返回列表 发帖

[转帖]windows98安全技巧大全

如何让我们的计算机更好地,安全地运行,是每一个用户都在思考的问题,本文下面将介绍如何利用Windows 98自身的功能实现对系统的安全控制,希望对广大用户的数据安全有所帮助。
一、对系统进行安全控制的基本思路
  公用微机的操作者一般分为三大类:第一类是系统管理员,他们拥有对系统的绝对控制权,一般来说没有必要对他们的权限进行限制;第二类是普通用户,他们使用计算机完成各种工作,因此必须获得一定的权限,不过也要防止他们超越权限或破坏系统;第三类为非法入侵者,他们根本无权使用计算机,对他们一定要将系统的一切功能全部屏蔽,使之无隙可乘。
  按照这个思路,我们首先必须对Windows 98的正常操作人员(包括超级用户)进行设置,将操作人员名单全部输入到系统中,然后分别对他们的权限进行适当设置,这样既保证了他们的安全,又禁止他们越权操作,最后便是采取措施,防止非法用户“入侵”,确保系统安全。
二、微机操作人员的设置
  Windows 95系统是一个多用户操作系统,但它在用户管理方面却非常混乱,非法入侵者甚至可以在启动时通过密码确认框直接添加新的用户,这对我们控制系统带来了很大的不便。不过Windows 98对此进行了改进,它提供了用户名的选择性登录功能,我们可事先将所有用户全部添加到系统中,然后由系统在启动时将这些用户列表显示出来,不同用户从中选择自己的用户名并输入相应的密码之后即可以自己的名义启动系统,而非法用户则无法通过密码确认框直接创建新用户,他们只能通过按下“取消”按钮或Esc键来进入系统。这样,机器便能明确地区分正常用户(包括超级用户和普通用户)与非法入侵者——通过登录框选择用户名并输入密码进入的是正常用户,使用“取消”按钮进入的是非法入侵者,我们可以据此分别对他们的权限进行限制。
  须要说明的是,Windows 98在默认情况下仍然采用与Windows 95相同的“老式”用户名登录方式,我们想要使用用户名选择性登录方式则应执行如下步骤:
  下面1~4步骤主要用于在Windows 98中设置用户名及密码,若用户已经设置过,则可跳过这些步骤,直接从第5步开始。
  1.双击Windows 98“控制面板”中的“密码”图标,打开“密码属性”设置框。
  2.复选“用户可自定义首选项及桌面设置,登录时,Windows将自动启用个人设置”选项(如图1)。
  3.根据需要决定是否选择将“开始”菜单添加到用户的自定义设置中(一般应选择“是”),然后单击“确定”按钮,接着根据屏幕提示设置适当的用户密码。
  4.单击“确定”按钮退出设置框。
  重新启动计算机,此时系统就会弹出一个常规性的密码设置窗口,我们可输入刚设置的用户名及密码,按正常方式启动Windows 98。
  5.启动“控制面板”,双击“网络”图标,打开“网络”设置框。
  6.在“网络”设置框中选择“配置”选项卡。
  7.从“主网络登录”列表框中选择“Microsoft友好登录”选项(如图2)。
  8.单击“确定”按钮并重新启动计算机。
  此后,Windows 98启动时弹出的密码设置框就会发生根本性的变化,它会将所有已经添加的用户名全部以列表方式显示出来(如图3),广大用户只须在“选择用户名”列表框中选择自己的名称,然后再在“密码”框中输入相应的密码即可启动各自的系统配置。
  执行上述步骤之后,系统安装用户(超级用户)已经被添加到了Windows 98中,接下来我们就应将操作用户(普通用户)添加到Windows 98中。由于采用选择性登录方式,系统不允许直接在Windows 98的用户登录窗口中创建新的用户,我们必须通过双击“控制面板”中的“用户”图标,打开“添加用户”窗口(如图4),并在“添加用户”向导的帮助下逐步将本台计算机上所有普通用户的用户名及密码逐一添加到系统中(此后他们就会出现在Windows 98的启动登录框中),然后我们就可以分别对这些用户的权限进行设置了。
三、对超级用户权限的设置
  对超级用户而言,其操作权限一般不应作太多限制(否则谁来对系统进行控制呢?),不过我们仍须对电源管理、屏幕保护等功能设置必要的密码,以维护自己离机时系统的安全,防止其他用户非法入侵。为此,我们可重新启动计算机,当系统弹出用户登录框时选择自己的名字并输入相应的密码,采用超级用户身份登录系统,然后根据需要分别对有关密码进行设置。
(一)为Windows 98的电源管理功能设置密码
1.单击“开始”按钮,然后依次选择“设置”、“控制面板”,启动Windows 98的控制面板。
2.双击“控制面板”中的“电源管理”图标,打开“电源管理属性”设置框。
3.从“电源管理属性”设置框中选择“高级”标签。
4.复选“计算机退出待机状态时提示输入密码”选项(如图5)。
5.选择“电源管理属性”设置框中的“电源方案”标签。
6.在“系统等待状态”列表框中选择计算机在没有操作多长时间之后自动启动电源管理功能(即进入“挂起”状态),主要有“从1分钟之后”到“从不”等多种选项,我们应根据需要选择不同的选项,笔者建议选择“从10分钟之后”。
7.为关闭监视器和关闭硬盘设置合适的时间间隔。
8.单击“确定”按钮,关闭“电源管理属性”设置框。
这样我们就启动了Windows 98的电源管理功能,并为其设置了保护的密码,今后如果用户在指定的时间(10分钟)内没有对计算机进行任何操作(包括移动键盘和鼠标),计算机就将自动进入“挂起”状态,以便节省电力消耗(注:单击“开始”按钮并选择“关闭系统”命令,然后从弹出的“关闭系统”对话框中选择“将您的计算机转入睡眠状态”也可达到同样的目的),而后用户通过敲击键盘或移动鼠标来激活计算机时,系统将会要求用户输入密码(如图6),不输入密码将不能返回正常状态,这就进一步保护了用户数据的安全。注意,Windows 98电源管理功能并没有自己单独的密码,它的密码与用户的启动密码相同,你到时候可别以为自己忘了密码哦!
