计算机及网络系统安全策略

第4章计算机及网络系统安全性4.1计算机系统安全保护机制4.2计算机系统安全等级4.3计算机开机口令验证机制4.4Windows95/98/ME安全保护机制4.5利用注册表提升Windows95/98/ME安全性4.6Windows98系统安全策略编辑器4.7Windows95/98/ME缺点和防范办法4.8计算机文档保密问题4.9本章小结练习题计算机及网络系统安全策略第1页计算机和网络工作站是当前应用最广泛设备，计算机网络安全在很大程度上依赖于网络终端和客户工作站安全。当前计算机系统安全级别尤其低，几乎没有进行尤其有力防范办法。在未联网单机时代，安全问题造成损失较少，并未引发人们注意。处于网络时代今天，未加保护计算机系统联入网络，因为非法用户入侵、计算机数据破坏和泄密，将会给人们造成无法估量损失。所以，了解和掌握计算机及网络系统安全保护机制，加强安全防范办法，使计算机系统变得愈加安全，已变得非常必要。本章主要讨论相关计算机系统安全方面内容，包含：计算机及网络系统安全策略第2页计算机系统安全保护机制；评定计算机系统安全等级；计算机BIOS程序安全设置和保护机制；计算机BIOS程序密码破解和防范措施；Windows95/98/ME有关安全保护机制；非法用户入侵Windows95/98/ME方法和防范措施；Windows95/98/ME对等网络中权限和安全机制；计算机Word文档保密问题。计算机及网络系统安全策略第3页4.1计算机系统安全保护机制伴随计算机技术发展，计算机系统安全越来越被人们所关注。非授权用户经常对计算机系统进行非法访问，这种非法访问使系统中存放信息完整性受到威胁，造成信息被修改或破坏而不能继续使用，更为严重是系统中有价值信息泄密和被非法篡改、伪造、窃取或删除而不留任何痕迹。要保护计算机系统，必须从技术上了解计算机系统安全访问控制保护机制。为了预防非法用户使用计算机系统或者正当用户对系统资源非法访问，需要对计算机实体进行访问控制。比如，银行信息系统自动提款机为正当用户提供现款，但它必须对提款用户身份进行识别和验证，对提款行为进行监督控制，以预防非法用户欺诈行为。计算机及网络系统安全策略第4页存取控制主要包含授权、确定存取权限和实施权限3个内容。一个计算机系统存取控制仅指本系统内主体对客体存取控制，不包含外界对系统存取(其中主体指使用网络系统用户和用户组，客体指网络系统中系统资源，如文件、打印机等资源)。所以，实施存取控制是维护系统运行安全、保护系统资源主要技术伎俩。存取控制是对处理状态下信息进行保护，是确保对全部直接存取活动进行授权主要伎俩；同时，存取控制要对程序执行期间访问资源正当性进行检验。它控制着对数据和程序读、写、修改、删除、执行等操作，预防因事故和有意破坏对信息威胁。存取控制必须对访问者身份和行为实施一定限制，这是确保系统安全所必须。计算机及网络系统安全策略第5页要处理上述问题，需要采取两种办法：识别与验证访问系统用户；决定用户对某一系统资源可进行何种访问(读、写、修改、运行等)。4.1.1用户识别和验证要求用户在使用计算机以前，首先向计算机输入自己用户名和身份判别数据(如口令、标识卡、指纹等)，方便进行用户识别与验证，预防冒名顶替和非法入侵。所谓“识别”，就是要明确访问者是谁，即识别访问者身份。必须对系统中每个正当用户都有识别计算机及网络系统安全策略第6页能力，要确保识别有效性，必须确保任意两个不一样用户都不能含有相同标识符。经过惟一标识符(1D)，系统能够识别出访问系统每一个用户。所谓“验证”，是指在访问者申明自己身份(向系统输入它标识符)后，系统必须对它所申明身份进行验证，以防假冒，实际上就是证实用户身份。验证过程总是需要用户出具能够证实他身份特殊信息，这个信息是秘密，任何其它用户都不能拥有它。识别与验证是包括到系统和用户一个全过程。只有识别与验证过程都正确后，系统才能允许用户访问系统资源。利用物理锁能够对一些主要资源实施控制。只要计算机及网络系统安全策略第7页把需要保护系统资源用锁锁上，而钥匙由自己掌握，那么没有钥匙人是不能访问受到保护资源。在这里，ID相当于钥匙，系统依据不一样ID可对其分配对应不一样可使用资源。但拥有钥匙用户不一定是正当拥有者，所以需采取验证技术证实用户正当身份，这种技术能够有效地预防因为ID非法泄露所产生安全问题。口令机制是一个简便验证伎俩，但比较脆弱。生物技术，如利用指纹、视网膜技术等，是一个比较有前途方法。当前计算机系统最惯用验证伎俩仍是口令机制，它经过下述各种方法来加强其可靠性。口令需加密后存放在系统数据库中，普通采取单向加密算法对口令进行加密。计算机及网络系统安全策略第8页要使输入口令次数尽可能降低，以防意外泄露。当用户离开系统所属组织时，要及时更换他口令。不要将口令存放在文件或程序中，以防其它用户读取该文件或程序时发觉口令。用户要经常更换口令，使自己口令不易被猜测出来。4.1.2决定用户访问权限对于一个已被系统识别与验证了用户，还要对其访问操作实施一定限制。能够把用户分为含有以下几个属性用户类。计算机及网络系统安全策略第9页特殊用户：这种用户是系统管理员，含有最高级别特权，能够对系统任何资源进行访问，并含有全部类型访问、操作能力。普通用户：即系统普通用户，他们访问操作要受到一定限制，通常需要由系统管理员对这类用户分配不一样访问操作权力。审计用户：这类用户负责整个系统范围安全控制与资源使用情况审计。作废用户：这是一类被拒绝访问系统用户，也可能是非法用户。计算机及网络系统安全策略第10页4.2计算机系统安全等级为了对一个计算机系统进行安全评定，美国国防部按处理信息等级和应采取对应办法，将计算机安全分为：A、B、C、D4等8个级别，共27条评定准则。从最低等级D等开始，到A等。伴随安全等级提升，系统可信度随之增加，风险逐步降低。下面，对每个安全等级内容和要求作简明说明。4.2.1非保护级D等是最低保护等级，即非保护级。它是为那些经过评定，但不满足较高评定等级要求系统设计，只含有一个级别。该等是指不符合要求那些系统。所以，这种系统不能在多用户环境下处理敏感信息。D级并非没有安全保护功效，只是保护功效太弱。计算机及网络系统安全策略第11页4.2.2自主保护级C等为自主保护级，含有一定保护功效，采取办法是自主访问控制和审计跟踪。它普通只适合用于含有一定等级多用户环境，并含有对主体责任和对他们初始动作审计能力。它各级提供无条件安全保护，并经过审计追踪，对主体及其产生动作负责。这一等级分为Cl和C2两个级别。1.自主安全保护级(C1级)其存取控制基础是以指名道姓方式，提供了各用户与数据隔离，以符合自主安全要求。它包含了若干可信控制方式，能在个体基础上实施存取限制，即允许用户保护他自己项目和隐私信息，预防他数据被别用户无意读取或破坏。计算机及网络系统安全策略第12页Cl级经过提供用户与数据隔离，就能够满足市场可信计算机(TCB，trustedcomputingbase)自动安全要求。所谓可信计算机是一个安全计算机系统参考校验机制。它包含全部负责实施安全策略，以及对保护系统所依赖客体实施隔离操作系统单元，简单地说，即全部与系统安全相关功效均包含在TCB中。在这一级，TCB应在命名用户和命名客体之间定义和进行访问控制。它用机理(如个人／组／公共控制、访问控制表)应允许客体拥有者指定和控制客体是由自己使用，还是由用户组或公共使用。该级需要在进行任何活动之前，TCB去确认用户身份(如采取口令)，并保护确认数据，以免未经授权计算机及网络系统安全策略第13页对确认数据访问和修改。经过用户拥有者自主定义和控制，能够预防自己数据被别用户有意或无意地读出、篡改、干涉和破坏。