你的系統更安全<<作業系統安全組態方案>>

[psac]

你的系統更安全<<作業系統安全組態方案>>重新編輯版


作業系統安全組態方案



內容提要
Windows 的安全組態。
作業系統的安全將決定網路的安全，從保護等級上分成安全初級篇、中級篇和進階篇，共 36 條基本組態原則。
安全組態初級篇講述一般的作業系統安全組態，中級篇介紹作業系統的安全原則組態，進階篇介紹作業系統安全訊息通信組態。
作業系統概述
目前伺服器常用的作業系統有三類：
Unix
Linux
Windows NT/2000/2003 Server 。
這些作業系統都是符合 C2 級安全層次的作業系統。但是都存在不少漏洞，如果對這些漏洞不瞭解，不採取相應的措施，就會使作業系統完全暴露給入侵者。
UNIX 系統
UNIX 作業系統是由美國貝爾實驗室開發的一種多用戶、多工作的通用作業系統。它從一個實驗室的產品發展成為當前使用普遍、影響深遠的主流作業系統。
UNIX 誕生於 20 世紀 60 年代末期，貝爾實驗室的研究人員於 1969 年開始在 GE645 電腦上實現一種分時作業系統的雛形，後來該系統被移植到了 DEC 的 PDP-7 小型機上。
1970 年給系統正式取名為 Unix 作業系統。到 1973 年， Unix 系統的絕大部分來源碼都用 C 語言重新編寫過，大大提高了 Unix 系統的可移植性，也為提高系統軟體的開發效率創造了條件。
主要特色
UNIX 作業系統經過 20 多年的發展後，已經成為一種成熟的主流作業系統，並在發展程序中逐步形成了一些新的特色，其中主要特色包括 5 個方面。
（ 1 ）可靠性高
（ 2 ）極強的伸縮性
（ 3 ）網路功能強
（ 4 ）強大的資料庫支持功能
（ 5 ）開放性好
Linux 系統
Linux 是一套可以免費使用和自由傳播的類 Unix 作業系統，主要用於關於 Intel x86 系列 CPU 的電腦上。這個系統是由全世界各地的成千上萬的程序員設計和實現的。其目的是建立不受任何商品化軟體的版權制約的、全世界都能自由使用的 Unix 相容產品。
Linux 最早開始於一位名叫 Linus Torvalds 的電腦業餘愛好者，當時他是芬蘭赫爾辛基大學的學生。
目的是想設計一個替代 Minix （是由一位名叫 Andrew Tannebaum 的 電腦 教授編寫的一個作業系統示教學序）的作業系統。這個作業系統可用於 386 、 486 或奔騰處理器的個人電腦上，並且具有 Unix 作業系統的全部功能。
Linux 是一個免費的作業系統，用戶可以免費獲得其來源碼，並能夠隨意修改。
它是在共用許可證 GPL(General Public License) 保護下的自由軟體，也有好幾種版本，如 Red Hat Linux 、 Slackware ，以及國內的 Xteam Linux 、紅旗 Linux 等等。 Linux 的流行是因為它具有許多優點，典型的優點有 7 個。
Linux 典型的優點有 7 個。
（ 1 ）完全免費
（ 2 ）完全相容 POSIX 1.0 標準
（ 3 ）多用戶、多工作
（ 4 ）良好的介面
（ 5 ）豐富的網路功能
（ 6 ）可靠的安全、穩定效能
（ 7 ）支持多種平台
Windows系統
Windows系統是當今最流行的作業系統,發展經過WIN9X、WINME、WINXP、NT3.0、NT40、NT5.0（Windows 2000）和NT6.0（Windows 2003）等眾多版本，並逐步佔據了廣大的中小網路作業系統的市場。
Windows NT以後的版本的作業系統使用了與Windows 9X完全一致的用戶介面和完全相同的操作方法，使用戶使用起來比較方便。與Windows 9X相比，Windows NT及後續版本的網路功能更加強大並且安全。
Windows NT以後的作業系統具有以下三方面的優點。
（1）支持多種網路傳輸協定
由於在網路中可能存在多種客戶端機，如Windows 95/98、Apple Macintosh、Unix、OS/2等等，而這些客戶端機可能使用了不同的網路傳輸協定，如TCP/IP傳輸協定、IPX/SPX等。Windows NT以後的作業系統操作支持幾乎所有一般的網路傳輸協定。
（2）內裝Internet功能
隨著Internet的流行和TCP/IP傳輸協定組的標準化，Windows NT以後的作業系統內裝了IIS（Internet Information Server），可以使網路管理員輕鬆的組態WWW和FTP等服務。
（3）支持NTFS文件系統
Windows 9X所使用的文件系統是FAT，在NT中內裝同時支持FAT和NTFS的磁牒分區格式。使用NTFS的好處主要是可以提高文件管理的安全性，用戶可以對NTFS系統中的任何文件、目錄設定權限，這樣當多用戶同時訪問系統的時候，可以增加文件的安全性。