(二)为屏幕保护程序设置密码
1.用鼠标右键单击桌面空白处,然后从弹出的快捷菜单中执行“属性”命令,打开“显示属性”设置框。
2.单击“屏幕保护程序”标签,然后从“屏幕保护程序”列表框中选择所需的屏幕保护程序,复选“密码保护”选项。
3.单击“更改”按钮,打开“更改密码”对话框(如图7),重复两次输入密码并单击“确定”按钮,关闭“更改密码”对话框。
4.单击“设置”按钮,对屏幕保护的有关功能进行适当设置:在“等待”框中设置多长时间不使用计算机后系统自动启动屏幕保护(一般可选择5分钟)。
5.单击“确定”按钮,保存设置并关闭“显示属性”设置框。
  这样,我们就达到了为屏幕保护设置密码的目的。此后只要我们离开计算机(即不操作计算机)的时间达到5分钟,系统就会自动启动屏幕保护程序,而当用户移动鼠标或敲击键盘想返回正常工作状态时,系统就会打开一个密码确认框(如图8),只有输入正确的密码之后才能返回系统,不知道密码的用户将无法进入工作状态,从而保护了数据的安全。须要说明的是,部分设计不完善的屏幕保护程序没有屏蔽系统的Ctrl+Alt+Del组合键,非法用户只要按下Ctrl+Alt+Del键即可强行将这些屏幕保护程序关闭,从而使其失去应有的保护作用。判断一个屏幕保护程序是否屏蔽了Ctrl+Alt+Del组合键,可采用如下办法:为其设置密码后激活它,然后移动鼠标,打开它的密码确认框,再按下Ctrl+Alt+Del键。若能弹出“关闭程序”对话框则表明该程序没有屏蔽Ctrl+Alt+Del键,我们不能使用;若无法弹出“关闭程序”对话框则表明该程序屏蔽了Ctrl+Alt+Del键,可放心使用。
  屏幕保护最快只能在用户离开1分钟之后自动启动,这就存在一个时间差的问题!难道我们必须坐在计算机旁等待X分钟看到屏幕保护激活之后才能再离开吗?当然不是!我们只须打开Windows 98的SYSTEM子目录,找到相应的屏幕保护程序(*.SCR文件),按住鼠标右键将它们拖曳到桌面上,选择弹出菜单中的“在当前位置创建快捷方式”命令,在桌面上为这些屏幕保护程序建立一个快捷方式。此后,我们在离开计算机时双击这个快捷方式即可快速启动屏幕保护。
  另外,利用屏幕保护程序的密码保护功能,我们还可令Windows 98一启动就自动运行屏幕保护程序,此后只有输入密码才能启动计算机。不过此功能绝对不能通过Windows 98的“启动”程序组来实现(Windows 98“启动”程序组中的所有程序在启动时都可通过按下Ctrl键跳过,从而无法启动屏幕保护功能),只有通过修改注册表数据才能确保设置万无一失。具体步骤为:
1.运行regedit命令,打开注册表编辑器;
2.展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run分支;
3.在Run主键中新建一个名为“密码确认”的字符串值;
4.双击新建的“密码确认”字符串,打开“编辑字符串”对话框;
5.在“编辑字符串”对话框的“键值”栏中输入相应的屏幕保护程序名及所在的路径(如图9)。
  通过这样的设置,此后每次启动Windows 98时屏幕保护程序都会自动运行(利用Ctrl键试图跳过启动程序和按Ctrl+Alt+Del试图强行关闭系统都无能为力),只有在输入密码之后才能使用,从而确保了系统的安全。
  注:电源管理密码和屏幕保护密码的作用基本类似,但各有优势。如电源管理功能的密码可区分不同用户,适合于多用户同时使用,而屏幕保护功能则无法设置多用户,不同用户必须设置不同的屏幕保护程序,操作不太方便;另一方面,屏幕保护功能的运用比较灵活(如我们可实现一开机就进入屏幕保护状态),而电源管理功能在这方面相对要差一些,用户应根据自己的实际情况选用其一。
(三)禁止光盘的自动运行功能
  为屏幕保护设置密码之后我们就万无一失了吗?不!光盘的自动运行功能会给我们带来麻烦。众所周知,Windows 98具有自动运行光盘的功能,当我们在光驱中插入CD之后,CD会自动进行播放,而当我们插入根目录中带有AUTORUN.INF文件的光盘之后,光盘也会自动运行。Windows 98的屏幕保护功能并没有禁止光盘的自动运行功能,也就是说即使处于屏幕保护程序密码的控制之下,用户在插入一张根目录中含有AUTORUN.INF文件的光盘之后,系统仍会自动运行,这就给恶意攻击者带来了可乘之机(据说市面上已经出现了一种专门用于破解屏幕保护程序密码的自动运行光盘,插入该光盘后,系统就会自动对屏幕保护功能的密码进行分析并破译出密码,然后再将密码写到软盘上,接下来……),因此我们必须将光盘的自动运行功能关闭,让屏幕保护真正发挥它应有的安全保护作用。关闭光盘的自动运行功能,可以按如下步骤操作:
1.用鼠标右键单击“我的电脑”图标,然后从弹出的快捷菜单中执行“属性”命令,打开“系统属性”设置框;
2.单击“设备管理器”标签;
3.展开CDROM分支,从中选择用户所使用的光驱;
4.单击“属性”按钮,打开光驱属性设置框;
5.单击“属性”标签;
