計算機及網(wǎng)絡(luò)系統(tǒng)的安全性

第4章計算機及網(wǎng)絡(luò)系統(tǒng)的安全性4.1計算機系統(tǒng)的安全保護機制4.2計算機系統(tǒng)的安全等級4.3計算機的開機口令驗證機制4.4Windows95/98/ME的安全保護機制4.5利用注冊表提高Windows95/98/ME的安全性4.6Windows98系統(tǒng)安全策略編輯器4.7Windows95/98/ME的缺陷和防范措施4.8計算機文檔的保密問題4.9本章小結(jié)練習(xí)題計算機和網(wǎng)絡(luò)工作站是目前應(yīng)用最廣泛的設(shè)備，計算機網(wǎng)絡(luò)的安全在很大程度上依賴于網(wǎng)絡(luò)終端和客戶工作站的安全。目前的計算機系統(tǒng)安全級別特別低，幾乎沒有進行特別有力的防范措施。在未聯(lián)網(wǎng)的單機時代，安全問題造成的損失較少，并未引起人們的注意。處于網(wǎng)絡(luò)時代的今天，未加保護的計算機系統(tǒng)聯(lián)入網(wǎng)絡(luò)，由于非法用戶的入侵、計算機數(shù)據(jù)的破壞和泄密，將會給人們造成無法估量的損失。因此，了解和掌握計算機及網(wǎng)絡(luò)系統(tǒng)的安全保護機制，加強安全防范措施，使計算機系統(tǒng)變得更加安全，已變得非常必要。本章主要討論有關(guān)計算機系統(tǒng)安全方面的內(nèi)容，包括：計算機系統(tǒng)的安全保護機制；評估計算機系統(tǒng)的安全等級；計算機BIOS程序的安全設(shè)置和保護機制；計算機BIOS程序密碼的破解和防范措施；Windows95/98/ME的有關(guān)安全保護機制；非法用戶入侵Windows95/98/ME的方法和防范措施；Windows95/98/ME對等網(wǎng)絡(luò)中權(quán)限和安全機制；計算機Word文檔的保密問題。4.1計算機系統(tǒng)的安全保護機制隨著計算機技術(shù)的發(fā)展，計算機系統(tǒng)的安全越來越被人們所關(guān)注。非授權(quán)用戶常常對計算機系統(tǒng)進行非法訪問，這種非法訪問使系統(tǒng)中存儲信息的完整性受到威脅，導(dǎo)致信息被修改或破壞而不能繼續(xù)使用，更為嚴重的是系統(tǒng)中有價值的信息泄密和被非法篡改、偽造、竊取或刪除而不留任何痕跡。要保護計算機系統(tǒng)，必須從技術(shù)上了解計算機系統(tǒng)安全訪問控制的保護機制。為了防止非法用戶使用計算機系統(tǒng)或者合法用戶對系統(tǒng)資源的非法訪問，需要對計算機實體進行訪問控制。例如，銀行信息系統(tǒng)的自動提款機為合法用戶提供現(xiàn)款，但它必須對提款的用戶身份進行識別和驗證，對提款的行為進行監(jiān)督控制，以防止非法用戶的欺詐行為。存取控制主要包括授權(quán)、確定存取權(quán)限和實施權(quán)限3個內(nèi)容。一個計算機系統(tǒng)的存取控制僅指本系統(tǒng)內(nèi)的主體對客體的存取控制，不包括外界對系統(tǒng)的存取(其中主體指使用網(wǎng)絡(luò)系統(tǒng)的用戶和用戶組，客體指網(wǎng)絡(luò)系統(tǒng)中系統(tǒng)資源，如文件、打印機等資源)。因此，實施存取控制是維護系統(tǒng)運行安全、保護系統(tǒng)資源的重要技術(shù)手段。存取控制是對處理狀態(tài)下的信息進行保護，是保證對所有的直接存取活動進行授權(quán)的重要手段；同時，存取控制要對程序執(zhí)行期間訪問資源的合法性進行檢查。