同时提供软件和硬件特征，并定时检验其运行正确性。系统完整性要求硬件和软件能提供确保TCB连续有效操作特征。当前生产大多数计算机系统都能到达这一等级，但这级系统不一定要经过严格评价。评价为Cl级多是依据系统一些特点。2.可控安全保护级(C2级)在C2级，计算机系统比C1级有更详细自主访问控制。经过注册过程，同与安全相关事件和资源隔离，使得用户操作有可查性。在安全方面，除计算机及网络系统安全策略第14页具备Cl级全部功效外，还提供授权服务。而且可提供控制，以预防存取权力扩散。应确定用户动作或默认客体提供保护，防止非授权存取。它可指定哪些用户能够访问哪些客体，未经授权用户不得访问已指定访问权客体。同时还提供了客体再用功效，即对于一个未使用存放客体，TCB应该能够确保该客体不包含未授权主体数据。在这首先，除含有Cl级全部功效外，还提供惟一识别自动数据处理系统中各个用户能力；提供将这种身份与该客体用户发生全部审计动作相联络能力。C2级系统能与该识别符合，可审计全部主体进行各种活动；能对可信计算机(TCB)进行建立和维护，对客体存取审计进行跟踪，并保护审计信息，预防被修改、毁坏或未经授权访问。计算机及网络系统安全策略第15页TCB还能统计以下类型事件：确认和识别安全机理使用，将客体引入一用户地址空间，客体删除，操作人员、系统管理人员和安全管理人员进行各种与安全相关活动。对每个审计事件，审计统计应包含：用户名、事件发生时间、事件类型、事件成功或失败等。对于确认事件，请求源(如终端ID)也应包含在审计统计中。对于客体进行访问事件，审计统计应包含客体名。自动数据处理系统管理人员应能经过识别符，有选择地审计任一用户或多个用户活动。除Cl级要求外，TCB还必须保留一特定区域，以防外部人员篡改。因为TCB控制资源是以主体计算机及网络系统安全策略第16页和客体定义子集，TCB应与被保护资源隔离，以使存取控制更轻易，从而到达审计目标。DEC企业VAX／VMS操作系统、Novell企业NetWare系统和Microsoft企业WindowsNT/都被确认为C2级。4.2.3强制安全保护级B等为强制保护级，这一等级比C等级安全功效有很大增强。它要求对客体实施强制访问控制，并要求客体必须带有敏感标志，可信计算机利用它去施加强制访问控制。这一部分可分为Bl、B2、B3共3级。计算机及网络系统安全策略第17页1.标识安全保护级(B1)从本级开始，不但有自主存取控制，还增加了强制存取控制，组织统一干预每个用户存取权限。本级含有C2级全部安全特征，并增加了数据标识，以标识决定已命名主体对该客体存取控制。本级还要求在测试过程中发觉缺点应该已全部排除。2.结构化保护级(B2)从本级开始，按最小特权标准取消权力无限大“特权用户”。任何一个人都不能享受操纵和管理计算机全部权力。本级将系统管理员与系统操作员职能隔离，系统管理员对系统配置和可信设施进行强有力管理，系统操作员操纵计算机正常运行。本级将强制存取控制扩展到计算机全部主体计算机及网络系统安全策略第18页和全部客体，而且要发觉和消除能造成信息泄漏隐蔽存放信道。为此，本级计算机安全级结构，将被自行划分为与安全保护相关关键部分和非关键部分。3.安全域级(B3)本级在计算机安全方面已到达当前能到达最完备等级。按照最小特权标准，本级增加了安全管理员，将系统管理员、系统操作员和安全管理员职能隔离，使其各司其职，将人为原因对计算机安全威胁减至最小。本级要求在计算机安全级结构中，没有为实现安全策略所无须要代码。它全部部分都是与保护相关关键部件，而且它是用系统工程方法实现，其结构复杂性最小，易于分计算机及网络系统安全策略第19页析和测试。本级审计功效有很大增加，不但能统计违反安全事件，而且能发出报警信号。本级还要求含有使系统恢复运行程序。4.2.4验证安全保护级A等是验证保护级。它显著特征是从形式设计规范说明和验证技术导出分析，并高度地确保正确地实现TCB。其特点是使用形式化验证方法，以确保系统自主访问和强制访问，控制机理能有效地使该系统存放和处理秘密信息或其它敏感信息。该等级分为A1和超A1两个级别。1.验证设计级(A1级)本级安全功效与B3级基本相同，但最显著不计算机及网络系统安全策略第20页同是本级必须对相同设计，利用数学形式化证实方法加以验证，以证实安全功效正确性。本级还要求了将安全计算机系统运输到现场安装所必须程序。2.超A1级因为超Al级超出当前技术发展，有些详细要求极难提出，仅提供了一些构想。它为今后研究提供指导。总而言之，对可信计算机而言，D级是不具备最低程度安全等级；C1和C2级是具备最低安全程度等级；B1和B2级是含有中等安全保护能力等级，与C级相比是较高安全等级，对于普通主要应用基本上能够满足安全要求；B3级和A1级是最计算机及网络系统安全策略第21页高安全等级，其成本高，只有极主要应用才需使用这种安全等级设备。4.3计算机开机口令验证机制当前PC机是世界上使用最多计算机，PC机上运行操作系统多为MSDOS或Windows95/98/ME等，而Windows95/98/ME等系统简单易学，且含有友好界面、丰富应用软件成为个人用户首选。然而，因为Windows95/98/ME本身就不是为网络应用设计，所以它存在许多安全性方面问题，是十分轻易被攻击。依据美国计算机安全中心(NCSC)公布可信计算机系统评价准则(TCSEC，trustedcomputer计算机及网络系统安全策略第22页systemevaluationcriteria)，Windows95/98/ME只能达到D级，基本上相当于未加安全措施个人计算机系统。而在其次，因为Windows95/98/ME流行，许多黑客工具在设计时就考虑了Windows95/98/ME兼容性，许多黑客也利用它来攻击网络系统。所以，对于个人计算机系统，用启动开机口令开机验证机制防止非法用户使用计算机，是非常必要。开机口令开机验证机制是由计算机BIOS(BaseInput/OutputSystem)程序来管理，下面将介绍这方面内容。计算机及网络系统安全策略第23页4.3.1BIOS口令机制BIOS口令机制俗称CMOS口令设置，CMOS口令是确保计算机信息安全第一道屏障。CMOS(本意是指互补金属氧化物半导体存放器，应用于集成电路芯片制造)是电脑主板上一块可读写RAM芯片，主要用来保留当前系统硬件配置，CMOSRAM芯片由系统经过一块后备电池供电，所以不论是开或关机状态中，CMOS信息都不会丢失。CMOS口令分为CMOS开机口令和BIOS设置口令。如设置了CMOS开机口令，则计算机在开机完成硬件自检后将要求操作者输入密码，如密码不正确，将不能进入CMOS参数设置，亦无法继续开启操作系统，更无从谈起运行其它软件了。计算机及网络系统安全策略第24页如计算机仅设置了BIOS设置口令，则即使在开启操作系统和运行各种软件时不受限制，但如要进入BIOS设置程序必须输入预设口令，不然无法改变CMOS参数。所以，依据实际需要，合理地设置CMOS口令，是做好计算机信息安全工作主要路径。计算机有很各种不一样BIOS程序，最有名是AWARDBIOS和AMIBIOS程序。下面以AWARDBIOS为例讨论BIOS中CMOS开机密码设置，设置方法以下。(1)开启计算机，在计算机正在开启时不停地按DEL键(注意，是不停地按动，而不是按住不放)，直到出现如图4.1所表示CMOSSETUP设置界面时计算机及网络系统安全策略第25页为止(有计算机进入CMOS快捷键不是DEL，比如康柏计算机CMOS设置是按F2键，需要看详细情况而定)，其中加框选项与开机CMOS密码相关。