6.取消“自动插入功能”选项(如图10);
7.连续单击两次“确定”按钮,保存设置并退出所有对话框。
  执行上述步骤后,无论谁在光驱中插入根目录中含有AUTORUN. INF文件的光盘之后,系统都不会自动运行。美中不足的是,本方法非常“霸道”——除光盘的自动运行功能之外,CD的自动播放功能也将被“牵连”,也就是说设置此功能后,系统将不会再自动播放插入的CD。有没有两全其美的办法呢?回答是肯定的,下面的步骤可为我们排忧解难:
1.重复执行前述步骤,并在第6步中复选“自动插入功能”选项;
2.运行regedit命令,打开注册表编辑器;
3.展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer分支;
4.在Explorer主键中新建一个DWORD值,取名为“NoDriveTypeAutoRun”并将其值设置为1;
5.这样,光盘的自动运行功能将被禁止,插入根目录中含有AUTORUN.INF文件的光盘后将不会发生任何作用,而CD的自动播放功能则得以保存。

四、对普通用户权限的限制
  现在,我们来设置普通用户的权限。对这些用户,我们一方面应根据工作需要赋予他们适当的权限,如启动计算机,打开相应的应用程序,对自己的数据文件进行拷贝、删除等操作,以保证他们工作的正常开展;另一方面,为了防止他们对系统进行修改而破坏整个系统,必须对他们的权限进行必要的限制,如不允许他们使用控制面板中的某些设置项目以防任意修改系统;不允许使用注册表编辑器、隐藏系统文件所在的分区以防意外等。
  对普通用户权限进行设置的步骤为:
  启动Windows 98,系统弹出启动登录框后从中选择须要限制其权限的普通用户,并输入相应的密码,以该用户的身份进入系统。参照超级用户的有关步骤对电源管理、屏幕保护等项目设置密码,然后根据需要对他们的权限进行必要的限制(注意,由于工作原因,不同普通用户可能须要拥有不同的操作权限,因此我们在对他们的权限进行设置时必须根据实际情况有选择地加以限制),最后将启动密码、电源管理及屏幕保护的密码通知相应用户,要求其独立对这些初识密码进行更改。至此,我们对相应用户权限的限制工作也告完成,此后即可由他们在限制的权限内正常对计算机进行操作。对普通用户的权限进行限制的措施主要包括:
(一)删除“开始”菜单中的有关命令和项目
  为了防止用户利用Windows 98“开始”菜单上的“查找”、“运行”等命令来运行一些特殊的应用程序,我们必须采用适当方法将它们删除:
◆对“开始”菜单中“收藏夹”选项的操作:
1.运行Regedit命令,打开注册表编辑器;
2.展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer分支;
3.在Explorer主键下新建一个名为NoFavoritesMenu的DWORD值,双击该值,在“编辑DWORD值”对话框中将键值由0改为1;
4.单击“确定”按钮,关闭“编辑DWORD值”对话框,重新启动Windows 98,“开始”菜单中的“收藏夹”选项就会消失。
◆对“开始”菜单中“文档”选项的操作:
  利用上面相同的方法,在Explorer主键下新建一个名为“NoRecentDocsHistory”的DWORD值,并将其值修改为1,则“文档”菜单中的内容不能被修改;在Explorer主键下新建一个名为“ClearRecentDocs OnExit”的DWORD值,并将其值修改为1,则每次退出系统时,Windows 98将自动清除文档菜单中的历史记录,在Explorer主键下新建一个名为“NoRecentDocs Menu”的二进制值,并将其值修改为“01 00 00 00”,则“文档”菜单将从Windows的“开始”菜单中消失。
◆对“开始”菜单中“运行”选项的操作:
  利用上面相同的方法,在Explorer主键下新建一个名为“NoRun”的DWORD值,并将其值修改为1,则“运行”命令将从Windows 98的“开始”菜单中消失。
◆对“开始”菜单中“设置”选项的操作:
  利用上面相同的方法,在Explorer主键下新建一个名为“NoSetFolders”的二进制值,并将其值修改为“01 00 00 00”,则“设置”子菜单将从Windows 98的“开始”菜单中消失;在Explorer主键下新建一个名为“NoSetTaskbar”的二进制值,并将其值修改为“01 00 00 00”,我们将不能再对Windows 98的任务栏属性进行设置(前面设置了“NoSetFolders”二进制值之后,Windows 98的“设置”菜单不复存在,不过我们仍可通过右击Windows 98任务栏,并执行“属性”命令打开“任务栏”属性对话框,这显然不能满足我们关闭“任务栏”属性的要求,而设置此参数后,右击任务栏的方法也将失效)。
◆对“开始”菜单中“查找”选项的操作:
  利用上面相同的方法,在Explorer主键下新建一个名为“NoFind”的DWORD值,并将其值修改为1,“开始”菜单中的“查找”子菜单就会消失。
