计算机及网络系统的安全性

第4章计算机及网络系统的安全性4.1计算机系统的安全保护机制4.2计算机系统的安全等级4.3计算机的开机口令验证机制4.4Windows95/98/ME的安全保护机制4.5利用注册表提高Windows95/98/ME的安全性4.6Windows98系统安全策略编辑器4.7Windows95/98/ME的缺陷和防范措施4.8计算机文档的保密问题4.9本章小结练习题计算机和网络工作站是目前应用最广泛的设备，计算机网络的安全在很大程度上依赖于网络终端和客户工作站的安全。目前的计算机系统安全级别特别低，几乎没有进行特别有力的防范措施。在未联网的单机时代，安全问题造成的损失较少，并未引起人们的注意。处于网络时代的今天，未加保护的计算机系统联入网络，由于非法用户的入侵、计算机数据的破坏和泄密，将会给人们造成无法估量的损失。因此，了解和掌握计算机及网络系统的安全保护机制，加强安全防范措施，使计算机系统变得更加安全，已变得非常必要。本章主要讨论有关计算机系统安全方面的内容，包括：计算机系统的安全保护机制；评估计算机系统的安全等级；计算机BIOS程序的安全设置和保护机制；计算机BIOS程序密码的破解和防范措施；Windows95/98/ME的有关安全保护机制；非法用户入侵Windows95/98/ME的方法和防范措施；Windows95/98/ME对等网络中权限和安全机制；计算机Word文档的保密问题。4.1计算机系统的安全保护机制随着计算机技术的发展，计算机系统的安全越来越被人们所关注。非授权用户常常对计算机系统进行非法访问，这种非法访问使系统中存储信息的完整性受到威胁，导致信息被修改或破坏而不能继续使用，更为严重的是系统中有价值的信息泄密和被非法篡改、伪造、窃取或删除而不留任何痕迹。要保护计算机系统，必须从技术上了解计算机系统安全访问控制的保护机制。为了防止非法用户使用计算机系统或者合法用户对系统资源的非法访问，需要对计算机实体进行访问控制。例如，银行信息系统的自动提款机为合法用户提供现款，但它必须对提款的用户身份进行识别和验证，对提款的行为进行监督控制，以防止非法用户的欺诈行为。存取控制主要包括授权、确定存取权限和实施权限3个内容。一个计算机系统的存取控制仅指本系统内的主体对客体的存取控制，不包括外界对系统的存取(其中主体指使用网络系统的用户和用户组，客体指网络系统中系统资源，如文件、打印机等资源)。因此，实施存取控制是维护系统运行安全、保护系统资源的重要技术手段。存取控制是对处理状态下的信息进行保护，是保证对所有的直接存取活动进行授权的重要手段；同时，存取控制要对程序执行期间访问资源的合法性进行检查。它控制着对数据和程序的读、写、修改、删除、执行等操作，防止因事故和有意破坏对信息的威胁。存取控制必须对访问者的身份和行为实施一定的限制，这是保证系统安全所必须的。要解决上述问题，需要采取两种措施：识别与验证访问系统的用户；决定用户对某一系统资源可进行何种访问(读、写、修改、运行等)。4.1.1用户的识别和验证要求用户在使用计算机以前，首先向计算机输入自己的用户名和身份鉴别数据(如口令、标识卡、指纹等)，以便进行用户的识别与验证，防止冒名顶替和非法入侵。所谓“识别”，就是要明确访问者是谁，即识别访问者的身份。必须对系统中的每个合法用户都有识别能力，要保证识别的有效性，必须保证任意两个不同的用户都不能具有相同的标识符。通过惟一标识符(1D)，系统可以识别出访问系统的每一个用户。所谓“验证”，是指在访问者声明自己的身份(向系统输入它的标识符)后，系统必须对它所声明的身份进行验证，以防假冒，实际上就是证实用户的身份。验证过程总是需要用户出具能够证明他身份的特殊信息，这个信息是秘密的，任何其他用户都不能拥有它。识别与验证是涉及到系统和用户的一个全过程。只有识别与验证过程都正确后，系统才能允许用户访问系统资源。利用物理锁可以对一些重要的资源实施控制。只要把需要保护的系统资源用锁锁上，而钥匙由自己掌握，那么没有钥匙的人是不能访问受到保护的资源的。在这里，ID相当于钥匙，系统根据不同的ID可对其分配相应的不同的可使用资源。但拥有钥匙的用户不一定是合法拥有者，所以需采用验证技术证实用户的合法身份，这种技术可以有效地防止由于ID的非法泄露所产生的安全问题。口令机制是一种简便的验证手段，但比较脆弱。生物技术，如利用指纹、视网膜技术等，是一种比较有前途的方法。目前计算机系统最常用的验证手段仍是口令机制，它通过下述各种方法来加强其可靠性。口令需加密后存放在系统数据库中，一般采用单向加密算法对口令进行加密。要使输入口令的次数尽量减少，以防意外泄露。当用户离开系统所属的组织时，要及时更换他的口令。不要将口令存放在文件或程序中，以防其他用户读取该文件或程序时发现口令。用户要经常更换口令，使自己的口令不易被猜测出来。4.1.2决定用户访问权限对于一个已被系统识别与验证了的用户，还要对其访问操作实施一定的限制。可以把用户分为具有如下几种属性的用户类。特殊的用户：这种用户是系统的管理员，具有最高级别的特权，可以对系统任何资源进行访问，并具有所有类型的访问、操作能力。一般的用户：即系统的一般用户，他们的访问操作要受到一定的限制，通常需要由系统管理员对这类用户分配不同的访问操作权力。审计的用户：这类用户负责整个系统范围的安全控制与资源使用情况的审计。作废的用户：这是一类被拒绝访问系统的用户，也可能是非法用户。4.2计计算算机系系统的的安全全等级级为了对对一个个计算算机系系统进进行安安全评评估，，美国国国防防部按按处理理信息息的等等级和和应采采用的的相应应措施施，将将计算算机安安全分分为：：A、、B、、C、、D4等等8个个级别别，共共27条评评估准准则。。