安全組態方案初級篇


安全組態方案初級篇主要介紹一般的作業系統安全組態，包括十二條基本組態原則：
物理安全、停止Guest 帳號、限制用戶數量
新增多個管理員帳號、管理員帳號改名
陷阱帳號、更改預設值權限、設定安全密碼
螢幕保護密碼、使用NTFS 分區
執行防毒軟體和確保制作備份盤安全。
1 、物理安全
伺服器應該安放在安裝了監視器的隔離房間內，並且監視器要保留 15 天以上的攝像記錄。
另外，機箱，鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進入房間也無法使用電腦，鑰匙要放在安全的地方。
2 、停止 Guest 帳號
在電腦管理的用戶裡面把 Guest 帳號停用，任何時候都不允許 Guest 帳號登入系統。
為了保險起見，最好給 Guest 加一個複雜的密碼，可以開啟記事本，在裡面輸入一串包含特殊字串 , 數位，字母的長字串串。
用它作為 Guest 帳號的密碼。並且修改 Guest 帳號的內容，設定拒絕遠端訪問，如圖 1 所顯示

。
3 限制用戶數量
去掉所有的測試帳戶、共享帳號和普通部門帳號等等。用戶群組原則設定相應權限，並且經常檢查系統的帳戶，移除已經不使用的帳戶。
帳戶很多是黑客們入侵系統的突破口，系統的帳戶越多，黑客們得到合法用戶的權限可能性一般也就越大。
對於 Windows NT/2000/XP 主機，如果系統帳戶超過 10 個，一般能找出一兩個弱密碼帳戶，所以帳戶數量不要大於 10 個。
4 多個管理員帳號
雖然這點看上去和上面有些矛盾，但事實上是服從上面規則的。新增一個一般用戶權限帳號用來處理電子郵件以及處理一些日常事物，另一個擁有 Administrator 權限的帳戶只在需要的時候使用。
因為只要登入系統以後，密碼就儲存於再 WinLogon 工作中，當有其他用戶入侵電腦的時候就可以得到登入用戶的密碼，盡量減少 Administrator 登入的次數和時間。
5 管理員帳號改名
Windows 2000和Windows Xp中的 Administrator 帳號是不能被停用的，這意味著別人可以一遍又一邊的嘗試這個帳戶的密碼。把 Administrator 帳戶改名可以有效的防止這一點。

不要使用 Admin 之類的名字，改了等於沒改，盡量把它偽裝成普通用戶，比如改成： guestone 。具體操作的時候只要選帳戶名改名就可以了，如圖所顯示。

6 陷阱帳號
所謂的陷阱帳號是新增一個名為 「Administrator」 的本機帳戶，把它的權限設定成最低，什麼事也幹不了的那種，並且加上一個超過 10 位的超級複雜密碼。
這樣可以讓那些企圖入侵者忙上一段時間了，並且可以借此發現它們的入侵企圖。可以將該用戶隸屬的組修改成 Guests 組，如圖所顯示。
\



7 更改預設值權限
共享文件的權限從 「Everyone」 組改成 「 使用權用戶 」 。 「Everyone」 在 Windows 2000 中意味著任何有權進入你的網路的用戶都能夠獲得這些共享資料。
任何時候不要把共享文件的用戶設定成 「Everyone」 組。包括列印共享，預設值的內容就是 「Everyone」 組的，一定不要忘了改。設定某資料夾共享預設值設定如圖所顯示。

8 安全密碼
好的密碼對於一個網路是非常重要的，但是也是最容易被忽略的。
一些網路管理員新增帳號的時候往往用公司名，電腦名稱，或者一些別的一猜就到的字串做用戶名，然後又把這些帳戶的密碼設定得比較簡單，比如： 「welcome」 、 「iloveyou」 、 「letmein」 或者和用戶名相同的密碼等。這樣的帳戶應該要求用戶首此登入的時候更改成複雜的密碼，還要注意經常更改密碼。
這裡給好密碼下了個定義：安全期內無法破解出來的密碼就是好密碼，也就是說，如果得到了密碼文件，必須花 43 天或者更長的時間才能破解出來，密碼原則是 42 天必須改密碼。如圖所顯示 .