◆对“开始”菜单中“关闭系统”选项的操作:
  利用上面相同的方法,在Explorer主键下新建一个名为“NoClose”的DWORD值,并将其值修改为1,“关闭系统”命令就将从“开始”菜单中消失。
◆对“开始”菜单中“注销”选项的操作:
  利用上面相同的方法,在Explorer主键下新建一个名为“NoLogOff”的二进制值,并将其值修改为“01 00 00 00”,则“注销”命令将从Windows 98的“开始”菜单中消失。
◆取消用户的环境设置:
  利用上面相同的方法,在Explorer主键下新建一个名为“NoSaveSettings”的二进制值,并将其值修改为“01 00 00 00”,此后每次退出Windows 98时系统都不会保存用户对环境所作的设置。
经过上述设置后,可以满足不同用户的需要。
(二)隐藏“开始”菜单中的应用程序
  对于普通用户,我们可能要防止他们使用某些应用程序,这时就应采用下面的方法将Windows 98“开始”菜单中的应用程序隐藏起来:
1.用鼠标右键单击“开始”菜单,从弹出的快捷菜单中执行“打开”命令,打开“Start Menu”文件夹窗口;
2.在“Start Menu”文件夹窗口中找到希望隐藏的应用程序的快捷方式。
3.右击该快捷方式,然后从弹出的快捷菜单中执行“属性”命令,打开相应快捷方式的属性设置框。
4.复选“隐藏”选项,然后单击“确定”按钮,关闭所有对话框。
  此后,这些隐藏的快捷方式就会从Windows 98的“开始”菜单中消失,从而在一定程度上达到了保密的目的(取消这些快捷方式的隐藏属性后即可令其重新显示)。
(三)删除“网上邻居”等系统图标的技巧
  基于某些特殊需要,我们可能须要禁止普通用户使用桌面上的“网上邻居”、“我的文档”、“回收站”等系统图标,而它们又不能采用常规方法删除。为此,我们可执行如下步骤:
1.运行注册表编辑器Regedit打开注册表;
2.展开注册表数据库的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Desktop\Namespace主键;
3.此时我们可以从NameSpace 主键中看到“网上邻居”、“我的文档”、“回收站”等分支,只须删除这些分支即可达到删除桌面上相应系统图标的目的。
(四)在图形界面下隐藏某个驱动器图标
  为防止普通用户的破坏,我们可能希望将保存系统文件的磁盘分区(如C盘)以及光驱、软驱等隐藏起来,不允许他们对这些磁盘分区进行访问。为此我们可以进行下面的操作:
1.运行注册表编辑器Regedit打开注册表;
2.展开注册表数据库的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer分支;
3.用鼠标右键单击桌面空白处,然后执行快捷菜单中“新建”子菜单中的“二进制值”命令,创建一个名为“NoDrives”的二进制值。该二进制值(“NoDrives”)就是用于设置是否隐藏某个驱动器的,它由四个二进制字节构成(缺省值为00 00 00 00),每个字节的每一位都分别对应一个磁盘驱动器的盘符。当某位为1时,资源管理器及“我的电脑”中的相应驱动器图标即会隐藏起来。驱动器的值是这样确定的:A~Z的值依次为2的0至25次方,把要禁止的驱动器的值相加,转换为十六进制,就是NoDrives的键值。如要禁止A、D、E,则为1+8+16=25,转换为十六进制数19,修改NoDrives的值为“19 00 00 00”即可。
  完成上述操作后,相应的磁盘驱动器图标就会从Windows 98的图形界面中消失,我们无论是从“资源管理器”、“我的电脑”及有关文件的打开、关闭对话框还是在其它外挂文件管理器(如Windows Commander等)中都无法发现这些隐藏了的磁盘分区的踪迹,从而满足了防止普通用户对系统文件进行破坏的需要,同时也使得他们不能使用任何外来程序(光驱、软驱都不能访问,光驱的自动运行功能又被禁止,有谁还能安装、运行其它程序呢),很好地保护了系统的安全。
(五)禁止使用MS-DOS方式的技巧
  采用前述方式隐藏某个磁盘分区的作用仅限于图形界面(如“资源管理器”、“我的电脑”、“Windows Commander”及其它对话框等),但它对字符方式,如MS-DOS方式无效。也就是说普通用户只要启动MS-DOS方式即可对隐藏的磁盘分区进行任意操作,这就是一大漏洞,因此我们必须采用适当办法禁止普通用户使用Windows 98的MS-DOS方式。具体步骤为:
1.运行注册表编辑器Regedit打开注册表;
2.展开注册表数据库的HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion\Policies分支;
3.在Policies主键下新建一个名为WinOldApp的主键;
4.在WinOldApp主键下新建一个名为Disabled的DWORD值,并将其值设置为1(该项用于禁止用户进入Windows 98的MS-DOS窗口);