从最最低等等级D等开开始，，到A等。。随着着安全全等级级的提提高，，系统统的可可信度度随之之增加加，风风险逐逐渐减减少。。下面，，对每每个安安全等等级的的内容容和要要求作作简要要说明明。4.2.1非非保保护级级D等是是最低低保护护等级级，即即非保保护级级。它它是为为那些些经过过评估估，但但不满满足较较高评评估等等级要要求的的系统统设计计的，，只具具有一一个级级别。。该等等是指指不符符合要要求的的那些些系统统。因因此，，这种种系统统不能能在多多用户户环境境下处处理敏敏感信信息。。D级级并非非没有有安全全保护护功能能，只只是保保护功功能太太弱。。4.2.2自自主主保护护级C等为自主主保护级，，具有一定定的保护功功能，采用用的措施是是自主访问问控制和审审计跟踪。。它一般只只适用于具具有一定等等级的多用用户环境，，并具有对对主体责任任和对他们们的初始动动作审计的的能力。它它的各级提提供无条件件的安全保保护，并通通过审计追追踪，对主主体及其产产生的动作作负责。这这一等级分分为Cl和和C2两个个级别。1.自自主安全保保护级(C1级)其存取控制制的基础是是以指名道道姓的方式式，提供了了各用户与与数据的隔隔离，以符符合自主安安全要求。。它包含了了若干可信信控制方式式，能在个个体基础上上实施存取取限制，即即允许用户户保护他自自己的项目目和隐私信信息，防止止他的数据据被别的用用户无意读读取或破坏坏。Cl级通过过提供用户户与数据隔隔离，就能能够满足市市场可信计计算机(TCB，trustedcomputingbase)自动动安全要求求。所谓可可信计算机机是一个安安全计算机机系统的参参考校验机机制。它包包括所有负负责实施安安全策略，，以及对保保护系统所所依赖的客客体实施隔隔离操作的的系统单元元，简单地地说，即所所有与系统统安全有关关的功能均均包含在TCB中。。在这一级，，TCB应应在命名用用户和命名名的客体之之间定义和和进行访问问控制。它它用的机理理(如个人人／组／公公共控制、、访问控制制表)应允允许客体拥拥有者指定定和控制客客体是由自自己使用，，还是由用用户组或公公共使用。。该级需要要在进行任任何活动之之前，TCB去确认认用户身份份(如采用用口令)，，并保护确确认数据，，以免未经经授权对确认数据据的访问和和修改。通通过用户拥拥有者的自自主定义和和控制，可可以防止自自己的数据据被别的用用户有意或或无意地读读出、篡改改、干涉和和破坏。同同时提供软软件和硬件件特性，并并定期检查查其运行的的正确性。。系统的完完整性要求求硬件和软软件能提供供保证TCB连续有有效操作特特性。目前生产的的大多数计计算机系统统都能达到到这一等级级，但这级级系统不一一定要经过过严格的评评价。评价价为Cl级级多是依据据系统的某某些特点。。2.可可控安全保保护级(C2级)在C2级，，计算机系系统比C1级有更具具体的自主主访问控制制。通过注注册过程，，同与安全全有关的事事件和资源源隔离，使使得用户的的操作有可可查性。在在安全方面面，除具备Cl级级所有功能能外，还提提供授权服服务。并且且可提供控控制，以防防止存取权权力的扩散散。应确定定用户的动动作或默认认客体提供供的保护，，避免非授授权存取。。它可指定定哪些用户户可以访问问哪些客体体，未经授授权用户不不得访问已已指定访问问权的客体体。同时还还提供了客客体再用功功能，即对对于一个未未使用的存存储客体，，TCB应应该能够保保证该客体体不包含未未授权主体体的数据。。在这一方面面，除具有有Cl级全全部功能外外，还提供供惟一的识识别自动数数据处理系系统中各个个用户的能能力；提供供将这种身身份与该客客体用户发发生的所有有审计动作作相联系的的能力。C2级系统统能与该识识别符合，，可审计所所有主体进进行的各种种活动；能能对可信计计算机(TCB)进进行建立和和维护，对对客体存取取的审计进进行跟踪，，并保护审审计信息，，防止被修修改、毁坏坏或未经授授权访问。。TCB还能能记录下列列类型的事事件：确认认和识别安安全机理的的使用，将将客体引入入一用户地地址空间，，客体的删删除，操作作人员、系系统管理人人员和安全全管理人员员进行的各各种与安全全相关的活活动。对每个审计计事件，审审计记录应应包括：用用户名、事事件发生时时间、事件件类型、事事件的成功功或失败等等。对于确认事事件，请求求源(如终终端ID)也应包括括在审计记记录中。对于客体进进行访问的的事件，审审计记录应应包括客体体名。自动数据处处理系统管管理人员应应能通过识识别符，有有选择地审审计任一用用户或多个个用户的活活动。除Cl级的的要求外，，TCB还还必须保留留一特定区区域，以防防外部人员员的篡改。。由于TCB控制的的资源是以以主体和客体定义义的子集，，TCB应应与被保护护的资源隔隔离，以使使存取控制制更容易，，从而达到到审计的目目的。DEC公司的的VAX／／VMS操操作系统、、Novell公司司的NetWare系统和Microsoft公司的WindowsNT/2000都被被确认为C2级。4.2.3强制制安全保护护级B等为强制制保护级，，这一等级级比C等级级的安全功功能有很大大增强。它它要求对客客体实施强强制访问控控制，并要要求客体必必须带有敏敏感标志，，可信计算算机利用它它去施加强强制访问控控制。这一一部分可分分为Bl、、B2、B3共3级级。1.标标记安全保保护级(B1)从本级开始始，不但有有自主存取取控制，还还增加了强强制存取控控制，组织织统一干预预每个用户户的存取权权限。