网络安全与防火墙技术3操作系统安全与Windows98ME的安全性及防护课件

1、3 操作系统安全与Windows 98/ME的安全性及防护3.1 操作系统的安全3.1.1 操作系统的安全问题从OS入手获得授权以外的或未授权的信息。它危害信息系统的保密性和完整性。 从OS入手阻碍计算机系统的正常运行或用户的正常使用。它危害了计算机系统的可用性。 以OS为对象破坏系统或影响系统来完成指定的功能。 以软件为对象非法复制或非法使用。3.1.2 操作系统的安全控制1)操作系统安全控制方法操作系统采用的安全控制方法主要是隔离控制和访问控制。2)访问控制机构访问控制机构是系统具体实施访问控制策略的硬件、软件。访问控制的基本任务授权。 确定访问权限。实施访问控制的权限。访问控制采取的措施

2、需要采用两种措施：识别与验证访问系统的用户；决定用户对某一系统资源有何种访问权限(如读、写、修改、运行等)。3.1.3 计算机系统的安全等级 表3.1 可信系统的等级划分3.2 Windows 98/ME的安全机制 Windows 98系统的安全机制是由登录机制、屏幕保护密码、文件夹共享密码和远程管理密码等部分组成的。 3.2.1 Windows 98的登录机制1)Windows 98系统登录2)Microsoft网络用户和Microsoft友好登录3.2.2 Windows 98的屏幕保护机制3.2.3 Windows 98共享资源和远程管理 机制当Windows 98系统与其他计算机连成网

3、络时，计算机的资源可以相互共享，为了保护计算机系统的安全，Windows 98有简单的权限控制，其访问控制方式有两种：共享级访问控制方式和用户级访问控制方式。启动Windows 98远程管理机制的步骤如下：1)启动Windows 98远程管理服务启动Windows 98系统进入系统桌面，选择 “开始”“设置”“控制面板”“密码” “密码属性”窗口，在“密码属性”窗口中选择“远程管理”选定和激活“启用此服务器的远程管理”，同时，输入远程管理密码，输入两次密码，单击“确定”按钮并关闭“密码属性”窗口，即可完成操作。要想使“启动Windows 98远程管理服务”成功，还需先完成“Windows 98

4、系统共享资源的访问控制方式”设置。2)远程管理Windows 98的资源当一台计算机已设置了远程管理服务，就可以通过局域网的任何一台Windows 98计算机管理该计算机的文件和打印机了。假设计算机wsl已经配置了远程管理服务，现在通过ws2来管理ws1的资源，其步骤如下：启动ws2以“Microsoft网络用户”的身份登录到本机的Windows 98桌面上，打开“网上邻居”，显示“整个网络”以及同组的各计算机名，将发现计算机wsl用鼠标右击“wsl”图标“属性” 出现“wsl属性”窗口，单击“工具”栏，窗口中显示3个配置按钮：“网络监视器”、“系统监视器”和“管理程序”，其中通过“网络监视器

5、”允许查看wsl上的共享目录和通过网络正在使用该目录的用户，“系统监视器”允许查看ws1上的磁盘访问与网络的使用情况，而“管理程序”则是远程管理wsl的文件和打印机的共享设置。3个配置选项都需要提供ws1的远程管理密码。现在单击“管理程序”“输入网络密码”窗口，输入wsl的远程管理密码，出现“计算机wsl所有资源”的窗体，其中C$、D$等是ws1的磁盘C，D的代号，不带$符号的目录为已设置好的共享目录，可以如设置本地计算机的资源那样设置wsl的C$及D$及其子目录等资源的共享，同时也可以改变不带$符号的共享目录的访问控制方式。3.2.4 Windows 98注册表的机制3.3 Windows

6、98/ME安全策略3.3.1 安全策略编辑器的安装Windows 98安全策略编辑器安装步骤如下：单击菜单“开始”“设置”选项，打开“控制面板”窗口。单击“添加删除程序”图标。单击“从磁盘安装”按钮，在出现的对话框中，单击“浏览”按钮，选择Windows安装光盘上的“toolsreskitnetadmin Poledit”文件。图3.2 添加策略编辑器选择“poledit inf”，屏幕上将出现“从磁盘安装”对话框，如图3.2所示。再选择“系统策略编辑器”，然后单击“安装”按钮，安装就开始了。安装完成后，用户就可以在“附件”“系统工具”下找到“系统策略编辑器”选项了。3.3.2 安全策略编辑器

7、的配置在系统策略编辑器的菜单中，单击“文件” “新建文件”选项。这时，在系统策略编辑窗口中出现了“默认用户”和“默认计算机”两个图标，如图3.3所示。图3.3 策略编辑器窗口下面，通过它添加一个像Windows NT一样的管理员账号。1)添加新用户单击菜单“编辑”“添加用户”，在弹出的对话框中输入“XIANG”(用户可以根据自己的需要填写)。单击“确定”按钮，将“XIANG”这个用户添加到系统策略编辑器中，如图3.4所示。单击菜单“文件”“保存”，以XIANGP01作为文件名将该文件保存到Windows所在目录的Config 子目录下。 图3.4 添加用户接下来要使用系统策略编辑器制定系统策略