9 螢幕保護密碼
設定螢幕保護密碼是防止內部人員破壞伺服器的一個屏障。注意不要使用 OpenGL 和一些複雜的螢幕保護程序，浪費系統資源，無顯示就可以了。
還有一點，所有系統用戶所使用的機器也最好加上螢幕保護密碼。
將螢幕保護的選項 「 密碼保護 」 選就可以了，並將等待時間設定為最短時間 「1 秒 」 ，如圖所顯示。

10 NTFS 分區
把伺服器的所有分區都改成 NTFS 格式。 NTFS 文件系統要比 FAT 、 FAT32 的文件系統安全得多。
11 防毒軟體
Windows沒有安裝防毒軟體的，一些好的殺毒軟體不僅能殺掉一些著名的病毒，還能查殺大量木馬和後門程序。建議使用NOD32等殺毒軟體,具體可以去安全區討論.設定了防毒軟體，「黑客」們使用的那些有名的木馬就毫無用武之地了，並且要經常昇級病毒庫。
12 制作備份盤的安全
一旦系統資料被黑客破壞，制作備份盤將是恢復資料的唯一途徑。制作備份完資料後，把制作備份盤防在安全的地方。
不能把資料制作備份在同一台伺服器上，這樣的話還不如不要制作備份。


安全組態方案中級篇



安全組態方案中級篇主要介紹作業系統的安全原則組態，包括十條基本組態原則：
作業系統安全原則、關閉不必要的服務
關閉不必要的連接阜、開啟稽核原則
開啟密碼原則、開啟帳戶原則、制作備份敏感文件
不顯示上次登入名、禁止建立空連接和下載最新的修正檔
1 作業系統安全原則
利用 Windows 2000 的安全組態工具來組態安全原則，微軟提供了一套的關於管理控制台的安全組態和分析工具，可以組態伺服器的安全原則。
在系統管理工具中可以找到 「 本機安全原則 」 ，主介面如圖所顯示。

可以組態四類安全原則：帳戶原則、本機原則、公鑰原則和 IP 安全原則。在預設值的情況下，這些原則都是沒有開啟的。
2 關閉不必要的服務
Windows 的 Terminal Services （終端服務）和 IIS （ Internet 訊息服務）等都可能給系統帶來安全漏洞。
為了能夠在遠端方便的管理伺服器，很多機器的終端服務都是開著的，如果開了，要驗證已經正確的組態了終端服務。
有些惡意的程序也能以服務方式悄悄的執行伺服器上的終端服務。要留意伺服器上開啟的所有服務並每天檢查。
Windows 及 WINXP 作為可禁用的服務及其相關說明如下表所顯示。
服務名
說明
Computer Browser
維護網路上電腦的最新列表以及提供這個列表
Task scheduler
允許程序在指定時間執行
Routing and Remote Access
在區域網路以及廣域網環境中為企業提供路由服務
Removable storage
管理可移動媒體、驅動程式和庫
Remote Registry Service
允許遠端註冊表操作
Print Spooler
將文件載入到記憶體中以便以後列印。要用列印機的用戶不能禁用這項服務
IPSEC Policy Agent
管理 IP 安全原則以及啟動 ISAKMP/Oakley(IKE) 和 IP 安全驅動程式
Distributed Link Tracking Client
當文件在網路域的 NTFS 磁碟區中移動時傳送通知
Com+ Event System
提供事件的自動發佈到訂閱 COM 元件
3 關閉不必要的連接阜
關閉連接阜意味著減少功能，如果伺服器安裝在防火牆的後面，被入侵的機會就會少一些，但是不可以認為高枕無憂了。
用連接阜掃瞄器掃瞄系統所開放的連接阜，在 Winnt\system32\drivers\etc\services 文件中有知名連接阜和服務的對照表可供參考。該檔案用記事本開啟如圖所顯示。