本级级具有C2级的全部部安全特性性，并增加加了数据标标记，以标标记决定已已命名主体体对该客体体的存取控控制。本级级还规定在在测试过程程中发现的的缺陷应当当已全部排排除。2.结结构化保护护级(B2)从本级开始始，按最小小特权原则则取消权力力无限大的的“特权用用户”。任任何一个人人都不能享享有操纵和和管理计算算机的全部部权力。本本级将系统统管理员与与系统操作作员的职能能隔离，系系统管理员员对系统的的配置和可可信设施进进行强有力力的管理，，系统操作作员操纵计计算机正常常运行。本本级将强制制存取控制制扩展到计计算机的全全部主体和全部客体体，并且要要发现和消消除能造成成信息泄漏漏的隐蔽存存储信道。。为此，本本级计算机机安全级的的结构，将将被自行划划分为与安安全保护有有关的关键键部分和非非关键部分分。3.安安全域级(B3)本级在计算算机安全方方面已达到到目前能达达到的最完完备等级。。按照最小小特权的原原则，本级级增加了安安全管理员员，将系统统管理员、、系统操作作员和安全全管理员的的职能隔离离，使其各各司其职，，将人为因因素对计算算机安全的的威胁减至至最小。本本级要求在在计算机安安全级的结结构中，没没有为实现现安全策略略所不必要要的代码。。它的所有有部分都是是与保护有有关的关键键部件，并并且它是用用系统工程程方法实现现的，其结结构的复杂杂性最小，，易于分析和测试。。本级的审审计功能有有很大的增增加，不但但能记录违违反安全的的事件，而而且能发出出报警信号号。本级还还要求具有有使系统恢恢复运行的的程序。4.2.4验证证安全保护护级A等是验证证保护级。。它的显著著特征是从从形式设计计规范说明明和验证技技术导出分分析，并高高度地保证证正确地实实现TCB。其特点点是使用形形式化验证证方法，以以保证系统统的自主访访问和强制制访问，控控制机理能能有效地使使该系统存存储和处理理秘密信息息或其他敏敏感信息。。该等级分分为A1和和超A1两两个级别。。1.验验证设计级级(A1级级)本级的安全全功能与B3级基本本相同，但但最明显的的不同是本级必必须对相同同的设计，，运用数学学形式化证证明方法加加以验证，，以证明安安全功能的的正确性。。本级还规规定了将安安全计算机机系统运送送到现场安安装所必须须的程序。。2.超超A1级由于超Al级超出目目前的技术术发展，有有些具体要要求很难提提出，仅提提供了一些些设想。它它为今后研研究提供指指导。综上所述，，对可信计计算机而言言，D级是是不具备最最低限度安安全的等级级；C1和和C2级是是具备最低低安全限度度的等级；；B1和B2级是具具有中等安安全保护能能力的等级级，与C级级相比是较较高安全等等级，对于于一般的重重要应用基基本上可以以满足安全全要求；B3级和A1级是最最高安全等级级，其成本本高，只有有极重要的的应用才需需使用这种种安全等级级的设备。。4.3计计算机的的开机口令令验证机制制目前PC机机是世界上上使用最多多的计算机机，PC机机上运行的的操作系统统多为MSDOS或或Windows95/98/ME等，而Windows95/98/ME等等系统简单单易学，且且具有友好好的界面、、丰富的应应用软件成成为个人用用户的首选选。然而，，由于Windows95/98/ME本身身就不是为为网络应用用设计的，，因此它存存在许多安安全性方面面的问题，，是十分容容易被攻击击的。根据美国国计算机机安全中中心(NCSC)公布布的可信信计算机机系统评评价准则则(TCSEC，trustedcomputersystemevaluationcriteria)，，Windows95/98/ME只能能达到D级，基基本上相相当于未未加安全全措施的的个人计计算机系系统。而在另一一方面，，因为Windows95/98/ME的流行行，许多多黑客工工具在设设计时就就考虑了了Windows95/98/ME的兼兼容性，，许多黑黑客也利利用它来来攻击网网络系统统。因此此，对于于个人计计算机系系统，用用启动开开机口令令的开机机验证机机制防止止非法用用户使用用计算机机，是非非常必要要的。开开机口令令的开机机验证机机制是由由计算机机的BIOS(BaseInput/OutputSystem)程序序来管理理的，下下面将介介绍这方方面的内内容。4.3.1BIOS的的口令机机制BIOS的口令令机制俗俗称CMOS口口令设置置，CMOS口口令是保保证计算算机信息息安全的的第一道道屏障。。CMOS(本本意是指指互补金金属氧化化物半导导体存储储器，应应用于集集成电路路芯片制制造)是是电脑主主板上的的一块可可读写的的RAM芯片，，主要用用来保存存当前系系统的硬硬件配置置，CMOSRAM芯片由由系统通通过一块块后备电电池供电电，所以以无论是是开或关关机状态态中，CMOS的信息息都不会会丢失。。CMOS口令令分为CMOS开机口口令和BIOS设置口口令。如如设置了了CMOS开机机口令，，则计算算机在开开机完成成硬件自自检后将将要求操操作者输输入密码码，如密密码不正正确，将将不能进进入CMOS参参数设置置，亦无无法继续续启动操操作系统统，更无无从谈起起运行其其他软件件了。如计算机机仅设置置了BIOS设设置口令令，则虽虽然在启启动操作作系统和和运行各各种软件件时不受受限制，，但如要要进入BIOS设置程程序必须须输入预预设的口口令，否否则无法法改变CMOS参数。。因此，，根据实实际需要要，合理理地设置置CMOS口令令，是做做好计算算机信息息安全工工作的重重要途径径。计算机有有很多种种不同的的BIOS程序序，最有有名的是是AWARDBIOS和AMIBIOS程序序。下面面以AWARDBIOS为为例讨论论BIOS中CMOS的开机机密码的的设置，，设置方方法如下下。