(2)用键盘上光标键选择SUPERVISORPASSWORD项，然后回车，出现ENTERPASSWORD后，输入密码再回车，这时又出现CONFIRMPASSWORD，在其后再次输入同一密码(注：该项原意是对刚才输入密码进行校验，假如两次输入密码不一致，则会要求重新输入)。SUPERVISORPASSWORD选项是用来设置计算机管理员密码，拥有该密码，就能够设置计算机CMOS参数和使用计算机。计算机及网络系统安全策略第26页(3)用光标键选择USERPASSWORD项后回车，同上面一样，密码需输入两次才能生效。以上设置两个密码分别为设置密码和修改CMOSSETUP密码，提议两个均取同一密码，方便记忆。USERPASSWORD选项是用来设置使用计算机用户密码，拥有该密码，就能够使用计算机。(4)选择BIOSFEATURESSETUP项回车，出现BIOSFEATURESSETUP设置界面，用光标键选择SECURITYOPION选项后，用键盘上PAGEUP/PAGEDOWN键把选项改为SYSTEM(设定为SYSTEM目标是让计算机在任何时候都要检测密码，包含开启机器，SECURITYOPION选项还有一个参数SETUP，设定为该参数表示计算机在设置CMOS参数时要检测密码)，然后按ESC键退出。计算机及网络系统安全策略第27页(5)选择SAVE&EXITSETUP项回车，出现提醒后按Y键再回车，以上设置密码即可生效。计算机及网络系统安全策略第28页图4.1计算机及网络系统安全策略第29页经过以上步骤设置以后，在计算机开启和设置CMOS参数时都要检测密码。4.3.2BIOS口令破解与防范办法1.几个常见密码破解方法在日常工作中，常碰到一些用户因为遗忘了CMOS口令或无意中设置了CMOS口令，致使计算机无法开启操作系统或无法进行CMOS参数设置情况，很多用户对此束手无策，只能送计算机企业修理，耽搁了很多时间。其实，依据CMOS口令设置情况，能够有很多方法来破解，其标准是：假如设置了CMOS开机口令，计算机及网络系统安全策略第30页必须采取硬件或CMOS万能密码法破解；假如仅设置了BIOS设置口令，破解这种口令简直易如反掌！下面给出破解CMOS口令各种方法。注意：这些方法当然也有可能会被黑客们利用，所以亦应针对这些破解方法，做好自己计算机CMOS口令保护。2.硬件法破解CMOS口令忘记了电脑BIOS密码是一件不幸事，假如将BIOS设置中SEURITYOPTION(密码属性)设为ALWAYS/SETUP或SYSTEM则更是不幸中不幸，因为此时既无法进入CMOS设置程序更改口令，也无法开启操作系统用其它方法破解，只能采取在硬件上进行CMOS掉电处理和使用万能密码这两类方法处理。计算机及网络系统安全策略第31页下面介绍CMOS掉电处理方法。这里首先需要提及是，硬件破解各种方法均需在计算机关机状态下进行(最好将电源线拔掉，对于ATX电源尤应如此)，先去除人身上静电，再打开计算机机箱进行，不然可能造成计算机硬件损坏。(1)跳线/开关放电破解法计算机主板上普通都有CMOSCLEAR(CMOS去除)跳线位置，可参考主板说明书或主板上印制跳线说明，用一跳线在该位置上跳接一下，CMOS口令就被去除了，然后将跳线恢复原状，开机后即能进入CMOS设置。(2)导线划芯片放电破解法硬件破解CMOS口令本质是让CMOSRAM芯片计算机及网络系统安全策略第32页掉电，使其中保留设置信息丢失，从而到达去除CMOS口令目标(上面跳线法实质也是这么)，抓住了这一点，在处理这类问题时，可先将CMOS电池卸下，然后用一根导线，将其一端接到CMOS电池插座地线端，用另一端往CMOSRAM片两排脚上轻轻地一扫而过(如不能确认哪块是CMOS芯片，则可多扫几块芯片，扫时注意别损伤了芯片引脚)，CMOS密码便会被去除。此方法适合用于计算机主板上没有设计CMOSCLEAR跳线情况。(3)卸电池等候法这是一个麻烦和消极方法。我们知道，CMOS是靠主板上一块电池及对应从属电路来提供电源计算机及网络系统安全策略第33页以保持设置信息，所以，假如将CMOS电池取下，再将电池接口正负极(注意不是电池正负极)短路，然后等候一段时间后，CMOS供电电路中残余电能将会消耗完，CMOS口令就会被去除了。假如CMOS电池是焊接在主板上，则需先焊下来再试用上述第(2)、(3)方法。所以只有在确认主板上确实没有设计CMOSCLEAR跳线情况下，才可采取后两种方法。3.用CMOS万能密码破解开机口令假如计算机机箱加锁(比如众多进口原装计算机)或因为其它原因无法打开机箱，自然也就无法进行上述硬件破解法，那么是否还有方法能破解计算机及网络系统安全策略第34页CMOS开机口令呢？答案是必定，下面向读者介绍一个不用拆机箱软方法——万能密码。原理：在BIOS密码中也有像WPS那样万能密码，但不一样BIOS厂家有不一样密码。(1)用CMOSPWD获取CMOS万能密码计算机BIOS版本太多，不一样版本万能密码也不一样，想用上述几个密码“通行”于全部版本BIOS显然是不可能。那么怎样取得更多万能密码呢？在Inernet网上有一个运行在DOS环境下CMOSPWD.EXE软件能够做到这一点。图4.2是CMOSPWD.EXE程序一个运行结果汇报。由此运行结果能够看出，CMOSPWD工具能够获取各种BIOS类型CMOS万能密码。所以，当忘计算机及网络系统安全策略第35页记了计算机CMOS密码时，可找一台相同计算机，给其设置上CMOS开机口令，然后运行CMOSPWD找到“万能钥匙”，再用到自己计算机上即可。(2)用UNAWARD获取AWARDBIOS万能密码UNAWARD.EXE能够帮你轻松地取得AwardBIOS万能密码，而且还有三个：纯数字密码、小写字母密码和大写字母密码。假如你愿意，还能够用该软件DISABLE(禁用)这些万能密码，甚至删除这些密码。执行UNAWARD.EXE程序，显示如图4.3所表示。计算机及网络系统安全策略第36页图4.2计算机及网络系统安全策略第37页图4.3计算机及网络系统安全策略第38页通常同型号主机AWARDBIOS万能密码是一致。所以当忘记了AWARDBIOS密码时，不用着急，试着在身边找找或打电话问问朋友们主板型号、厂商是否与自己这台主机主板相同，假如有话，用UNAWARD.EXE将那台机子上密码获取后再传回来，一切就大功告成了。UNAWARD.EXE在Internet上能够下载。注意：若需BIOS万能密码，必须先在超级用户密码(SUPERVISORPASSWORD)中设置密码，如没有超级用户密码选项，则必须在用户密码(USERPASSWORD)中设置密码，不然该软件不能用作BIOS万能密码。计算机及网络系统安全策略第39页(3)使用通用CMOS密码当前大部分主板使用AWARD企业BIOS程序，部分主板使用AMI企业BIOS程序，一些厂家在生产主板时为自己BIOS预留了通用CMOS密码，以解一时之需。其中AWARDBIOS只有4.51版以前才有通用密码。据当前所知，有以下通用密码(按成功概率排序)。AWARDBIOS：wantgirlSyxzdirrideBBBh996wnatgirlAwardAMIBIOS：Sysg以上通用密码在386、486或飞跃主板上破解CMOS几乎百发百中，但在PⅡ级以上主板存在通用密码可能性就较少了。计算机及网络系统安全策略第40页4.用万能密码程序准确破解BIOS设置口令假如在微机BIOSSETUP程序中设置了CMOS口令，但在PASSWORDOPTION(密码选项)中选择为SETUP时，无须打开机箱，只要简单地利用上面介绍万能密码程序在当前计算机上运行一下，即可轻松和准确地取得这台计算机CMOS万能密码，然后用此万能密码即可进入BIOSSETUP程序中更改各种CMOS参数了。