設定本地機開放的連接阜和服務，在 IP 位址設定視窗中點擊按鈕 「 進階 」 ，如圖所顯示。



在出現的對話視窗中選項選擇項 「 選項 」 ，選 「TCP/IP 篩選 」 ，點擊按鈕 「 內容 」 ，如圖所顯示。



設定連接阜介面如圖所顯示。



一台Web伺服器只允許TCP的80連接阜通過就可以了。個人電腦可以不使用，我們說的禁止連接阜就可以在這裡進行。而不用防火牆來進行！.TCP/IP篩選器是Windows原有的的防火牆，功能比較強大，可以替代防火牆的部分功能。
4 開啟稽核原則
安全稽核是 Windows 2000 最基本的入侵檢測方法。當有人嘗試對系統進行某種方式（如嘗試用戶密碼，改變帳戶原則和未經許可的文件訪問等等）入侵的時候，都會被安全稽核記錄下來。
很多的管理員在系統被入侵了幾個月都不知道，直到系統遭到破壞。表 2 的這些稽核是必須開啟的，其他的可以根據需要增加。

稽核原則在預設值的情況下都是沒有開啟的，如圖所顯示。

雙按稽核列表的某一項，出現設定對話視窗，將複選框 「 成功 」 和 「 失敗 」 都選，如圖所顯示。

5 開啟密碼原則
密碼對系統安全非常重要。本機安全性設定中的密碼原則在預設值的情況下都沒有開啟。需要開啟的密碼原則如表所顯示
原則
設定
密碼複雜性要求
啟用
密碼長度最小值
6 位
密碼最長存留期
15 天
強制密碼歷史
5 個
設定選項如圖所顯示。



6 開啟帳戶原則
開啟帳戶原則可以有效的防止字典式攻擊，設定如表所顯示。
原則
設定
復位帳戶鎖定計數器
30 分鍾
帳戶鎖定時間
30 分鍾
帳戶鎖定閾值
5 次
設定帳戶原則
設定的結果如圖所顯示。

7 制作備份敏感文件
把敏感文件存放在另外的文件伺服器中，雖然伺服器的硬碟容量都很大，但是還是應該考慮把一些重要的用戶資料（文件，資料表和項目文件等）存放在另外一個安全的伺服器中，並且經常制作備份它們
8 不顯示上次登入名
預設值情況下，終端服務接入伺服器時，登入對話視窗中會顯示上次登入的帳戶名，本機的登入對話視窗也是一樣。黑客們可以得到系統的一些用戶名，進而做密碼猜測。
修改註冊表禁止顯示上次登入名，在 HKEY_LOCAL_MACHINE 主鍵下修改子鍵：
Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName ，將鍵值改成 1 ，如圖所顯示。


9 禁止建立空連接
預設值情況下，任何用戶通過空連接連上伺服器，進而可以枚舉出帳號，猜測密碼。
可以通過修改註冊表來禁止建立空連接。在 HKEY_LOCAL_MACHINE 主鍵下修改子鍵：
System\CurrentControlSet\Control\LSA\RestrictAnonymous ，將鍵值改成 「 1」 即可。如圖所顯示。

10 下載最新的修正檔
很多初學者沒有訪問安全站點的習慣，以至於一些漏洞都出了很久了，還放著漏洞不補給人家當靶子用。
誰也不敢保證數百萬行以上程式碼的 Windows 不出一點安全漏洞。
經常訪問微軟和一些安全站點，下載最新的 Service Pack 和漏洞修正檔，是保障伺服器長久安全的唯一方法。
點開始-windows update去打上最新修正檔


安全組態方案進階篇



進階篇介紹作業系統安全訊息通信組態，包括十四條組態原則：
關閉 DirectDraw 、關閉預設值共享
禁用 Dump File 、文件加密系統
加密 Temp 資料夾、鎖住註冊表、關機時清除文件
禁止軟碟光碟啟動、使用智能卡、使用 IPSec
禁止判斷主機檔案類型、抵抗 DDOS
禁止 Guest 訪問日誌和資料恢復軟體
1 關閉 DirectDraw
C2 級安全標準對視瀕卡和記憶體有要求。關閉 DirectDraw 可能對一些需要用到 DirectX 的程序有影響（比如遊戲），但是對於絕大多數的商業站點都是沒有影響的。
在 HKEY_LOCAL_MACHINE 主鍵下修改子鍵：
SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout ，將鍵值改為 「 0」 即可，如圖 17 所顯示
也可以在開始選單的執行中 dxdiag, 在裡面的顯示選擇項中點禁用 DirectDraw 加速。