(1)启启动计算算机，在在计算机机正在启启动时不不停地按按DEL键(注注意，是是不停地地按动，，而不是是按住不不放)，，直到出出现如图图4.1所示的的CMOSSETUP设置置界面时时为止(有有的计算算机进入入CMOS的快快捷键不不是DEL，例例如康柏柏计算机机的CMOS设设置是按按F2键键，需要要看具体体情况而而定)，，其中的的加框的的选项与与开机的的CMOS密码码的有关关。(2)用用键盘上上的光标标键选择择SUPERVISORPASSWORD项，，然后回回车，出出现ENTERPASSWORD后，输输入密码码再回车车，这时时又出现现CONFIRMPASSWORD，在在其后再再次输入入同一密密码(注注：该项项原意是是对刚才才输入的的密码进进行校验验，如果果两次输输入的密密码不一一致，则则会要求求重新输输入)。。SUPERVISORPASSWORD选项项是用来来设置计计算机管管理员的的密码，，拥有该该密码，，就可以以设置计计算机的的CMOS参数数和使用用计算机机。(3)用用光标键键选择USERPASSWORD项后回回车，同同上面一一样，密密码需输输入两次次才能生生效。以以上设置置的两个个密码分分别为设设置密码码和修改改CMOSSETUP密码码，建议议两个均均取同一一密码，，以便记记忆。USERPASSWORD选项是是用来设设置使用用计算机机的用户户密码，，拥有该该密码，，就可以以使用计计算机。。(4)选选择BIOSFEATURESSETUP项项回车，，出现BIOSFEATURESSETUP设置界界面，用用光标键键选择SECURITYOPION选项项后，用用键盘上上的PAGEUP/PAGEDOWN键把选选项改为为SYSTEM(设定定为SYSTEM的目目的是让让计算机机在任何何时候都都要检测测密码，，包括启启动机器器，SECURITYOPION选项还还有一个个参数SETUP，设设定为该该参数表表示计算算机在设设置CMOS参参数时要要检测密密码)，，然后按按ESC键退出出。(5)选选择SAVE&EXITSETUP项回回车，出出现提示示后按Y键再回回车，以以上设置置的密码码即可生生效。图4.1通过以上上步骤设设置以后后，在计计算机启启动和设设置CMOS参参数时都都要检测测密码。。4.3.2BIOS的口口令破解解与防范范措施1.几几种常常见密码码破解方方法在日常的的工作中中，常碰碰到一些些用户由由于遗忘忘了CMOS口口令或无无意中设设置了CMOS口令，，致使计计算机无无法启动动操作系系统或无无法进行行CMOS参数数设置的的情况，，很多用用户对此此束手无无策，只只能送计计算机公公司修理理，耽误误了很多多时间。。其实，根根据CMOS口口令的设设置情况况，可以以有很多多方法来来破解，，其原则则是：如如果设置置了CMOS开开机口令令，必须采用用硬件或或CMOS万能能密码法法破解；；如果仅仅设置了了BIOS设置置口令，，破解这这种口令令简直易易如反掌掌！下面面给出破破解CMOS口口令的各各种方法法。注意意：这些些方法当当然也有有可能会会被黑客客们利用用，因此此亦应针针对这些些破解方方法，做做好自己己计算机机的CMOS口口令保护护。2.硬硬件法法破解CMOS口令忘记了电电脑的BIOS密码是是一件不不幸的事事，如果果将BIOS设设置中的的SEURITYOPTION(密码属属性)设设为ALWAYS/SETUP或SYSTEM则则更是不不幸中的的不幸，，因为此此时既无无法进入入CMOS设置置程序更更改口令令，也无无法启动动操作系系统用其其他方法法破解，，只能采采取在硬硬件上进进行CMOS掉掉电处理理和使用用万能密密码这两两类方法法解决。。下面介绍绍CMOS掉电电处理的的方法。。这里首首先需要要提及的的是，硬硬件破解解的各种种方法均均需在计计算机关关机的状状态下进进行(最最好将电电源线拔拔掉，对对于ATX电源源尤应如如此)，，先清除除人身上上的静电电，再打打开计算算机机箱箱进行，，否则可可能导致致计算机机硬件的的损坏。。(1)跳跳线/开关放放电破解解法计算机主主板上一一般都有有CMOSCLEAR(CMOS清除)跳线位位置，可可参照主主板说明明书或主主板上印印制的跳跳线说明明，用一一跳线在在该位置置上跳接接一下，，CMOS口令令就被清清除了，，然后将将跳线恢恢复原状状，开机机后即能能进入CMOS设置。。(2)导导线线划芯片片放电破破解法硬件破解解CMOS口令令的本质质是让CMOSRAM芯片片掉电，使使其中保保存的设设置信息息丢失，，从而达达到清除除CMOS口令令的目的的(上面面跳线法法的实质质也是这这样)，，抓住了了这一点点，在解解决此类类问题时时，可先先将CMOS电电池卸下下，然后后用一根根导线，，将其一一端接到到CMOS电池池插座的的地线端端，用另另一端往往CMOSRAM片的两两排脚上上轻轻地地一扫而而过(如如不能确确认哪块块是CMOS芯芯片，则则可多扫扫几块芯芯片，扫扫时注意意别损伤伤了芯片片引脚)，CMOS密密码便会会被清除除。此方方法适用用于计算算机主板板上没有有设计CMOSCLEAR跳线的的情况。。(3)卸卸电电池等待待法这是一种麻烦烦和消极的方方法。我们知知道，CMOS是靠主板板上的一块电电池及相应的的附属电路来来提供电源以保持设置信信息的，因此此，如果将CMOS电池池取下，再将将电池接口的的正负极(注注意不是电池池的正负极)短路，然后后等待一段时时间后，CMOS供电电电路中残存的的电能将会消消耗完，CMOS口令令就会被清除除了。如果CMOS电池是焊接接在主板上的的，则需先焊焊下来再试用用上述的第(2)、(3)方法。