3. 在远离计算机的时间始终锁定屏幕或登出用户

　　在离开的时间留下支持用户登入所有应用都处于激活状态的计算机，是让未经授权的人获得系统中的大量信息最快和最简单的方式。如果你离开的时间，磁盘解密功能是处于运行的状态，全磁盘加密并不会给信息安全带来保障，只要有足够的时间，就可以通过USB闪存设备将机密文件复制出来，甚至也许更容易，只要通过GMail或者雅虎邮箱将数据发送给本人就可以了。使用系统的屏幕锁功能，以防止这种物理连接行为。举例来说，你可以为屏幕保护程序设定密码，或者在离开的时间登出系统，这样的话，任何人想进入系统都必须再次登入。

　　在默认状态下，一些图形用户界面环境并不包含这样的功能，我选择的窗口管理器(AHWM和wmii)就属于这样的情况。并且，象这样的轻量级图形用户界面环境也没有相关的设置;我选择一个称做slock的屏幕锁定工具来实现这样的功能，尽管它非常小，但功能非常出色。如果你选择使用它的话，请务必记得要登出TTY控制台，因为slock本身只会锁定X会话，TTY控制台是不包括在内的。

　　4. 为加密工具选择只使用内存的安全部分

　　正如我在《“不安全的内存”常见问题解答》一文中所解释的，加密工具会将密码保存在可以使用的空间里，因此，当计算机系统内存被大量占用的时间，原先保存在内存中的数据就可能被交换到磁盘上(举例来说，根据微软的官方术语，叫做存储页文件)。如果这样的情况出现了，就可能出现在关闭系统后数据还是存在的问题。这时间，只要坐在硬盘前，运行一个简单的分析工具，加密密码就被恢复了。

　　解决这个问题的关键是要确保你使用的内存是安全的：对于操作系统来说，不同用处的随机存取记忆的管理方式是不一样的，预留给某一特定应用的内存位置将永远不会被交换到磁盘。如果你希望了解详细的信息，可以参考《“不安全的内存”常见问题解答》一文。当出现这种情况的时间，请确保不要在关闭系统的时间就马上离开，应该稍微再等几分钟;因为存在拥有这样功能的恶意安全装置，只要物理连接到系统上，可以快速对随机存取记忆里保存的信息进行恢复。

　　5. 为未经授权的密码恢复操作设定阻碍措施

　　现在的大部分普通操作系统都提供了对由于系统误差和用户错误操作导致的密码失败恢复设置。其中的一些甚至提供了一种可以直接恢复或重设丢失的管理员密码的办法。这也就意味着，存在一种几乎不受到任何限制进入系统任何部分的方法(除了需要专门密码的加密文件)。其中最简单的一种就是进入备用操作模式，微软Windows操作系统的安全模式和Unix(包括Linux )单用户模式就属于这种情况。

　　在微软Windows操作系统的安全模式下，大部分安全软件都将被禁用，甚至通常使用的一些日志和加密工具也被包括在内。对于黑客来说，这是一个不错的攻击途径，可以方便地获得系统管理员帐户的密码;举例来说，微软Windows XP操作系统就可以创建没有密码的系统管理员帐户，对于安全实践来说，这是一个多么可怕的错误啊。为了防范这种情况的发生，就需要对安全模式进行设定，禁止未经授权的人随意地进入系统。不过，如果这个人比较了解技术，能够使用网络上大量存在的Windows操作系统密码恢复工具(而且是免费的)，这样的限制设定效果并没有多大。

　　另一方面，在Unix和类Unix操作系统中，绕过安全措施进行破解以获得root密码也是相当困难的。不过，这种操作系统提供了一种单用户模式，可以在没有正确设置的情况下，获得系统根级别的大部分权限。因此，你需要通过对TTY控制台的设置进行调整，取消root权限，来解决这个问题。在不同的操作系统下，相应的操作也是不一样的。举例来说，在FreeBSD和苹果MacOS操作系统下，你需要在/etc/ttys的文件里对配置进行调整，而在许多Linux操作系统里，它们位于/etc/securetty文件中。

　　结 论

　　显而易见，本文并不打算为你在公司网络的周边提供更好的安全，也不会教你如何进行现场调查或渗透测试。所有要做的，仅仅是提醒你安全的基础应该是个人，无论他们是什么背景(工作、家庭、学校等)，对于安全事故来说，最常见的原因依旧是用户的粗心大意。尽管内容可能不那么全面(毕竟，这仅仅这个列表仅仅包含了五项)，但也可以给你开始的方向。

　　通常情况下，安全链中最薄弱的环节就是用户。你的责任就是让这种情况不要成为现实。