2 關閉預設值共享
Windows 安裝以後，系統會新增一些隱藏的共享，可以在 DOS 提示號下輸入指令 Net Share 檢視，如圖所顯示。

停止預設值共享
在 Windows Xp 下可以輸入 net share 共享硬碟符 $ /del, 如下圖
http://www.ccqmzg.com/crsky/image/image040.jpg
在 WINDOWS2000 下可以開啟系統管理工具 > 電腦管理 > 共享文件
夾 > 共享，在相應的共用資料夾上按右鍵，點停止共享即可，如圖所顯示。

3 禁用 Dump 文件
在系統崩潰和顯示藍色的時候， Dump 文件是一份很有用資料，可以說明 尋找問題。然而，也能夠給黑客提供一些敏感訊息，比如一些應用程式的密碼等
需要禁止它，開啟控制台 > 系統內容 > 進階 > 啟動和故障恢復，把事件寫入系統日去掉勾，如圖所顯示。

4 文件加密系統
Windows強大的加密系統能夠給磁牒，資料夾，文件加上一層安全保護。這樣可以防止別人把你的硬碟掛到別的電腦上以讀出裡面的資料。
微軟公司為了彌補 Windows NT 4.0 的不足，在 Windows 2000 及後續版本中，提供了一種關於新一代 NTFS ： NTFS V5 （第 5 版本）的加密文件系統（ Encrypted File System ，簡稱 EFS ）。
EFS 實現的是一種關於公共密鑰的資料加密方式，利用了 WindowsNT 結構中的 CryptoAPI 結構。
5 加密 Temp 資料夾
一些應用程式在安裝和昇級的時候，會把一些東西拷貝到 Temp 資料夾，但是當程序昇級完畢或關閉的時候，並不會自己清除 Temp 資料夾的內容。
所以，給 Temp 資料夾加密可以給你的文件多一層保護。


6 鎖住註冊表
在 Windows2000 中，只有 Administrators 和 Backup Operators 才有從網路上訪問註冊表的權限。當帳號的密碼洩漏以後，黑客也可以在遠端訪問註冊表，當伺服器放到網路上的時候，一般需要鎖定註冊表。修改 Hkey_current_user 下的子鍵
Software\microsoft\windows\currentversion\Policies\system
把 DisableRegistryTools 的值該為 0 ，檔案類型為 DWORD ，如圖所顯示。




7 關機時清除文件
頁面文件也就是調度文件，是 Windows 2000 用來儲存於沒有裝入記憶體的程序和資料檔案部分的隱藏文件。雖然浪費了一些時間偶認為是值得的拉 !
一些第三方的程序可以把一些沒有的加密的密碼存在記憶體中，頁面文件中可能含有另外一些敏感的資料。要在關機的時候清楚頁面文件，可以編輯註冊表 修改主鍵 HKEY_LOCAL_MACHINE 下的子鍵：
SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
把 ClearPageFileAtShutdown 的值設定成 1 ，如圖所顯示。

8 禁止軟碟光碟啟動
一些第三方的工具能通過啟始系統來繞過原有的安全機制。比如一些管理員工具，從軟碟上或者光碟上啟始系統以後，就可以修改硬碟上作業系統的管理員密碼。

如果電腦對安全要求非常高，可以考慮使用可移動軟碟和光碟，把機箱鎖起來仍然不失為一個好方法。
9 使用智能卡
對於密碼，總是使安全管理員進退兩難，容易受到一些工具的攻擊，如果密碼太複雜，用戶把為了記住密碼，會把密碼到處亂寫。
如果條件允許，用智能卡來替代複雜的密碼是一個很好的解決方法。
10 使用 IPSec
正如其名字的含義， IPSec 提供 IP 資料包的安全性。
IPSec 提供身份驗證、完整性和可選項的機密性。傳送方電腦在傳輸之前加密資料，而接收方電腦在收到資料之後解密資料。
利用 IPSec 可以使得系統的安全效能大大增強。
11 禁止判斷主機檔案類型
黑客利用 TTL （ Time-To-Live ，活動時間）值可以鑒別作業系統的檔案類型，通過 Ping 指令能判斷目標主機檔案類型。 Ping 的用處是檢測目標主機是否連通。
許多入侵者首先會 Ping 一下主機，因為攻擊某一台電腦需要根據對方的作業系統，是 Windows 還是 Unix 。如過 TTL 值為 128 就可以認為你的系統為 Windows 2000 ，如圖所顯示。