(1)用DEBUG破解SETUP设置口令在微机BIOSSETUP程序中设置了口令，但在PASSWORDOPTION(密码选项)中选择为SETUP时，可简单地利用DOS中DEBUG程序去除CMOS口令。计算机及网络系统安全策略第41页当计算机接通电源时，首先执行是BIOS加电自检程序，对整个系统进行全方面检测，其中也要对CMOSRAM中配置信息相关单元作累加和测试，并与原来存放结果进行比较，当二者相吻合时，则CMOSRAM中配置有效，程序继续进行其它测试；当发觉累加和与原值不相等时，则要求重新配置，并能自动地按实际情况进行最小配置设定，此时原来CMOS口令也会被自动消除。利用这一点，只要往CMOSRAM中80口10H~2DH(配置信息存放单元)中任一单元写入一个数，即可去除CMOSSETUP口令。详细操作以下：从A：或C：开启，然后运行DEBUG程序(从DOS目录中拷贝或运行)，输入：计算机及网络系统安全策略第42页C>debug(回车)–O7010(回车)–O7110(回车)–q(回车)然后重新开启系统，密码即被去除，系统将要求重新配置CMOS参数，这么便能够重新进入BIOSSETUP接口去设计系统配置了。(2)输入代码破解SETUP设置口令使用本方法生成可执行文件能够去除CMOS密码。本方法最大特点是不需使用任何工具软件，而只需简单地使用DOS内部COPY命令，从键盘上输入所需代码，并生成所需破解程序。计算机及网络系统安全策略第43页A：\>copycon179，55，136，216，230，112，176，32，230，113，254，195，128，251，64，117，241，195^Z回车注意：输入上述数字时必须用键盘上Alt键加小键盘上数字键来输入，其中逗号表示输入到该处时松一下双手再继续输入，而非真输入逗号；^Z代表按Ctrl＋Z键(也可按F6键)结束文件输入，最终回车在当前目录下生成可执行文件。运行生成可执行文件，再重新冷开启计算机，会发觉原来CMOS设置口令已经被去除了。一样需注意是，该方法在一些计算机上可能会不起作用。计算机及网络系统安全策略第44页5.防范CMOS密码破解经过对几个常见CMOS密码破解方法介绍，能够了解到要破解CMOS密码前提条件。采取硬件破解法必须能够打开机箱，所以预防硬件破解法主要办法是给主机机箱加上物理锁。对于采取万能密码，当前没有好防范办法，假如非法用户持有万能密码，这开机密码安全保护办法已失去效用，只能靠其它安全办法，如经过操作系统安全机制。另外市场上有些硬盘保护卡和防毒卡也有开机保护机制和密码机制，也能起到CMOS密码功效，且破解可能性要比CMOS密码机制更难些。计算机及网络系统安全策略第45页要防范采取工具软件破解CMOS密码，最主要是不能让非法用户在被保护计算机上物理性地执行工具软件，可采取以下办法。(1)屏蔽计算机软驱和光驱，使之不能从软驱和光驱引导操作系统。(2)使用者不能在计算机处于交互状态(即可执行用户命令状态)时离开计算机；如若离开计算机，应该关机、锁定键盘或使计算机处于安全保护状态(比如Windows98系统带密码屏幕保护状态)。(3)有条件用户能够给计算机加安全保护卡(比如硬盘保护卡和防毒卡，也有开机保护机制和密码机制)。(4)设置安全口令，定时更新密码。计算机及网络系统安全策略第46页相关设置安全口令办法以下。(1)好口令好口令是那些极难猜测口令。难猜测原因是因为同时有大小写字符，不但有字符，还有数字、标点符号、控制字符和空格。另外，还要轻易记忆，最少有7到8个字符长，而且轻易输入。(2)不安全口令不安全口令往往是：任何名字(包含人名、软件名、计算机名甚至幻想中事物名字)，电话号码或者某种执照号码，社会保障号，任何人生日，其它很轻易得到关于自己信息，一些惯用音调，任何形式计算机中用户名，在英语字典或者外语字典中词，地点名称或者一些名词，键盘上一些词，任何形式上述词再加上一些数字。计算机及网络系统安全策略第47页(3)保持口令安全要注意问题①不要将口令写下来。②不要将口令存于终端功效键或调制解调器字符串存放器中。③不要选取显而易见信息作口令。④不要让他人知道。⑤不要交替使用两个口令。⑥不要在不一样系统上使用同一口令。⑦不要让人看见自己在输入口令。(4)一次性口令减小口令危险最有效方法是根本不用常规口令。替换方法是在系统中安装新软件或硬件，使用计算机及网络系统安全策略第48页一次性口令。一次性口令就是一个口令只使用一次。一个用户可能收到一个打印输出口令列表，每次登录使用完一个口令，就将它从列表中删除。用户也可能得到一个能够携带小卡，这个卡每次将显示一个不一样号。用户还能够携带一个小计算器，当登录时，计算机将会打印出一个不一样号码，用户将这个号码输入这个小小计算器中，然后输入自己标志号码，计算器将输出一个口令，用户将这个口令再输入计算机中。一次性口令系统比传统方式能提供令人惊奇安全性能。不幸是，它们要求安装一些特定程序或者需要购置一些硬件，所以现在使用得并不普遍。计算机及网络系统安全策略第49页在一个网络中，当用户穿过Internet或者其它网络来访问时，管理员就应该认真地考虑使用一次性口令。不然，攻击者能够窃听、截获用户口令，以后将攻击这些站点。4.4Windows95/98/ME安全保护机制如前所述，计算机开机密码保护机制是非常脆弱。所以，必须寻求其它保护办法。比如：操作系统安全办法。总来说，Windows95/98/ME只能到达D级，基本上相当于未加安全办法个人计算机系统。即使微软系统加密技术有点让人担忧，可用上总比不用好。本节将以Windows98系统为例介绍这方面内容。计算机及网络系统安全策略第50页Windows98系统安全办法是由登录机制、屏幕保护密码、文件夹共享密码和远程管理密码等部分组成。这些安全保护办法，Windows98系统都提供了安装和设置方法，大部分方法能够经过修改Windows98系统注册表来实现。4.4.1Windows98登录机制Windows98系统登录方式有三种：Microsoft网络用户、Microsoft友好登录和Windows登录。其中Microsoft网络用户和Microsoft友好登录两种选项，只有在Windows98系统安装网络适配器(如网卡或拨号适配器)时才能选择。计算机及网络系统安全策略第51页1.Windows98系统登录严格讲，Windows登录选项对系统起不到安全保护作用。Microsoft企业设计Windows登录机制用意主要在于区分不一样用户使用Windows98系统有一个个性化桌面和菜单项选择项，而不在于保护系统和预防非法用户使用计算机。所以，用户在Windows98开启后出现“Windows登录”界面时，如图4.4所表示，如不输入密码，单击“取消”选项也可进入Windows98桌面。计算机及网络系统安全策略第52页图4.4计算机及网络系统安全策略第53页2.Microsoft网络用户和Microsoft友好登录这两种选项只有Windows98在网络中存在才能够选择，当Windows98系统作为网络中一个主机时，这个用户必须以“Microsoft网络用户”身份登录。假如用户选择了“Microsoft网络用户”选项，在Windows98开启后出现“Microsoft网络用户登录”界面，如图4.5所表示，如不输入密码，单击“取消”选项也可进入Windows98桌面，用户将不能使用网络资源，但并不妨碍用户使用本机资源。至于“Microsoft友好登录”选项，它与“Microsoft网络用户”选项作用相同，如图4.6所表示，惟一区分是登录界面更漂亮一点。