5.在WinOldApp主键下新建一个名为NoRealMode的DWORD值,并将其值设置为1(该项用于禁止用户在关闭系统时选择“重新启动计算机并且切换至MS-DOS状态)。
  这样,我们就实现了在Windows 98中禁止使用MS-DOS方式的目的,此后用户在试图进入MS-DOS方式(包括运行那些基于DOS平台的应用程序)时,系统就会弹出一个MS-DOS受到限制的对话框(如图11),不允许用户进入DOS方式,从而达到了保密的目的。
  须要说明的是,当我们对某个普通用户的磁盘分区进行隐藏时,必须同时禁止该用户使用MS-DOS方式!反之却不存在必要的对应关系,也就是说我们可单独禁止某普通用户使用MS-DOS方式的权限,而不必对该用户的某个磁盘分区进行隐藏。
(六)禁止使用控制面板中的某些特殊功能
  前面我们介绍了通过“NoSetFolders”二进制值可禁止显示Windows 98“开始”菜单中的“设置”选项,不过有时我们并不希望关闭“控制面板”,而只是希望禁止普通用户使用其中的部分功能(如禁止他们对“系统属性”进行设置等)。我们可以利用Windows 98目录下的CONTROL.INI文件来达到这个目的:
1.双击C:\windows文件夹中的CONTROL.INI;
2.在CONTROL.INI文件的[don't load]一节中加上“*.CPL=NO”命令,则相应的系统控制项目就会从“控制面板”中消失,如我们加上“SYSDM.CPL=NO”之后,“控制面板”中的“系统”项目就会消失。有关CPL文件与Windows 98“控制面板”中相应控制项目的对应关系如下。注意,部分CPL文件同时对应“控制面板”中的几个设制项目,如SYSDM.CPL就同时对应“控制面板”中的“系统”和“添加新硬件”两个设置项目,当我们在CONTROL.INI文件中对这些CPL文件设置“*.CPL=NO”命令后,“控制面板”中它所对应的所有设制项目都会消失。
ACCESS.CPL 辅助选项
APPWIZ.CPL 添加/删除应用程序
DESK.CPL 显示器
INETCPL.CPL Internet属性
INTL.CPL 区域
JOY.CPL 游戏控制器
MAIN.CPL 鼠标、打印机、键盘、输入法、
字体
MMSYS.CPL 多媒体、声音
MODEM.CPL 调制解调器
NETCPL.CPL 网络
PASSWORD.CPL 密码
POWERCFG.CPL 电源管理
STICPL.CPL 扫描仪与数码相机
SYSDM.CPL 系统、添加新硬件
TIMEDATE.CPL 日期和时间
ODBCCP32.CPL ODBC数据源管理器
TELEPHON.CPL 电话
THEMES.CPL 桌面主体
MLCFG32.CPL 电子邮件
FINDFAST.CPL 文件检索
TOGMOUSE.CPL ToggleMOUSE鼠标设置
TWEAKUI.CPL TWEAK UI设置软件
  经过上述设置后,“控制面板”中的相应项目就不会出现。不过,只要上述文件还保存在计算机中,我们就仍然可以运行,如只须用鼠标右键单击“桌面”、“我的电脑”、“网上邻居”并执行“属性”命令,或双击系统“托盘”中的“时间”、“声音”等项目即可对显示属性、系统属性、网络属性、时区、输入法、声音等项目进行设置!另外,如果没有隐藏Windows 98的系统文件所在的磁盘分区,任何人只要打开Windows 98的SYSTEM目录,用鼠标右键单击相应的CPL文件并执行快捷菜单中的“用控制面板打开”命令,都可达到启动“控制面板”中有关设置项目的目的。因此CONTROL.INI文件的控制功能是不完善的,想真正做到“万无一失”,应通过修改注册表数据库进行控制:
1.运行注册表编辑器Regedit打开注册表。
2.展开注册表数据库的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System分支。
◆在System主键下新建一个名为NoVirt MemPage的DWORD值,并将其值设置为1,则“控制面板/系统”设置项中的“虚拟内存”选项失效。
◆在System主键下新建一个名为NoFile SysPage的DWORD值,并将其值设置为1,则“控制面板/系统”设置项中的“文件系统”选项失效。
◆在System主键下新建一个名为NoConfig Page的DWORD值,并将其值设置为1,则“控制面板/系统”设置项中的“硬件配置文件”选项卡失效。
◆在System主键下新建一个名为NoDev MgrPage的DWORD值,并将其值设置为1,则“控制面板/系统”设置项中的“设备管理”选项卡失效。
◆在System主键下新建一个名为NoDisp Backgro undPage的DWORD值,并将其值设置为1,则“控制面板/显示”设置项中的“背景”选项卡失效。
◆在System主键下新建一个名为NoDisp ScrSav Page的DWORD值,并将其值设置为1,则“控制面板/显示”设置项中的“屏幕保护”选项卡失效。