8、了。2)定制系统策略双击“默认用户”图标，弹出一个如图3.5所示的“默认用户 属性”对话框。在对话框中可以看到有许多选项设置，包括控制面板、网络、桌面等，用户可以对每一个选项进行设置。下面以“XIANG”这个用户为例，对它的属性进行设置。双击“XINAG”图标，弹出其属性对话框，显示出它的各项“策略”组。 图3.5 默认用户属性对话框钩选各项“策略”选项旁的复选框，可以限制或禁止与其相对应的各项功能的使用。最重要的是在“外壳”中选择“限制”，出现如图3.6所示的对话框。在图3.6中，选择“限制”下所有的选项，这样一来就限制了桌面上的一切程序(注意：不要去选择“外壳”一“限制”下的“禁止关闭系统

9、命令”选项，否则非法用户进入系统将无法用Windows 98关闭计算机系统，而只能关闭电源了)。 重启计算机。以“XIANG”的用户名进入系统，就可以看到桌面上的程序和图标都没有了，入侵者除了“关机”就没有别的办法了。另外，每个用户的配置文件都保存在Windows目录下profiles子目录下与用户同名的子目录中。例如：c:windows 为windows所在的目录，那么“XIANG”的个人配置文件都保存在c:windowsProfiles User子目录下的“XIANG”子目录中。图3.6 功能限制对话框3)防止非法用户的进入对于Windows 98登录方式有两种非法用户，一种是以新用户名，

10、然后单击“取消”按钮，登录进入系统，这时该用户使用的是默认用户权限；另一种是在网络上以匿名登录方式进入系统的用户。因此，就要对这两种用户的权限进行修改，使进入系统的非法用户禁止其“关闭系统”以外的所有其他权限。如果用户需要修改默认用户的权限，可以遵循下面的步骤：修改默认用户权限在Windows 98所在目录的Profiles子目录下新建一个空子目录(名字随便取)。双击“默认用户”，弹出“默认用户 属性”对话框，钩选“外壳”和“系统”下的“限制”选项中“禁用关闭系统命令”以外的所有复选框，如图3.7所示。“外壳”下选择“自定义文件夹”，在所需指定路径的编辑框中，输入Profiles子目录下新建的

11、子目录名(注意是全路径名)。单击菜单“文件”“保存”选项，将上述设置保存到策略文件中，再退出系统策略编辑器。 图3.7 设置默认用户限制项目图3.8 设置自定义文件夹修改匿名登录用户在系统策略编辑器的窗口中双击“本地用户”图标，弹出“本地用户属性”窗口，对其进行与默认用户的权限相同的修改，然后单击“确定”按钮并返回系统策略编辑器。双击“默认计算机”图标，打开“默认计算机属性”对话框，钩选其“系统”中的“用户配置文件”选项。选中“网络”下“更新”策略组的“远程更新”选项，在“更新方式”下拉列表中选择“手动“(使用特定路径)”选项，如图3.9所示。图3.9 设置更新选项在“用于手动更新的路径“栏中

12、输入文件config.pol所在位置的路径及文件名单击“确定”按钮，返回系统策略编辑器，单击菜单“文件”“保存”选项。退出系统策略编辑器，注销或重新启动计算机。3.4 Windows 98/ME安全配置具体步骤如下：要设置的禁止匿名用户登录。选择“开始” “运行”，在弹出的窗口中运行regedit.exe，出现“注册表编辑”窗口，进入HKEY_LOCAI_MACHINENetworkLogon 中。现在在HKEY_LOCAI_MACHINENetworkLogon 中新建DWORD值，并命名为“MustBeValidated”，双击该键值将其值设置为“1”。设置用户的个性化菜单的选项。启动“开

13、始” “设置” “控制面板”，在控制面板中，单击“密码”“密码属性”窗口用户配置文件，选择“用户可自定义首选项及桌面设置”。设置登录提示信息。在HKEY_LOCAL_MACHINE SoftwareMicrosoftwindowsCurrentVersionWinlogon中新建两个字符串值，一个命名为“Legalnoticecaption”，另外一个命名为“Legalnoticetext”，并分别赋值为“XX专用计算机”和“请勿非法使用!”(这两个赋值可以自定)。注意，在进行上面几个步骤以前，启动“开始” “设置” “控制面板”，在控制面板中，单击“用户”按钮，设置可以登录本机的授权用户。当

14、完成了上面这3个步骤之后，当其他人登录的时候就必须输入密码才能登录，按Esc也不能进入Windows 98了。按照上面的方法，完成了初步加密。虽然在每次登录的时候都需要密码，但是上次登录的用户名却出现在登录对话框中，这样就为对方猜中密码提供了方便。让Windows 98在登录的时候不显示上次登录的用户名，其方法是：在注册表的HKEY_LOCAL_MACHINESoftwareMicrosoftWindows98CurrentVersionWinlogon下新建一个DWORD值，并命名为“DontDisplayLastUserName”项，双击它，并赋值为“1”。这样，在登录对话框中就不会出现上次登录的用户名称了。从上面的操作过程来看，所有的限制都是通过修改注册表来完成的。而如果别人也知道同样的修改方法，那么他也可以利用修改注册表的方法达到侵入的目的，所以限制用户使用注册表编辑器便放在了安全之首。限制用户修改注册表的方法是：