计算机及网络系统安全策略第54页图4.5计算机及网络系统安全策略第55页图4.6计算机及网络系统安全策略第56页上述3种选项选择步骤是：开启Windows98系统进入系统桌面→用鼠标右击Windows98“网络邻居”图标→“属性”，出现“网络”窗体→“配置”，其中“主网络登录(L)”设置即为“Windows98登录”设置选项，如图4.7所表示。计算机及网络系统安全策略第57页图4.7计算机及网络系统安全策略第58页4.4.2Windows98屏幕保护机制Windows98能够设置屏幕保护程序，其作用是：当用户要离开计算机一段时间，而又不能关闭计算机电源时(如计算机正在进行运算)，为了保护计算机，可设定计算机在一段时间后不进行操作，计算机将进入屏幕保护状态以保护计算机显示器和硬盘，使其进入节能状态。在设置屏幕保护程序时，可选择“密码保护”选项，这么当计算机进入“屏幕保护”状态后，如要使计算机恢复到正常状态，就需要密码，不然将不能操作计算机，从而到达保护计算机安全目标。Windows98系统屏幕保护程序设计步骤为：开启Windows98系统进入系统桌面，选择“开启”计算机及网络系统安全策略第59页→“设置”→“控制面板”→“显示”，出现“显示属性”窗体，选择“屏幕保护程序”选项，如图在“屏幕保护程序)”位置，可选择屏幕保护程序，同时，选定“密码保护”选项，可输入保护密码，如图4.8所表示，同时输入开启保护程序时间，按“确定”，就完成了屏幕保护程序设置工作。4.4.3Windows98共享资源和远程管理机制当Windows98系统与其它计算机联成网络时，计算机资源能够相互共享，为了保护计算机系统安全，Windows98有简单权限控制，其访问控制方式有两种：共享级访问控制方式和用户级访问控制方式。计算机及网络系统安全策略第60页用户级访问控制方式要求在网络中必须有域服务器，经过域服务器(比如WindowsNT/域服务器)来管理Windows98资源，这种方法安全性较高，其设置方法同WindowsNT/共享资源设置，将陆续在WindowsNT/安全性中讲解。在没有域服务器对等网络中，Windows98共享资源管理只能采取共享级访问控制方式，选择共享级控制方式权限有3种：“只读”、“完全”和“依据密码访问”。选择“只读”时，其它计算机用户只能读取本机共享目录下文件和子目录，而不能修改和删除该目录下文件和子目录；选择“完全”共享类型，其它计算机用户可完全控制(即：能够读取也可修改或删除)共享目录下文件和子目录；选择“需要密码”时，需要输入“只读”和“完全”共享密码，其它计算机用户必须提供密码来决定它使用共享目录下文件和子目录。计算机及网络系统安全策略第61页图4.8计算机及网络系统安全策略第62页Windows98系统共享资源访问控制方式设置步骤为：(1)“Microsoft网络上文件和打印机共享”设定开启Windows98系统进入系统桌面→用鼠标右击Windows98“网络邻居”图标→“属性”，出现“网络”窗体→“配置”→“添加”，出现“请选择网络组件类型”窗体，在窗体中选择“服务”，单击“添加”按钮→“选择网络服务”窗体，在“选择网络服务”窗体中，选择“Microsoft网络上文件和打印机共享”，单击“确认”按钮，关闭“选择网络服务”窗体→单击“取消”按钮，关闭“请选择网络组件类型”窗体，回到“网络”窗体→在“网络”窗体中单击“文件及打印共享”→“文件及打印共享”窗体，将全部“允许其它用户访问我文件”和“允许其它用户使用我打印机”两个选项选上,关闭窗口返回到“网络”窗体中，如图4.9所表示。计算机及网络系统安全策略第63页图4.9计算机及网络系统安全策略第64页(2)设置“共享级访问控制方式”在(1)中“网络”窗体中，选择“访问控制”，选择“共享级访问控制”，如图4.10所表示，单击“确定”按钮，重新开启Windows98系统。计算机及网络系统安全策略第65页图4.10计算机及网络系统安全策略第66页(3)设置共享权限当设置完步骤(1)和(2)后，如要将计算机资源(假设磁盘C)设置成共享权限，设置步骤以下：重新开启计算机，在出现登录对话框中输入一个用户名及其密码后，单击“确定”按钮即登录到本机，同时能够使用网络上共享资源。用户名和密码是由用户任意设定第一次使用某个用户名登录时需要确认输入密码。注意：在输入用户名和密码后，必须单击“确定”按钮方可访问网络中资源，假如“取消”则仅将该机作为单机使用，在网络邻居中将找不到其它计算机共享资源。计算机及网络系统安全策略第67页当进入到计算机Windows98系统后，打开“我电脑”，右击磁盘C：图标，在出现菜单中，选择“共享”，在屏幕显示对话框中选择“共享为”，输入一个共享名(如“Win98C”)，选择3种共享方式中一个：选择“只读”、“完全”或“依据密码访问”，选择“依据密码访问”时，还需输入“只读”和“完全”共享共享密码(为了使计算机系统愈加安全可靠，普通设定共享资源权限最好采取“依据密码访问”)。如图4.11所表示，这么其它计算机用户就能够使用设置共享资源Win98C了。计算机及网络系统安全策略第68页图4.11计算机及网络系统安全策略第69页(4)使用Windows98共享资源在网络中，如有计算机使用已设置好共享资源(如计算机WS1共享资源Win98C)，当该计算机登录到Windows98系统后，打开“网上邻居”，显示“整个网络”以及同组各计算机名，将发觉计算机WS1。双击WS1，显示共享名Win98C，双击共享名Win98C能够访问WS1磁盘C上文件或目录(假如Win98C资源设定权限是“依据密码访问”，则双击共享名Win98C后还需提供相关密码)。另外，Windows98系统资源可经过远程计算机来管理，这就是Windows98远程管理机制，开启Windows98远程管理机制，其它局域网网计算机及网络系统安全策略第70页络用户能够经过网络管理Windows98系统下文件和打印机(包含Windows98资源共享访问机制设置)。开启Windows98远程管理机制步骤为：(1)开启Windows98远程管理服务开启Windows98系统进入系统桌面，选择“开始”→“设置”→“控制面板”→“密码”→“密码属性”窗体，在“密码属性”窗体中选择“远程管理”→选定和激活“启用此服务器远程管理”，同时，输入远程管理密码，输入两遍密码，如图4.12所表示，按“确定”关闭“密码属性”窗体，即可完成操作。要想使“开启Windows98远程管理服务”成功，还需先完成“Windows98系统共享资源访问控制方式”设置步骤(1)和(2)。计算机及网络系统安全策略第71页图4.12计算机及网络系统安全策略第72页(2)远程管理Windows98资源当一台计算机已设置了远程管理服务，就能够经过局域网任何一台Windows98计算机管理该计算机文件和打印机了。假设计算机WS1已经配置了远程管理服务，现在经过WS2来管理WS1资源，其步骤以下。开启WS2以“Microsoft网络用户”身份登录到本机Windows98桌面上，打开“网上邻居”，显示“整个网络”以及同组各计算机名，将发觉计算机WS1→用鼠标右击“WS1”图标→“属性”→出现“WS1属性”窗体，单击“工具”栏，窗体中显示3个配置按钮：“网络监视器”、“系统监视器”和“管理程序”，其中经过“网络监视器”允许查看WS1上计算机及网络系统安全策略第73页共享目录和经过网络正在使用该目录用户，“系统监视器”允许查看WS1上磁盘访问与网络使用情况，而“管理程序”则是远程管理WS1文件和打印机共享设置，3个配置选项都需要提供WS1远程管理密码。