它控制著對數(shù)據(jù)和程序的讀、寫、修改、刪除、執(zhí)行等操作，防止因事故和有意破壞對信息的威脅。存取控制必須對訪問者的身份和行為實施一定的限制，這是保證系統(tǒng)安全所必須的。要解決上述問題，需要采取兩種措施：識別與驗證訪問系統(tǒng)的用戶；決定用戶對某一系統(tǒng)資源可進行何種訪問(讀、寫、修改、運行等)。4.1.1用戶的識別和驗證要求用戶在使用計算機以前，首先向計算機輸入自己的用戶名和身份鑒別數(shù)據(jù)(如口令、標(biāo)識卡、指紋等)，以便進行用戶的識別與驗證，防止冒名頂替和非法入侵。所謂“識別”，就是要明確訪問者是誰，即識別訪問者的身份。必須對系統(tǒng)中的每個合法用戶都有識別能力，要保證識別的有效性，必須保證任意兩個不同的用戶都不能具有相同的標(biāo)識符。通過惟一標(biāo)識符(1D)，系統(tǒng)可以識別出訪問系統(tǒng)的每一個用戶。所謂“驗證”，是指在訪問者聲明自己的身份(向系統(tǒng)輸入它的標(biāo)識符)后，系統(tǒng)必須對它所聲明的身份進行驗證，以防假冒，實際上就是證實用戶的身份。驗證過程總是需要用戶出具能夠證明他身份的特殊信息，這個信息是秘密的，任何其他用戶都不能擁有它。識別與驗證是涉及到系統(tǒng)和用戶的一個全過程。只有識別與驗證過程都正確后，系統(tǒng)才能允許用戶訪問系統(tǒng)資源。利用物理鎖可以對一些重要的資源實施控制。只要把需要保護的系統(tǒng)資源用鎖鎖上，而鑰匙由自己掌握，那么沒有鑰匙的人是不能訪問受到保護的資源的。在這里，ID相當(dāng)于鑰匙，系統(tǒng)根據(jù)不同的ID可對其分配相應(yīng)的不同的可使用資源。但擁有鑰匙的用戶不一定是合法擁有者，所以需采用驗證技術(shù)證實用戶的合法身份，這種技術(shù)可以有效地防止由于ID的非法泄露所產(chǎn)生的安全問題?？诹顧C制是一種簡便的驗證手段，但比較脆弱。生物技術(shù)，如利用指紋、視網(wǎng)膜技術(shù)等，是一種比較有前途的方法。目前計算機系統(tǒng)最常用的驗證手段仍是口令機制，它通過下述各種方法來加強其可靠性?？诹钚杓用芎蟠娣旁谙到y(tǒng)數(shù)據(jù)庫中，一般采用單向加密算法對口令進行加密。要使輸入口令的次數(shù)盡量減少，以防意外泄露。當(dāng)用戶離開系統(tǒng)所屬的組織時，要及時更換他的口令。不要將口令存放在文件或程序中，以防其他用戶讀取該文件或程序時發(fā)現(xiàn)口令。用戶要經(jīng)常更換口令，使自己的口令不易被猜測出來。4.1.2決定用戶訪問權(quán)限對于一個已被系統(tǒng)識別與驗證了的用戶，還要對其訪問操作實施一定的限制?？梢园延脩舴譃榫哂腥缦聨追N屬性的用戶類。特殊的用戶：這種用戶是系統(tǒng)的管理員，具有最高級別的特權(quán)，可以對系統(tǒng)任何資源進行訪問，并具有所有類型的訪問、操作能力。一般的用戶：即系統(tǒng)的一般用戶，他們的訪問操作要受到一定的限制，通常需要由系統(tǒng)管理員對這類用戶分配不同的訪問操作權(quán)力。審計的用戶：這類用戶負責(zé)整個系統(tǒng)范圍的安全控制與資源使用情況的審計。作廢的用戶：這是一類被拒絕訪問系統(tǒng)的用戶，也可能是非法用戶。4.2計計算算機系系統(tǒng)的的安全全等級級為了對對一個個計算算機系系統(tǒng)進進行安安全評評估，，美國國國防防部按按處理理信息息的等等級和和應(yīng)采采用的的相應(yīng)應(yīng)措施施，將將計算算機安安全分分為：：A、、B、、C、、D4等等8個個級別別，共共27條評評估準準則。。