◆在System主键下新建一个名为NoDisp Appearan cePage的DWORD值,并将其值设置为1,则“控制面板/显示”设置项中的“外观”选项卡失效。
◆在System主键下新建一个名为NoDisp Setti ngsPage的DWORD值,并将其值设置为1,则“控制面板/显示”设置项中的“设置”、“外观”、“Web页”选项卡失效。
◆在System主键下新建一个名为NoDispCPL的DWORD值,并将其值设置为1,则“控制面板/显示”设置项将被禁止。
设置完上述选项后,相应用户的这些功能就会受到限制,如当我们新建了NoDispCPL值之后,用户无论采用什么方法(无论是从“控制面板”中启动“显示”项,用鼠标右键单击桌面空白处后选择弹出菜单中的“属性”项、还是直接运行DESK.CPL文件),系统都会弹出一个“管理员已经禁止使用‘显示’控制面板”的对话框(如图12),禁止该用户使用显示器属性设置框,这就从根本上达到了限制普通用户权限的目的。不过Windows 98注册表数据库对控制面板的限制功能并不完善,它仅能限制上述设置项目,而对其它一些设置项目(如电话、网络、密码等)则无能为力,我们若拟完全禁止普通用户使用这些功能,唯一的办法就是切换到Windows 98的SYSTEM子目录,删除相应的控制面板文件(*.CPL文件)。但应注意不要将PASSWORD.CPL文件(即密码控制器)也删除掉(具体原因后面会详细说明)!
(七)禁止自启动应用程序
  某些开机时自动运行的应用程序可能会给系统带来不安全的隐患,因此我们必须采用适当的方法禁止它们。
◆取消“启动”程序组中的启动程序
绝大多数Windows应用程序都是通过“启动”程序组来实现自动运行目的的,对此我们可采用如下方法加以禁止:
1.用鼠标右键单击Windows 98任务栏空白处,然后执行快捷菜单中的“属性”命令;
2.在弹出的“任务栏属性”对话框中单击“开始菜单程序”标签;
3.单击“删除”按钮,系统弹出“删除快捷方式/文件夹”对话框;
4.选择“启动”程序组中欲禁止在Windows 98启动时自动运行的应用程序的快捷方式,然后单击“删除”按钮。
◆取消WIN.INI文件中的自启动选项
许多老版本应用程序都是通过WIN.INI文件中的“RUN”和“LOAD”命令来实现在Windows启动时自动运行的功能的,对于这些应用程序,我们只须利用记事本打开WIN.INI文件,找到“RUN=”或“LOAD=”行,然后将调用这些应用程序的命令行删除即可。
◆取消Autoexec.bat文件中的自启动命令行
通过Autoexec.BAT文件实现系统启动时程序自动运行是许多DOS程序常采用的简便方法,对于它们,我们只须利用记事本打开Autoexec.bat文件,然后将调用这些应用程序的命令行删除即可。
◆修改注册表中的自启动选项
在Windows 98中,系统新增了通过注册表数据库实现在启动时自动运行应用程序的功能,对于采用这一功能的应用程序,我们可采用如下方法:
1.运行注册表编辑器Regedit打开注册表;
2.展开注册表数据库的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run分支;
3.Run主键中保存的就是所有通过注册表数据库实现在Windows 98启动时自动运行的应用程序,我们只须从中删除拟禁止的应用程序即可。
(八)删除“新建”子菜单中的命令
  一般来说,单击鼠标右键都会从弹出的快捷菜单中发现一个“新建”子菜单(如图13),我们可以通过该菜单下的命令快速实现文本文件、图形文件等的创建,非常方便。不过有时为了安全起见,我们可能需要删除普通用户“新建”子菜单中的某些新建命令。对此,我们可采用如下方法:
1.运行注册表编辑器Regedit打开注册表;
2.展开注册表数据库的HKEY_CLASSES_ROOT主键,在HKEY_CLASSES_ROOT主键下找到要删除的新建文件类型的次级主键(如“.ZIP”次级主键);
3.展开该次级主键下的“ShellNew”分支(HKEY_CLASSES_ROOT主键下以文档扩展名为名的次级主键中大多都有“ShellNew”分支,这些分支就是专门用于指定采用那个应用程序来创建相应数据文档的,我们只须删除它们即可达到禁止“新建”命令的目的);
4.将“ShellNew”分支下除“默认”项之外的所有键值全部删除;
这样,我们就删除了“新建”菜单中的“新建WinZip文档”命令,从而达到了保密的要求。用类似方法将“新建”菜单中的无用命令一一删除。
(九)清除“运行”等对话框中的历史记录
  一般来说,当我们在Windows 98中使用“运行”、“查找”等功能之后,系统就会将查找、运行的内容“记忆”下来,以简化再次运行的步骤,不过这也带来了“泄密”的可能。为保密起见,可采用下述方法将这些历史纪录删除:
1.运行注册表编辑器Regedit打开注册表;