所所以只有在确确认主板上确确实没有设计计CMOSCLEAR跳线的情况况下，才可采采用后两种方方法。3.用CMOS万能能密码破解开开机口令如果计算机机机箱加锁(比比如众多的进进口原装计算算机)或因为为其他原因无无法打开机箱箱，自然也就就无法进行上上述的硬件破破解法，那么么是否还有方方法能破解CMOS开机机口令呢？答答案是肯定的的，下面向读读者介绍一种种不用拆机箱箱的软方法———万能密码码。原理：在BIOS的密密码中也有像像WPS那样样的万能密码码，但不同的的BIOS厂厂家有不同的的密码。(1)用CMOSPWD获取CMOS万能密密码计算机BIOS的版本太太多，不同版版本的万能密密码也不一样样，想用上述述的几个密码码“通行”于于所有版本的的BIOS显显然是不可能能的。那么如如何获得更多多的万能密码码呢？在Inernet网上有一个个运行在DOS环境下的的CMOSPWD.EXE软件可以以做到这一点点。图4.2是CMOSPWD.EXE程序的的一个运行结结果报告。由此运行结果果可以看出，，CMOSPWD工具可可以获取多种种BIOS类类型的CMOS万能密码码。因此，当当忘记了计算机的的CMOS密密码时，可找找一台相同的的计算机，给给其设置上CMOS开机机口令，然后后运行CMOSPWD找找到“万能钥钥匙”，再用用到自己的计计算机上即可可。(2)用UNAWARD获取AWARDBIOS万万能密码UNAWARD.EXE可以帮你轻轻松地获得AwardBIOS的的万能密码，，而且还有三三个：纯数字字密码、小写写字母密码和和大写字母密密码。假如你你愿意，还可可以用该软件件DISABLE(禁用用)这些万能能密码，甚至至删除这些密密码。执行UNAWARD.EXE程序，显示示如图4.3所示。图4.2图4.3通常同型号主主机的AWARDBIOS万能密密码是一致的的。因此当忘忘记了AWARDBIOS密码时时，不用着急急，试着在身身边找找或打打电话问问朋朋友们的主板板型号、厂商商是否与自己己的这台主机机主板相同，，假如有的话话，用UNAWARD.EXE将那那台机子上的的密码获取后后再传回来，，一切就大功功告成了。UNAWARD.EXE在Internet上上可以下载。。注意：若需需BIOS的万能密码码，必须先在在超级用户密密码(SUPERVISORPASSWORD)中设置置密码，如没没有超级用户户密码选项，，则必须在用用户密码(USERPASSWORD)中设设置密码，否否则该软件不不能用作BIOS的万能能密码。(3)使用用通用CMOS密码目前大部分主主板使用AWARD公司司的BIOS程序，部分分主板使用AMI公司的的BIOS程程序，某些厂厂家在生产主主板时为自己己的BIOS预留了通用用CMOS密密码，以解一一时之需。其其中AWARDBIOS只有4.51版以前前的才有通用用密码。据目目前所知，有有以下通用密密码(按成功功概率排序)。AWARDBIOS：：wantgirlSyxzdirrideBBBh996wnatgirlAwardAMIBIOS：Sysg以上通用密码码在386、、486或奔奔腾主板上破破解CMOS几乎百发百百中，但在PⅡ级以上的的主板存在通通用密码的可可能性就较少少了。4.用万万能密码程序序准确破解BIOS设置置口令如果在微机的的BIOSSETUP程序中设置置了CMOS口令，但在在PASSWORDOPTION(密码选项项)中选择为为SETUP时，不必打打开机箱，只只要简单地利利用上面介绍绍的万能密码码程序在当前前计算机上运运行一下，即即可轻松和准准确地获得这这台计算机的的CMOS万万能密码，然然后用此万能能密码即可进进入BIOSSETUP程序中更更改各种CMOS参数数了。(1)用DEBUG破破解SETUP设置口令令在微机的BIOSSETUP程序序中设置了口口令，但在PASSWORDOPTION(密码选项项)中选择为为SETUP时，可简单单地利用DOS中的DEBUG程序序清除CMOS口令。当计算机接通通电源时，首首先执行的是是BIOS加加电自检程序序，对整个系系统进行全面面的检测，其其中也要对CMOSRAM中的配配置信息有关关单元作累加加和测试，并并与原来的存存储结果进行行比较，当两两者相吻合时时，则CMOSRAM中的配置置有效，程序序继续进行其其他测试；当当发现累加和和与原值不相相等时，则要要求重新配置置，并能自动动地按实际情情况进行最小小配置的设定定，此时原来来的CMOS口令也会被被自动消除。。利用这一点，，只要往CMOSRAM中的80口10H~2DH(配置信息存存放单元)中中的任一单元元写入一个数数，即可清除除CMOSSETUP口令。具具体操作如下下：从A：或C：：启动，然后后运行DEBUG程序(从DOS目目录中拷贝或或运行)，输输入：C>debug(回车)–O7010(回车)–O7110(回车)–q(回车)然后重新启动动系统，密码码即被清除，，系统将要求求重新配置CMOS参数数，这样便可可以重新进入入BIOSSETUP接口去设计计系统配置了了。(2)输入入代码破解SETUP设设置口令使用本方法生生成的可执行行文件能够清清除CMOS密码。本方方法的最大特特点是不需使使用任何工具具软件，而只只需简单地使使用DOS内内部的COPY命令，从从键盘上输入入所需代码，，并生成所需需的破解程序序。A：\>179，55，136，，216，230，112，176，32，230，113，254，195，，128，251，64，117，，241，195^Z回回车注意：输入入上述数字时时必须用键盘盘上的Alt键加小键盘盘上的数字键键来输入，其其中的逗号表表示输入到该该处时松一下下双手再继续续输入，而非非真的输入逗逗号；^Z代代表按Ctrl＋Z键(也可按按F6键)结结束文件输入入，最后回车车在当前目录录下生成可执执行文件。