现在单击“管理程序”→“输入网络密码”窗体，如图4.13所表示，输入WS1远程管理密码，出现“计算机WS1全部资源”窗体，其中C＄、D＄等是WS1磁盘C、D代号，不带＄符号目录为已设置好共享目录，能够像设置当地计算机资源那样设置WS1C＄及D＄及其子目录等资源共享，同时也能够改变不带＄符号共享目录访问控制方式，如图4.14所表示。计算机及网络系统安全策略第74页图4.13计算机及网络系统安全策略第75页图4.14计算机及网络系统安全策略第76页4.4.4Windows98注册表机制注册表是Windows98系统关键，在注册表中存放着系统全部硬件和软件信息，经过它能够控制操作系统行为。所以，它安全直接关系到Windows98系统安全，黑客进攻往往以它为主要目标。下面详细介绍注册表作用和保护办法。注册表是一个包含有Windows98系统和应用程序以及硬件信息中央数据库，是Windows98系统关键之一。它存放在Windows98目录下system.dat文件中，这是一个只读、隐藏文件。Windows98每次开启时都要用到它，并把它备份到system.d00到system.d04共5个文件中。当开启后计算机及网络系统安全策略第77页加载system.dat文件受损后，Windows98自动按照备份时间次序由新到旧调用备份注册表文件覆盖现在使用system.dat文件，以恢复操作系统稳定性。可见注册表在Windows98中是多么主要。经过它几乎能够修改Windows系统任何一个设置，包含开始程序设置、硬件参数修改、桌面修改、实现系统优化等等，所以，它对于整个Windows系统安全起着主要作用。注册表是以树型结构存在，就像资源管理器一样，不过它目录项含义与其不一样，一共有5种不一样类型，包含：根键：注册表根目录，相当于磁盘上根目录如：C:\；计算机及网络系统安全策略第78页键和子键：相当于磁盘上子目录，在键下是子键，就像目录能够包含子目录一样。键值项：相当于磁盘上文件，在一个键或子键下能够包含一个或多个键值项。键值项由键值名、数据类型和键值3个部分组成，格式为“键值名：数据类型：键值”。键值类型：注册表有3种键值类型：(1)DWORD：1~8位十六进制数据作为双字；(2)字符串值：存放字符串；(3)二进制：是一个十六进制数，作为一个字节解释。如前所述，Windows98注册表是包含由应用程序、硬件设备、设备驱动程序配置、网络协议和网计算机及网络系统安全策略第79页络适配卡设置等信息数据库。注册表数据结构由六个根键组成，均以HKEY_为前缀，解释以下。①HKEY_CLASS_ROOT：含有与对象连接与嵌套(OLE)和文件级相关联信息，即存放应用程序扩展名，指明不一样扩展名与不一样应用软件之间相互关系，双击某个文件时，相对应那个程序开启它。②HKEY_CURRENT_USER：含有正在登录上网用户信息。包含用户所属组、环境变量、桌面设置、网络连接、打印机和应用程序等。③HKEY_LOCAL_MACHINE：含有当地计算机部分系统信息。这些信息包含硬件设置、操作系统设置、开启控制数据和驱动器驱动程序。计算机及网络系统安全策略第80页④HKEY_USERS：含有全部计算机上登录入网用户信息。包含从当地访问系统用户和远程登录用户信息都存放在注册表中。它是能够由远程计算机访问根键，所以要尤其小心。⑤HKEY_CURRENT_CONFIG含有当前用户一些设置信息，如显示器数据、用户Windows98系统设置等。⑥HKEY_DYN_DATA存放着系统运行动态信息和数据。这个根键值改变得较快，但不能从“regedit.exe”注册表编辑程序观察到。在Windows98中运行“regedit.exe”程序可查看或修改相关注册信息。注册表包含了注册表数据库全部内容。计算机默认设置和用户一些特殊计算机及网络系统安全策略第81页设置，如自定义开启画面、登录必须要求密码、自动登录等方法。用“regedit.exe”程序调出如图4.15所表示“注册表编辑器”窗口是用于更改系统注册表设置高级工具，因为注册表中包含关于怎样运行计算机主要信息，所以注册表对于Windows98系统来说是非常主要。各种设置项目，最好使用Windows98控制来更改系统设置。除非有绝对必要，不然请不要直接编辑注册表。另外，在直接编辑注册表之前，一定要备份注册表。假如注册表中出现错误，计算机可能无法正常运转。一旦发生这种情况，请用备份注册表将他还原。计算机及网络系统安全策略第82页图4.15计算机及网络系统安全策略第83页4.5利用注册表提升Windows95/98/ME安全性Windows登录选项对系统起不到安全保护作用，在Windows98系统中使用用户名和密码是让每个用户有一个个性化桌面和菜单项选择项，但它和普通网络操作系统WindowsNT/相比不是一个真正多用户系统，不能保护系统和预防非法用户使用计算机。当Windows98开启后出现“Windows登录”界面时，如不输入密码单击“取消”选项也可进入Windows98桌面。为了处理这个问题，能够经过修改注册表相关选项来尽可能提升它安全性，预防匿名用户登录使用Windows98系统。在Windows98系统注册表计算机及网络系统安全策略第84页HKEY_LOCAL_MACHINE\Network\Logon子键中，有许多键值项，如：“username”代表登录默认用户，“PrimaryProvider”代表登录方式，而“MustBeValidated”代表登录能否使用匿名用户登录，不过Windows98系统默认无“MustBeValidated”子键。基于此，能够在注册表HKEY_LOCAL_MACHINE\Network\Logon子键中增加一个“MustBeValidated”子键，将其键值设置为“1”，如图4.16所表示，则表示禁止匿名用户登录使用Windows98系统。详细步骤以下。计算机及网络系统安全策略第85页图4.16计算机及网络系统安全策略第86页(1)首先，要设置禁止匿名用户登录。开启“开始”→“运行”，在弹出窗口中运行Regedit.exe，出现“注册表编辑”窗口，进入HKEY_LOCAL_MACHINE\Network\Logon中，如图。现在在HKEY_LOCAL_MACHINE\Network\Logon中新建DWORD值，并命名为Mustbevalidated，双击该键值将其值设置为1。(2)设置用户个性化菜单选项。开启“开始”→“设置”→“控制面板”，在控制面板中，用鼠标单击“密码”→“密码属性”窗口→用户配置文件，选择“用户可自定义首选项及桌面设置”。计算机及网络系统安全策略第87页(3)设置登录提醒信息。我们在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon中新建两个字符串值，一个命名为“Legalnoticecaption”，另外一个命名为“Legalnoticetext”，并分别赋值为“袁家政专用计算机”和“没有授权，请勿使用！”(如图4.17所表示，当然，这么，这两个赋值是能够随自己喜好改变它)。不过一定要注意，在进行上面几个步骤以前，请在开启“开始”→“设置”→“控制面板”→控制面板后，在控制面板中，用鼠标单击“用户”按钮，设置能够登录本机授权用户。计算机及网络系统安全策略第88页图4.17计算机及网络系统安全策略第89页当完成了上面这3个步骤之后，当其它人登录时候就必须输入密码才能登录，按ESC也不能进入Windows98！按照上面方法，完成了初步加密。即使在每次登录时候都需要密码，不过上次登录用户名却出现在登录对话框中，这么就为对方猜中密码提供了方便。有没有方法让Windows98在登录时候不显示上次登录用户名呢？回答是必定。其方法是：在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon下新建一个DWORD值，并命名为“DontDisplayLastUserName”项，双击它，并赋值为1。这么，在登录对话框中就不会出现上次登录用户名称了。