2.展开注册表数据库的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer分支;
3.该主键的RunMru分支是用于显示系统“运行”对话框中的历史记录的,只须从中选择不需要的历史记录并单击Del键即可删除这些记录;
4.该主键的DocFindSpecMRU分支用于显示系统开始菜单的“查找”子菜单中“查找文件或文件夹”对话框中的历史记录的,同样可从中删除不需要的历史记录;
5.展开注册表数据库的HEKY_CURRENT_USER\Network\Recent分支;
6.Recent主键就是用于显示系统“文档”对话框中的历史记录的,将其内容全部删除即可清除全部历史记录。
另外还有一种最简单的办法:
1.用鼠标右键单击“任务栏”的空白处,在弹出的菜单中选择“属性”选项;
2.选择“开始菜单”选项卡,然后点击“文档菜单”框中的“清除”按钮即可清除“运行”、“文档”、“历史记录”框中的历史记录。
(十)禁止使用注册表编辑器
  从上面的介绍中可以看出,注册表编辑器的作用非常之强大,许多系统控制功能都是通过它来实现的,普通用户若能使用注册表编辑器,则我们所做的一些控制就将付之东流。因此我们只有禁止普通用户对注册表编辑器的调用才能真正确保对他们权限的控制!为此,我们可采用如下方法:
1.运行注册表编辑器Regedit打开注册表;
2.展开注册表数据库的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System主键;
3.在System主键下新建一个名为Disable RegistryTools的DWORD值,并将其值设置为1。
这样我们就实现了禁止运行Windows 98的注册表编辑器的目的,极大地保护了系统的安全。
经过上述步骤后,我们就达到了对相应普通用户的权限进行设置的目的。重复上述操作,可对所有普通用户的权限逐一进行设置(不同用户设置权限的范围可能不一样,有些用户的权限可能要大一些、另外一些用户可能要小一些,主要取决于普通用户的操作需要)。设置完毕后,我们应将不同用户的开机密码、电源管理密码、屏幕保护密码分别告知他们,并指导他们利用“控制面板”中的“密码”设置框对各自的密码进行修改(这也就是为什么前面谈到不能删除PASSWORD.CPL文件的原因)。至此,对所有普通用户的权限设置工作即告完成。
五、对非法用户的权限进行限制
  对超级用户和普通用户的权限设置完后,剩下的事情就是“对付”那些通过在用户名选择框中单击“取消”按钮或按Esc键进入系统的非法用户了。对于他们的权限,我们应最大限度地限制,最好是让他们什么也干不成!为此,我们可重新启动计算机,并在系统弹出的用户名选择框中按下Esc键,以非法用户的身份进入系统,然后对其权限进行限制。
(一)隐藏Windows 98桌面上的所有图标
为了防止非法用户随便乱动,一般应将桌面上的所有图标全部隐藏起来,具体步骤为:
1.运行注册表编辑器Regedit打开注册表;
2.展开注册表数据库的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer分支;
3.在Explorer主键下新建一个名为Nodesktop的DWORD值,并将其值设置为1。
(二)删除“开始”菜单中的所有命令
  可按照前面对普通用户权限设置的有关方法将非法用户“开始”菜单中的所有命令(包括运行、关闭系统、查找、文档、设置、收藏夹等项目)全部删除,然后将“程序”菜单中的所有程序项全部删除,这样整个“开始”菜单中除了帮助之外什么也没有……让非法用户对着光秃秃的桌面、孤零零的“开始”菜单发愣去吧!
(三)禁止使用任何程序
  有了前面的两项限制措施,我们即可达到对一般非法入侵者进行控制的目的,不过对那些高级别的入侵者,上面两项控制是远远不够的,他们仍可通过种种方法对系统进行破坏,而真正最彻底的控制则是不允许他们运行任何程序(包括记事本、画笔、系统查找功能、系统设置功能等等),这样才能从根本上保护系统的安全(假如不允许使用Word,那么有谁能查看计算机上Word文档中的内容呢?)。为此,我们可采用如下方法。
1.运行注册表编辑器Regedit打开注册表;
2.展开注册表数据库的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer分支;
3.在Explorer分支下新建一个名为RestrictRun的DWORD值,并将其值设置为1。
这样我们就实现了禁止在Windows 98中运行任何程序的目的。关闭注册表编辑器之后系统设置即告生效,此时我们无论是启动Windows 98的任何一个程序(包括记事本、画笔、资源管理器及我的电脑),还是使用它的查找、设置等功能,系统都会提示该程序不能运行(如图14),也就是说非法入侵者除了晃晃鼠标之外什么也不能做,这就真正达到了将非法入侵者“置之于死地”的目的。对不起,非法用户们千万别怨我的“馊主意”,谁让你总是干些“偷鸡摸狗”的事呢?