运行生成的可可执行文件，再重重新冷启动计计算机，会发发现原来的CMOS设置置口令已经被被清除了。同同样需注意的的是，该方法法在某些计算算机上可能会会不起作用。。5.防范范CMOS密密码的破解通过对几种常常见CMOS密码破解方方法的介绍，，可以了解到到要破解CMOS密码的的前提条件。。采用硬件破破解法必须能能够打开机箱箱，因此防止止硬件破解法法的主要措施施是给主机机机箱加上物理理锁。对于采用万能能密码，目前前没有好的防防范措施，如如果非法用户户持有万能密密码，这开机机密码的安全全保护措施已已失去效用，，只能靠其他他的安全措施施，如通过操操作系统的安安全机制。另另外市场上有有些硬盘保护护卡和防毒卡卡也有开机保保护机制和密密码机制，也也能起到CMOS密码的的功能，且破破解的可能性性要比CMOS密码机制制更难些。要防范范采用用工具具软件件破解解CMOS密码码，最最主要要是不不能让让非法法用户户在被被保护护的计计算机机上物物理性性地执执行工工具软软件，，可采采用如如下措措施。。(1)屏屏蔽蔽计算算机的的软驱驱和光光驱，，使之之不能能从软软驱和和光驱驱引导导操作作系统统。(2)使使用用者不不能在在计算算机处处于交交互状状态(即可可执行行用户户命令令的状状态)时离离开计计算机机；如如若离离开计计算机机，应应该关关机、、锁定定键盘盘或使使计算算机处处于安安全保保护状状态(例如如Windows98系统统的带带密码码屏幕幕保护护状态态)。。(3)有有条条件的的用户户可以以给计计算机机加安安全保保护卡卡(例例如硬硬盘保保护卡卡和防防毒卡卡，也也有开开机保保护机机制和和密码码机制制)。。(4)设设置置安全全的口口令，，定期期更新新密码码。有关设设置安安全口口令的的措施施如下下。(1)好好的的口令令好的口口令是是那些些很难难猜测测的口口令。。难猜猜测的的原因因是因因为同同时有有大小小写字字符，，不但但有字字符，，还有有数字字、标标点符符号、、控制制字符符和空空格。。另外外，还还要容容易记记忆，，至少少有7到8个字字符长长，并并且容容易输输入。。(2)不不安安全口口令不安全全的口口令往往往是是：任任何何名字字(包包括人人名、、软件件名、、计算算机名名甚至至幻想想中事事物的的名字字)，，电话话号码码或者者某种种执照照的号号码，，社会会保障障号，，任何何人的的生日日，其其他很很容易易得到到的关关于自自己的的信息息，一一些常常用的的音调调，任任何形形式的的计算算机中中的用用户名名，在在英语语字典典或者者外语语字典典中的的词，，地点点名称称或者者一些些名词词，键键盘上上的一一些词词，任任何形形式的的上述述词再再加上上一些些数字字。(3)保保持持口令令安全全要注注意的的问题题①不不要将将口令令写下下来。。②不不要将将口令令存于于终端端功能能键或或调制制解调调器的的字符符串存存储器器中。。③不不要选选取显显而易易见的的信息息作口口令。。④不不要让让别人人知道道。⑤不不要交交替使使用两两个口口令。。⑥不不要在在不同同系统统上使使用同同一口口令。。⑦不不要让让人看看见自自己在在输入入口令令。(4)一一次次性口口令减小口口令危危险的的最有有效方方法是是根本本不用用常规规口令令。替替代的的办法法是在在系统统中安安装新新的软软件或或硬件件，使使用一次性性口令令。一一次性性口令令就是是一个个口令令只使使用一一次。。一个个用户户可能能收到到一个个打印印输出出的口口令列列表，，每次次登录录使用用完一一个口口令，，就将将它从从列表表中删删除。。用户户也可可能得得到一一个可可以携携带的的小卡卡，这这个卡卡每次次将显显示一一个不不同的的号。。用户户还可可以携携带一一个小小的计计算器器，当当登录录时，，计算算机将将会打打印出出一个个不同同的号号码，，用户户将这这个号号码输输入这这个小小小的的计算算器中中，然然后输输入自自己的的标志志号码码，计计算器器将输输出一一个口口令，，用户户将这这个口口令再再输入入计算算机中中。一次性性口令令系统统比传传统方方式能能提供供令人人惊奇奇的安安全性性能。。不幸幸的是是，它它们要要求安安装一一些特特定的的程序序或者者需要要购买买一些些硬件件，因因此现现在使使用得得并不不普遍遍。在一个个网络络中，，当用用户穿穿过Internet或或者其其他的的网络络来访访问时时，管管理员员就应应该认认真地地考虑虑使用用一次次性口口令。。否则则，攻攻击者者可以以窃听听、截截获用用户口口令，，以后后将攻攻击这这些站站点。。4.4Windows95/98/ME的的安全全保护护机制制如前所所述，，计算算机的的开机机密码码保护护机制制是非非常脆脆弱的的。因因此，，必须须寻求求其他他的保保护措措施。。例如如：操操作系系统的的安全全措施施。总的来来说，，Windows95/98/ME只能能达到到D级级，基基本上上相当当于未未加安安全措措施的的个人人计算算机系系统。。虽然然微软软的系系统加加密技技术有有点让让人担担忧，，可用用上总总比不不用好好。本本节将将以Windows98系系统为为例介介绍这这方面面的内内容。。Windows98系系统的的安全全措施施是由由登录录机制制、屏屏幕保保护密密码、、文件件夹共共享密密码和和远程程管理理密码码等部部分组组成的的。这这些安安全保保护措措施，，Windows98系统统都提提供了了安装装和设设置方方法，，大部部分方方法可可以通通过修修改Windows98系系统的的注册册表来来实现现。