回此頁最上方

其他相關資訊

如需詳細資訊請造訪下列 Microsoft 網站]:
Windows XP 專業資源工具箱 」 文件
http://technet.microsoft.com/en-us/windowsxp/bb264775.aspx (http://technet.microsoft.com/en-us/windowsxp/bb264775.aspx)

行動電腦文件的資料加密工具組
http://technet.microsoft.com/en-us/library/cc500474.aspx (http://technet.microsoft.com/en-us/library/cc500474.aspx)

5 分鐘安全性警告器-道路戰士指南到膝上型電腦保護
http://technet.microsoft.com/en-us/library/cc722662.aspx (http://technet.microsoft.com/en-us/library/cc722662.aspx)

安全性管理的十大不變法則
http://technet.microsoft.com/en-us/library/cc722488.aspx (http://technet.microsoft.com/en-us/library/cc722488.aspx)

TechNet 資訊安全中心 」
http://www.microsoft.com/technet/security/default.mspx (http://www.microsoft.com/technet/security/default.mspx)

定義的安全性弱點
http://technet.microsoft.com/en-us/library/cc751383.aspx (http://technet.microsoft.com/en-us/library/cc751383.aspx)
回此頁最上方
這篇文章中的資訊適用於:
  • Windows Vista 家用入門版
  • Windows Vista 家用進階版
  • Windows Vista 旗艦版
  • Windows Vista 商用入門版
  • Windows Vista 商用進階版
  • Windows Vista Starter
  • Windows Vista 家用入門 64 位元版
  • Windows Vista 家用進階 64 位元版
  • Windows Vista 旗艦 64 位元版
  • Windows Vista 商用進階 64 位元版
  • Microsoft Windows Server 2003 Service Pack 2?應用於:
    • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
    • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
    • Microsoft Windows Server 2003 R2 Standard x64 Edition
    • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
    • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1?應用於:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows XP Service Pack 2?應用於:
    • Microsoft Windows XP Professional
    • Microsoft Windows XP Home Edition (家用版)
    • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Tablet PC Edition 2005
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows 2000 Server SP4?應用於:
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
  • Microsoft Small Business Server 2000 Standard Edition
回此頁最上方
關鍵字:?
kbmt kbprb KB818200 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:818200? (http://support.microsoft.com/kb/818200/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。