從圖中可以看出， TTL 值為 128 ，說明改主機的作業系統是 Windows 2000 作業系統。表指出了一些一般作業系統的對照值。
作業系統檔案類型
TTL 返回值
Windows 2000
128
Windows NT
107
win9x
128 or 127
solaris
252
IRIX
240
AIX
247
Linux
241 or 240

修改 TTL 的值，入侵者就無法入侵電腦了。比如將作業系統的 TTL 值改為 111 ，修改主鍵 HKEY_LOCAL_MACHINE 的子鍵：
SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS
新增一個雙字元項，如圖所顯示。

在鍵的名稱中輸入 「defaultTTL」 ，然後雙按改鍵名，選項單選框 「 十進制 」 ，在文本項中輸入 111 ，如圖所顯示。

設定完畢重新啟動電腦，再用 Ping 指令，發現 TTL 的值已經被改成 111 了，如圖所顯示。

12 抵抗 DDOS
增加註冊表的一些鍵值，可以有效的抵抗 DDOS 的攻擊。在鍵值
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters] 下增加回應的鍵及其說明如下所顯示。
增加的鍵值 鍵值說明
"EnablePMTUDiscovery"=dword:00000000
"NoNameReleaseOnDemand"=dword:00000000
"KeepAliveTime"=dword:00000000
"PerformRouterDiscovery"=dword:00000000 基本設定
"EnableICMPRedirects"=dword:00000000 防止 ICMP 重轉發IP報文的攻擊
"SynAttackProtect"=dword:00000002 防止 SYN 洪水攻擊
"TcpMaxHalfOpenRetried"=dword:00000080 僅在 TcpMaxHalfOpen 和 TcpMaxHalfOpenRetried 設定超出範圍時 , 保護機制才會採取措施
"TcpMaxHalfOpen"=dword:00000100
"IGMPLevel"=dword:00000000 不支持 IGMP 傳輸協定
"EnableDeadGWDetect"=dword:00000000 禁止死網路閘道監測技術
"IPEnableRouter"=dword:00000001 支持路由功能
13 禁止 Guest 訪問日誌
在預設值安裝的 Windows NT 和 Windows 2000 中， Guest 帳號和匿名用戶可以檢視系統的事件日誌，可能導致許多重要訊息的洩漏，修改註冊表來禁止 Guest 訪問事件日誌。
禁止 Guest 訪問套用日誌
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application 下增加鍵值名稱為： RestrictGuestAccess ，檔案類型為： DWORD ，將值設定為 1 。
系統日誌：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System 下增加鍵值名稱為： RestrictGuestAccess ，檔案類型為： DWORD ，將值設定為 1 。
安全日誌
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security 下增加鍵值名稱為： RestrictGuestAccess ，檔案類型為： DWORD ，將值設定為 1 。

14 資料恢復軟體
當資料被病毒或者入侵者破壞後，可以利用資料恢復軟體可以找回部分被移除的資料，在恢復軟體中一個著名的軟體是 Easy Recovery 。軟體功能強大，可以恢復被誤移除的文件、丟失掉的硬碟分區等等。軟體的主介面如圖所顯示。

比如原來在 E 碟上有一些資料檔案，被黑客移除了，選項左邊欄目 「Data Recovery」 ，然後選項左邊的按鈕 「Advanced Recovery」 ，如圖所顯示。

進入 Advanced Recovery 對話視窗後，軟體自動掃瞄出目前硬碟分區的情況，分區訊息是直接從分區表中讀取出來的，如圖所顯示。


現在要恢復 E 碟上的文件，所以選項 E 盤，點擊按鈕 「Next」 ，如圖所顯示。


軟體開始自動掃瞄該碟上曾經有哪些被移除了文件，根據硬碟的大小，需要一段比較長的時間，如圖所顯示。


掃瞄完成以後，將該碟上所有的文件以及資料夾顯示出來，包括曾經被移除文件和資料夾，如圖 32 所顯示。


選某個資料夾或者文件前面的複選框，然後點擊按鈕 「Next」 ，就可以恢復了。如圖所顯示。

在恢復的對話視窗中選項一個本機的資料夾，將文件儲存到該檔案夾中，如圖所顯示。

選項一個資料夾後，點擊按鈕 「Next」 ，就出現了恢復的進度對話視窗，如圖所顯示。

bios也可以设置密码
还有安全模式下一般人会忘记设置密码，也要注意

[superxboy]

非常詳盡的圖文解說...^^