4.4.1Windows98的的登录录机制制Windows98系系统登登录方方式有有三种种：Microsoft网网络络用户户、Microsoft友友好登登录和和Windows登登录录。其其中Microsoft网网络用用户和和Microsoft友友好好登录录两种种选项项，只只有在在Windows98系统统安装装网络络适配配器(如网网卡或或拨号号适配配器)时才才能选选择。。1.Windows98系系统登登录严格讲讲，Windows登录录选项项对系系统起起不到到安全全保护护作用用。Microsoft公司司设计计Windows登登录机机制的的用意意主要要在于于区分分不同同用户户使用用Windows98系统统有一一个个个性化化的桌桌面和和菜单单选项项，而而不在在于保保护系系统和和防止止非法法用户户使用用计算算机。。所以以，用用户在在Windows98启动动后出出现““Windows登登录””界面面时，，如图图4.4所所示，，如不不输入入密码码，单单击““取消消”选选项也也可进进入Windows98桌桌面。。图4.42.Microsoft网网络络用户户和Microsoft友友好登登录这两种种选项项只有有Windows98在网网络中中存在在才可可以选选择，，当Windows98系系统作作为网网络中中的一一个主主机时时，这这个用用户必必须以以“Microsoft网网络用用户””的身身份登登录。。如果果用户户选择择了““Microsoft网网络络用户户”选选项，，在Windows98启启动后后出现现“Microsoft网网络用用户登登录””界面面，如如图4.5所示示，如如不输输入密密码，，单击击“取取消””选项项也可可进入入Windows98桌面面，用用户将将不能能使用用网络络资源源，但但并不不妨碍碍用户户使用用本机机的资资源。。至于于“Microsoft友友好登登录””选项项，它它与““Microsoft网网络络用户户”选选项的的作用用相同同，如如图4.6所示示，惟惟一的的区别别是登登录界界面更更漂亮亮一点点。图4.5图4.6上述述3种种选选项项的的选选择择步步骤骤是是：：启动动Windows98系系统统进进入入系系统统桌桌面面→→用用鼠鼠标标右右击击Windows98的的““网网络络邻邻居居””图图标标→→““属属性性””，，出出现现““网网络络””窗窗体体→→““配配置置””，，其其中中““主主网网络络登登录录(L)””的的设设置置即即为为““Windows98登登录录””的的设设置置选选项项，，如如图图4.7所所示示。。图4.74.4.2Windows98的的屏屏幕幕保保护护机机制制Windows98可可以以设设置置屏屏幕幕保保护护程程序序，，其其作作用用是是：：当当用用户户要要离离开开计计算算机机一一段段时时间间，，而而又又不不能能关关闭闭计计算算机机的的电电源源时时(如如计计算算机机正正在在进进行行运运算算)，，为为了了保保护护计计算算机机，，可可设设定定计计算算机机在在一一段段时时间间后后不不进进行行操操作作，，计计算算机机将将进进入入屏屏幕幕保保护护状状态态以以保保护护计计算算机机的的显显示示器器和和硬硬盘盘，，使使其其进进入入节节能能状状态态。。在在设设置置屏屏幕幕保保护护程程序序时时，，可可选选择择““密密码码保保护护””选选项项，，这这样样当当计计算算机机进进入入““屏屏幕幕保保护护””状状态态后后，，如如要要使使计计算算机机恢恢复复到到正正常常状状态态，，就就需需要要密密码码，，否否则则将将不不能能操操作作计计算算机机，，从从而而达达到到保保护护计计算算机机安安全全的的目目的的。。Windows98系系统统屏屏幕幕保保护护程程序序设设计计的的步步骤骤为为：：启动动Windows98系系统统进进入入系系统统桌桌面面，，选选择择““启启动动””→““设设置置””→→““控控制制面面板板””→→““显显示示””，，出出现现““显显示示属属性性””窗窗体体，，选选择择““屏屏幕幕保保护护程程序序””选选项项，，如如图图在在““屏屏幕幕保保护护程程序序)””位位置置，，可可选选择择屏屏幕幕保保护护程程序序，，同同时时，，选选定定““密密码码保保护护””选选项项，，可可输输入入保保护护密密码码，，如如图图4.8所所示示，，同同时时输输入入启启动动保保护护程程序序的的时时间间，，按按““确确定定””，，就就完完成成了了屏屏幕幕保保护护程程序序的的设设置置工工作作。。4.4.3Windows98共共享享资资源源和和远远程程管管理理机机制制当Windows98系系统统与与其其他他计计算算机机联联成成网网络络时时，，计计算算机机的的资资源源可可以以相相互互共共享享，，为为了了保保护护计计算算机机系系统统的的安安全全，，Windows98有有简简单单的的权权限限控控制制，，其其访访问问控控制制方方式式有有两两种种：：共共享享级级访访问问控控制制方方式式和和用用户户级级访访问问控控制制方方式式。。用户户级级访访问问控控制制方方式式要要求求在在网网络络中中必必须须有有域域服服务务器器，，通通过过域域服服务务器器(例例如如WindowsNT/2000的的域域服服务务器器)来来管管理理Windows98的的资资源源，，这这种种方方法法安安全全性性较较高高，，其其设设置置方方法法同同WindowsNT/2000的的共共享享资资源源的的设设置置，，将将陆陆续续在在WindowsNT/2000的的安安全全性性中中讲讲解解。。