若是你心地善良,不忍让非法入侵者太过尴尬,允许他们使用某些对系统没有任何危害的小程序(如Windows 98自带的几个游戏等),这也是可以办到的,具体步骤为:
1.重复执行前述限制任何程序运行的步骤;
2.在HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer分支下新建一个名为RestrictRun的主键;
3.在RestrictRun的主键下分别添加名为“1”、“2”、“3”等的字符串值;
4.将“1”、“2”、“3”……等字符串的值设置为允许非法用户使用的应用程序名(只输入文件名,无须指定路径)。如将“1”设置为“网上红心大战”的程序MSHEARTS.EXE、“2”设置为“空档接龙”的程序FREECELL.EXE、“3”设置为“扫雷程序”WINMINE.EXE、“4”设置为“纸牌程序”SOL.EXE(如图15)。
5.设置完毕,关闭注册表编辑器。此后非法用户进入系统后就只能玩这4个游戏,其它程序均不能运行。当然,也可按照上述方法自行确定允许非法用户使用的程序,不过千万注意不要将REGEDIT及其它可以对注册表数据库进行修改的任何程序(如TWEAKUI等)添加进去,否则可能会重现“农夫与蛇”的悲剧。
六、关键性的系统控制措施
  看完前面的介绍,有些读者可能认为系统已经万无一失了,不过事实却并非如此!还有很多“后门”可以为入侵者提供方便,如开机功能键、软盘启动、网络及电子邮件等,我们必须将这些“后门”一一关闭(注意,这些功能的关闭将对所有的Windows用户,包括超级用户、普通用户及非法入侵者起着同样的限制作用)。
(一)禁止系统启动功能键
  大家知道,我们只须在Windows 98启动时按下F8键即可打开系统功能菜单,进入DOS状态,此时系统就有可能遭到破坏(如我只须建立一个用于关闭系统控制功能的“.REG”注册表文件,然后在DOS下利用REGEDIT将这个REG文件导入到注册表数据库中即可达到解除所有限制的目的,另外我还可以通过密码破译器对Windows 98保存密码的文件进行分析,找出系统密码后直接以系统管理员的身份进行入侵……),因此我们必须将系统启动功能键予以关闭,以防止非法用户进入DOS状态。为此,我们可打开Windows 98的MSDOS.SYS文件,在其中加入(或将原有内容改为)如下内容:
BootDelay=0:开机时不显示“Starting Windows 98”,免去延迟时间
BootGUI=1:直接进入Windows 98图形界面,而不是DOS状态
BootKeys=0:禁止F4、F5、F8等开机功能键
BootMenu=0:不显示开机菜单
BootMulti=0:不允许双引导
BootWin=1:直接启动Windows 98,而不进入老版本DOS环境
这样我们就达到了禁止使用功能键进入DOS状态的目的(无论是老版本的DOS 6.X,还是Windows 98内置的DOS 7.X),从而保证了系统安全。
(二)禁止进入安全模式
Windows 98提供的安全模式也是一个“祸根”,尽管我们可利用它在系统发生故障时对系统进行设置,但由于此时Windows 98几乎不设防(前面所设的多数控制措施都将失效),因此它也给非法入侵用户带来可乘之机,我们必须将其禁止。须要说明的是,尽管我们一般是通过F5来进入安全模式的,但这并不是唯一途径(如我们只须在系统启动时按下Ctrl+Alt+Del重新启动计算机,下一次启动时系统就会自动采用安全模式),因此尽管前面已经禁止了Windows 98的启动功能键,但我们仍有必要对能否进入安全模式进行一番专门设置。为此我们只需打开Windows 98的MSDOS.SYS文件,然后在其中加入一条BootFailSafe=0(禁止安全模式)命令即可。
(三)禁止采用软盘及光盘启动计算机
很显然,非法用户若能以软盘及光盘启动计算机,那他就可以随意在DOS状态下对系统进行攻击,因此我们必须关闭软盘及光盘的启动功能。为此,我们应重新启动计算机,并在系统自检时按下Del键,进入系统的CMOS设置功能,然后将系统的启动选项设置为“C only”(即仅允许从C盘启动),并同时为CMOS设置必要的密码。
(四)防止网络及电子邮件的入侵
  随着网络的流行,各种黑客程序也越来越多,非法入侵者完全可通过网络的形式在你的计算机中安上一个“后门”,然后入侵你的系统,并且采用此方式入侵时往往具有极高的权限,危害相当大。这样的“后门”不是手工所能堵住的,必须使用专门的杀毒软件或反黑客软件对系统进行扫描,清除已有的黑客程序;安装诸如KILL、MCAFEE之类的病毒防火墙预防黑客程序及病毒的入侵;同时还应及时对杀毒软件进行升级以保证杀毒软件的效力等。
  至此,我们对Windows 98进行安全控制的有关步骤即介绍完毕,超级用户、普通用户及非法用户都只能按照自己的权限使用计算机,任何人(包括我在内)都无法对你的系统进行攻击,从而达到了很好的安全保护效果,有兴趣的读者不妨一试。
最后须要说明的是,Windows 98毕竟是一个针对家庭用户的操作系统,在系统安全性方面有着固有的缺陷,用户若对系统安全有较高要求,则应选择安全性、稳定性都非常高(当然对系统硬件要求也较高)的Windows NT。

返回列表 回复 发帖