计算机及网络系统安全策略第90页从上面操作过程来看，全部限制都是经过修改注册表来完成。而假如他人也知道一样修改方法，那么他也能够利用修改注册表方法到达侵入目标，所以限制用户使用注册表编辑器便放在了安全之首。那么怎样限制用户修改注册表呢？其方法是：在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System中新建DWORD值，使Disableregistrytools值为1，这么，除了自己以外，其它用户是无法修改注册表。至此，Windows98登录认证机制初级加密就完成了。计算机及网络系统安全策略第91页4.6Windows98系统安全策略编辑器如前所述，Windows98系统有一个显著不足，在于它并不是像WindowsNT、Windows这么多用户网络操作系统，在开机时看到要求输入用户名和密码，能够单击“取消”按钮来进入系统。除经过修改注册表外，Windows98还增加了一个名叫“安全策略编辑器”小程序，不过这个程序不是默认安装，用户要从Windows光盘上安装。4.6.1安全策略编辑器安装Windows98安全策略编辑器安装步骤以下。(1)选择“开始”菜单“设置”项，打开“控制面板”。单击“添加/删除程序”图标，屏幕上将出现如图4.18所表示对话框。计算机及网络系统安全策略第92页图4.18计算机及网络系统安全策略第93页(2)单击“从磁盘安装”按钮，在出现对话柜中，单击“浏览”按钮，选择Windows安装光盘上“\too1s\reskit\netadmin\Poledit”文件。(3)选择“poledit.inf”，屏幕上将出现“安装”对话框，如图4.19所表示。再选择“系统策略编辑器”，然后单击“安装”按钮，安装就开始了。计算机及网络系统安全策略第94页图4.19计算机及网络系统安全策略第95页(4)安装完成后，用户就能够在“附件”→“系统工具”下，看到“系统策略编辑器”命令了。在完成了“系统策略编辑器”安装之后，下面再来讨论一下它使用方法。4.6.2系统策略编辑器使用在系统策略编辑器菜单中，单击“文件”→“新建文件”。这时，在系统策略编辑窗口中出现了“默认用户”和“默认计算机”两个图标，如图4.20所表示。计算机及网络系统安全策略第96页图4.20计算机及网络系统安全策略第97页下面，经过它添加一个像WindowsNT一样管理员账号。1.添加新用户(1)单击菜单中“编辑”→“添加用户”，在弹出对话框中键入“YUAN”(用户能够依据自己需要填写)。(2)单击“确定”按钮，将“YUAN”这个用户添加到系统策略编辑器中，如图4.21所表示。计算机及网络系统安全策略第98页图4.21计算机及网络系统安全策略第99页(3)单击菜单中“文件”→“保留”，以YUAN.P01作为文件名将该文件保留到Windows所在目录Config子目录下。接下来要使用系统策略编辑器制订系统策略了。2.定制系统策略(1)首先，双击“默认用户”图标，弹出一个如图4.22所表示“默认用户属性”对话框。在对话框中能够看到有许多项选择项设置，包含控制面板、网络、桌面等，用户能够对每一个选项进行设置。下面以“YUAN”这个用户为例，对它属性进行设置。(2)双击“YUAN”图标，弹出其属性对话框，显示出它各项“策略”组。(3)在图4.20所表示对话框中，选择各项“策略”选项旁复选框，能够限制或禁止与其相对应各项功效使用。计算机及网络系统安全策略第100页图4.22计算机及网络系统安全策略第101页(4)最主要是在“外壳”中选择“限制”，出现如图4.23所表示对话框。(5)在图4.23中，选择“限制”下全部选项，这么一来就限制了桌面上一切程序(用户要注意是：不要去选择“外壳”→“限制”下“禁止‘关闭系统’命令”选项，不然非法用户进入系统将无法用Windows98关闭计算机系统，而只能关闭电源了)。计算机及网络系统安全策略第102页图4.23计算机及网络系统安全策略第103页(6)重启计算机，以“YUAN”用户名进入系统，就能够看到桌面上程序和图标都没有了，入侵者除了“关机”就没有别方法了。另外，每个用户配置文件都保留在Windows目录下Profiles子目录下与用户同名子目录中。比如：C:\Windows为Windows所在目录，那么“YUAN”个人配置文件都保留在C:\Windows\Profiles\User子目录下“YUAN”子目录中。计算机及网络系统安全策略第104页4.6.3预防非法用户进入对于Windows98登录方式有两种非法用户，一个是以新用户名，然后单击“取消”按钮，登录进入系统，这时他使用是默认用户权限；另外一个是在网络上以匿名登录方式进入系统用户。假如没有按前面所讲方法进行修改，就会出现这两种非法用户。所以，就要对这两种用户权限进行修改，使进入系统非法用户禁止其“关闭系统”以外全部其它权限。假如用户需要修改默认用户权限，能够遵照下面步骤。计算机及网络系统安全策略第105页1.修改默认用户权限(1)在Windows98所在目录Profi1es子目录下新建一个空子目录(名字随便取)。(2)双击“默认用户”图标，弹出属性对话框，选中“外壳”和“系统”下“限制”选项中除“禁用‘关闭系统’命令”以外全部复选框，如图4.24所表示。计算机及网络系统安全策略第106页图4.24计算机及网络系统安全策略第107页(3)在“外壳”下选择“自定义文件夹”，在所需指定路径编辑框中，输入Profi1es子目录下新建子目录名(注意是全路径名)，如图4.25所表示。计算机及网络系统安全策略第108页图4.25计算机及网络系统安全策略第109页(4)单击“文件”菜单中“保留”按钮，将上述设置保留到策略文件中，再退出系统策略编辑器。2.修改匿名登录用户(1)在系统策略编辑器窗口中双击“当地用户”图标，弹出如图4.26所表示“当地用户属性”窗口，对其进行与默认用户权限相同修改，然后单击“确定”按钮返回系统策略编辑器。计算机及网络系统安全策略第110页图4.26计算机及网络系统安全策略第111页(2)双击“默认计算机”图标，打开“默认计算机属性”对话框，选中其“系统”中“启用用户配置文件”选项。(3)选中“网络”下“更新”策略组“远程更新”选项，在“更新方式”下拉列表中选择“手动(使用特定路径)”选项，如图4.27所表示。计算机及网络系统安全策略第112页图4.27计算机及网络系统安全策略第113页(4)在“用于手动更新路径”栏中输入文件config.po1所在位置路径及文件名，单击“确定”按钮，返回系统策略编辑器，单击“文件”菜单中“保留”按钮。(5)退出系统策略编辑器，注销或重新开启计算机。4.7Windows95/98/ME缺点和防范办法4.7.1Windows95/98/ME密码破解1.Windows98开启密码破解遗忘Windows98开启密码即使不会影响系统开启，但它将造成用户无法进入自己个人设置。所以，破解Windows98开启密码以找回“丢失”“个性”也是很有必要。能够采取以下几个方法处理。计算机及网络系统安全策略第114页(1)删除密码文件因为Windows98用户密码保留在Windows目录下，以“*.PWL”文件方式存在(如：用户YUAN密码文件为YUAN.PWL)。