在没没有有域域服服务务器器的的对对等等网网络络中中，，Windows98的的共共享享资资源源管管理理只只能能采采用用共共享享级级访访问问控控制制方方式式，，选选择择共共享享级级控控制制方方式式的的权权限限有有3种种：：““只只读读””、、““完完全全””和和““根根据据密密码码访访问问””。。选选择择““只只读读””时时，，其其他他计计算算机机用用户户只只能能读读取取本本机机共共享享目目录录下下的的文文件件和和子子目目录录，，而而不不能能修修改改和和删删除除该该目目录录下下的的文文件件和和子子目目录录；；选选择择““完完全全””共共享享类类型型，，其其他他计计算算机机用用户户可可完完全全控控制制(即即：：可可以以读读取取也也可可修修改改或或删删除除)共共享享目目录录下下的的文文件件和和子子目目录录；；选选择择““需需要要密密码码””时时，，需需要要输输入入““只只读读””和和““完完全全””共共享享的的密密码码，，其其他他计计算算机机用用户户必必须须提提供供密密码码来来决决定定它它使使用用共共享享目目录录下下的的文文件件和和子子目目录录。。图4.8Windows98系系统统共共享享资资源源的的访访问问控控制制方方式式设设置置步步骤骤为为：：(1)““Microsoft网网络络上上的的文文件件和和打打印印机机共共享享””的的设设定定启动Windows98系系统进进入系系统桌桌面→→用鼠鼠标右右击Windows98的的“网网络邻邻居””图标标→““属性性”，，出现现“网网络””窗体体→““配置置”→→“添添加””，出出现““请选选择网网络组组件类类型””窗体体，在在窗体体中选选择““服务务”，，单击击“添添加””按钮钮→““选择择网络络服务务”窗窗体，，在““选择择网络络服务务”窗窗体中中，选选择““Microsoft网网络络上的的文件件和打打印机机共享享”，，单击击“确确认””按钮钮，关关闭““选择择网络络服务务”窗窗体→→单击击“取取消””按钮钮，关关闭““请选选择网网络组组件类类型””窗体体，回回到““网络络”窗窗体→→在““网络络”窗窗体中中单击击“文文件及及打印印共享享”→→“文文件及及打印印共享享”窗窗体，，将所所有““允许许其他他用户户访问问我的的文件件”和和“允允许其其他用用户使使用我我的打打印机机”两两个选选项选选上,关闭闭窗口口返回回到““网络络”窗窗体中中，如如图4.9所示示。图4.9(2)设设置““共享享级访访问控控制方方式””在(1)中中的““网络络”窗窗体中中，选选择““访问问控制制”，，选择择“共共享级级访问问控制制”，，如图图4.10所示示，单单击““确定定”按按钮，，重新新启动动Windows98系统统。图4.10(3)设设置置共享享权限限当设置置完步步骤(1)和(2)后，，如要要将计计算机机的资资源(假设设磁盘盘C)设置置成共共享权权限，，设置置步骤骤如下下：重重新启启动计计算机机，在在出现现登录录对话话框中中输入入一个个用户户名及及其密密码后后，单单击““确定定”按按钮即即登录录到本本机，，同时时可以以使用用网络络上的的共享享资源源。用用户名名和密密码是是由用用户任任意设设定的的第一一次使使用某某个用用户名名登录录时需需要确确认输输入的的密码码。注意：：在在输入入用户户名和和密码码后，，必须须单击击“确确定””按钮钮方可可访问问网络络中的的资源源，如如果““取消消”则则仅将将该机机作为为单机机使用用，在在网络络邻居居中将将找不不到其其他计计算机机的共共享资资源。。当进入入到计计算机机Windows98系统统后，，打开开“我我的电电脑””，右右击磁磁盘C：的的图标标，在在出现现的菜菜单中中，选选择““共享享”，，在屏屏幕显显示的的对话话框中中选择择“共共享为为”，，输入入一个个共享享名(如““Win98C””)，，选择择3种种共享享方式式中的的一种种：选选择““只读读”、、“完完全””或““根据据密码码访问问”，，选择择“根根据密密码访访问””时，，还需需输入入“只只读””和““完全全”共共享的的共享享密码码(为为了使使计算算机系系统更更加安安全可可靠，，一般般设定定共享享资源源的权权限最最好采采用““根据据密码码访问问”)。如如图4.11所所示，，这样样其他他计算算机用用户就就可以以使用用设置置的共共享资资源Win98C了。。图4.11(4)使使用用Windows98的共共享资资源在网络络中，，如有有计算算机使使用已已设置置好的的共享享资源源(如如计算算机WS1的共共享资资源Win98C)，，当该该计算算机登登录到到Windows98系统统后，，打开开“网网上邻邻居””，显显示““整个个网络络”以以及同同组的的各计计算机机名，，将发发现计计算机机WS1。。双击击WS1，，显示示共享享名Win98C，双双击共共享名名Win98C可可以访访问WS1的磁磁盘C上的的文件件或目目录(如果果Win98C资资源源设定定的权权限是是“根根据密密码访访问””，则则双击击共享享名Win98C后还还需提提供相相关的的密码码)。。另外，，Windows98系统统的资资源可可通过过远程程的计计算机机来管管理，，这就就是Windows98的的远程程管理理机制制，启启动Windows98远远程管管理机机制，，其他他局域域网的的网络用户户可以以通过过网络络管理理Windows98系统统下的的文件件和打打印机机(包包括Windows98资资源的的共享享访问问机制制的设设置)。启动Windows98远远程管管理机机制的的步骤骤为：：(1)启启动Windows98远远程管管理服服务启动Windows98系系统进进入系系统桌桌面，，选择择“开开始””→““设置置”→→““控制制面板板”→→““密码码”→→“密密码属属性””窗体体，在在“密密码属属性”