为此，可删除Windows目录下对应用户*.PWL密码文件，然后重新开启Windows98，系统就会弹出一个不包含任何用户名密码设置框，只需输入原来用户名任何内容，单击“确定”按钮，Windows98密码即被删除。另外，将注册表数据库HKEY_LOCAL_MACHINE、Network、Logon分支下UserProfiles修改为“00”，然后重新开启Windows98也可到达一样目标。计算机及网络系统安全策略第115页假如采取前面“利用注册表提升Windows95/98/ME安全性”节(4.5)中所属方法对注册表进行修改提升了登录安全，这时只能开启到DOS系统，方可删除Windows目录下“*.PWL”文件(如删除用户YUAN密码文件“YUAN.PWL”)，也可采取后面讲其它方法实现。(2)利用恢复注册表覆盖新注册表入侵系统大家知道Windows98天天开启之前要扫描一遍注册表看看有没有错误信息，假如没有错误信息就正常开启，然后它就要备份注册表，因为系统默认备份了最近5份注册表，这么也可用它来破解“利用注册表提升Windows95/98/ME安全性”节中所属提升了登录安全方法。假如计算机用户在一天计算机及网络系统安全策略第116页之内做完了注册表安全性全部修改，而且他修改时间离现在没有超出5天，能够采取以下破解方法：开启系统到DOS下，执行scanreg/restore，然后选择一个适当时间(要确保在他修改注册表之前)，选择“恢复(Restore)”就能够了。假如时间来得及(没有超出他修改注册表5天)，那么原来计算机用户在注册表中修改一切都化为乌有，如“限制登录”、“禁止修改注册表”等都没有了。需要说明是，假如计算机用户在修改了注册表之后安装了其它应用程序(而且这些程序要求修改注册表)，采取该方法很可能引发Windows瓦解，所以，一定要慎重使用！另外，还有一个方法是开启Windows98系统，进计算机及网络系统安全策略第117页入安全模式，注册表就能够修改，将注册表中所用限制如“限制登录”、“禁止修改注册表”等去掉即可。(3)利用工具软件破解Internet上有许多工具软件，可配置注册表，也可破解密码，如MagicSet软件、Cain软件等。在MagicSet(超级兔子魔法设置)这个软件中，如系统中已安装MagicSet，运行时，在“魔法设置”主界面选择“安全与其它”，将“禁止使用注册表编辑器Regedit.exe”前面对号(√)去掉，然后“保留”→“退去”即可，其它禁止，也可修改。(4)利用注册表合并来修改注册表来突破限制假如一个注册表被锁定了，用别计算机“记事本”计算机及网络系统安全策略第118页输入以下一段文字：REGEDIT4[HKEY_LOCAL_MACHINE\Network\Logon]"MustBeValidated"=dword:00000000然后存盘为Unlock.reg。把该文件拷入入侵计算机中，在Windows98中Unlock.reg上边双击，然后在弹出“注册表编辑器”提醒窗口中确定退出即可使用注册表编辑器了。有读者会问，假如连Windows98系统都进不去(能够进入Windows98安全模式)，怎么会双击Unlock.reg，然后合并呢？没相关系，Windows注册表编辑器不但在Windows下能够使用，在DOS命令下也一样能够使用，详细参数这里就不再多说，输入Regeditunlock.reg就和上边计算机及网络系统安全策略第119页“双击”然后合并起到了一样作用(假如Unlock.reg不在当前目录下，需要输入Unlock.reg详细路径)。这么就取消了Windows98登录限制。防范以上这些攻击伎俩方法是，不要安装DOS系统，禁止软驱和光驱开启和使用，同时使用屏幕保护机制。最好安装专门安全监视软件。2.Windows98屏幕保护密码破解利用系统屏幕保护功效能够预防他人在自己不在情况下偷用自己计算机，从而起到保护数据安全作用。不过在不配合其它限制功效情况下，系统屏幕保护密码是非常脆弱。在遗忘密码之后只需使用“复位”键强行开启计算机(一些设计不计算机及网络系统安全策略第120页完善屏幕保护程序甚至能够使用Ctrl＋Alt＋Del强行关闭，其操作就更简单了)，然后，右击桌面空白处并从弹出快捷菜单中执行“属性”命令，打开“显示属性”设置框并单击“屏幕保护”选项，最终取消“密码保护”选项即可(取消该选项时无需确认密码)。假如有登录限制，则破解屏幕保护密码要困难一些，可采取以下几个方法。(1)利用网络破解这种方法，首先要在计算机所在局域网内利用另外一台计算机作为解码机，将解码机IP地址改为需要破解计算机IP地址，利用硬件冲突优先级较高原理就能够使操作系统跳过屏幕保护程序了。详细实现方法以下。计算机及网络系统安全策略第121页在这台解码机上选择“开始”菜单中“设置”选项，单击“控制面板”按钮，找到“网络”图标，双击该图标，将出现一个对话框。然后在这个对话框设置选项栏中选择TCP/IP一项，并查看其属性，就能够找到该机IP地址了。将解码机IP地址改为你IP地址，完成后单击“确定”按钮。系统会提醒新设置要重新开启计算机才能生效，确认并重新开启计算机。这么，在局域网内就有两台计算机IP地址是相同。当解码机开启完成后，在需破解计算机和解码机上会同时弹出“IP地址产生硬件冲突”提醒框，这时在计算机上单击“确定”按钮，这时系统不要求输入屏幕保护程序密码，就直接进入操作系统计算机及网络系统安全策略第122页桌面了。不过值得注意是，在整个破解过程中，要确保需破解计算机上没有请求输入屏幕保护程序密码对话框，不然确定硬件冲突后，系统还会继续要求输入屏幕保护程序密码。这以后，由Windows98将输入屏幕保护程序口令，经过加密变换后保留到它系统注册表中，详细存放路径为：\HKEY_CURRENT_USER\ControlPanel\desktopScreenSave_Data单击它能够清楚地看到它键值，这就是用户加密屏幕保护程序口令，如图4.28所表示。能够看到用户屏幕保护程序口令加密后是“3739444334…”，不要认为这个加密密码是安全，市面上有许多软件能够轻松破解它。所以用户需要安装一些专用软件，如：NortonRegisterTracker等安全监视器，以预防他人对密码窃取，也可禁止计算机使用TCP/IP协议联网。计算机及网络系统安全策略第123页图4.28计算机及网络系统安全策略第124页(2)利用光驱自动运行特征(Autorun)破解另外一个较为普通方法就是利用光驱自动运行特征(Autorun)来破解。当光驱中插入光盘时，则Windows检验它上面是否有Autorun.inf文件。假如有这个文件，就运行“open=”那行上指定程序。问题在于屏幕保护程序开启时，这个特征依然有效。所以只要用一张自开启光盘就能够突破屏幕保护程序。另外，听说当前市面上还出现了一个专门用于破解屏幕保护密码光盘。插入该光盘之后，它就会利用Windows98自动运行功效开启保留在光盘上屏幕保护密码破解程序，对屏幕保护功效密码进行分析、破译，最终再将密码显示在屏幕上或写到软盘上，这就更方便了。计算机及网络系统安全策略第125页要防范这种攻击伎俩，能够禁止光盘Autorun特征。在Windows98系统中使用以下步骤能够到达目标：①从控制面板中打开“系统”；②选择“设备管理器”；③选择CDROM，双击打开对话框；④选择“设置”标签，不选“自动插入通告”项。3.电源管理密码破解Windows98电源管理功效也能够设置密码，设置此功效后，系统在从节能状态返回时就会要求输入密码，从而在一定程度上实现保护