從最最低等等級D等開開始，，到A等。。隨著著安全全等級級的提提高，，系統(tǒng)統(tǒng)的可可信度度隨之之增加加，風(fēng)風(fēng)險逐逐漸減減少。。下面，，對每每個安安全等等級的的內(nèi)容容和要要求作作簡要要說明明。4.2.1非非保保護級級D等是是最低低保護護等級級，即即非保保護級級。它它是為為那些些經(jīng)過過評估估，但但不滿滿足較較高評評估等等級要要求的的系統(tǒng)統(tǒng)設(shè)計計的，，只具具有一一個級級別。。該等等是指指不符符合要要求的的那些些系統(tǒng)統(tǒng)。因因此，，這種種系統(tǒng)統(tǒng)不能能在多多用戶戶環(huán)境境下處處理敏敏感信信息。。D級級并非非沒有有安全全保護護功能能，只只是保保護功功能太太弱。。4.2.2自自主主保護護級C等為自主主保護級，，具有一定定的保護功功能，采用用的措施是是自主訪問問控制和審審計跟蹤。。它一般只只適用于具具有一定等等級的多用用戶環(huán)境，，并具有對對主體責(zé)任任和對他們們的初始動動作審計的的能力。它它的各級提提供無條件件的安全保保護，并通通過審計追追蹤，對主主體及其產(chǎn)產(chǎn)生的動作作負責(zé)。這這一等級分分為Cl和和C2兩個個級別。1.自自主安全保保護級(C1級)其存取控制制的基礎(chǔ)是是以指名道道姓的方式式，提供了了各用戶與與數(shù)據(jù)的隔隔離，以符符合自主安安全要求。。它包含了了若干可信信控制方式式，能在個個體基礎(chǔ)上上實施存取取限制，即即允許用戶戶保護他自自己的項目目和隱私信信息，防止止他的數(shù)據(jù)據(jù)被別的用用戶無意讀讀取或破壞壞。Cl級通過過提供用戶戶與數(shù)據(jù)隔隔離，就能能夠滿足市市場可信計計算機(TCB，trustedcomputingbase)自動動安全要求求。所謂可可信計算機機是一個安安全計算機機系統(tǒng)的參參考校驗機機制。它包包括所有負負責(zé)實施安安全策略，，以及對保保護系統(tǒng)所所依賴的客客體實施隔隔離操作的的系統(tǒng)單元元，簡單地地說，即所所有與系統(tǒng)統(tǒng)安全有關(guān)關(guān)的功能均均包含在TCB中。。在這一級，，TCB應(yīng)應(yīng)在命名用用戶和命名名的客體之之間定義和和進行訪問問控制。它它用的機理理(如個人人／組／公公共控制、、訪問控制制表)應(yīng)允允許客體擁擁有者指定定和控制客客體是由自自己使用，，還是由用用戶組或公公共使用。。該級需要要在進行任任何活動之之前，TCB去確認認用戶身份份(如采用用口令)，，并保護確確認數(shù)據(jù)，，以免未經(jīng)經(jīng)授權(quán)對確認數(shù)據(jù)據(jù)的訪問和和修改。通通過用戶擁擁有者的自自主定義和和控制，可可以防止自自己的數(shù)據(jù)據(jù)被別的用用戶有意或或無意地讀讀出、篡改改、干涉和和破壞。同同時提供軟軟件和硬件件特性，并并定期檢查查其運行的的正確性。。系統(tǒng)的完完整性要求求硬件和軟軟件能提供供保證TCB連續(xù)有有效操作特特性。目前生產(chǎn)的的大多數(shù)計計算機系統(tǒng)統(tǒng)都能達到到這一等級級，但這級級系統(tǒng)不一一定要經(jīng)過過嚴格的評評價。評價價為Cl級級多是依據(jù)據(jù)系統(tǒng)的某某些特點。。2.可可控安全保保護級(C2級)在C2級，，計算機系系統(tǒng)比C1級有更具具體的自主主訪問控制制。通過注注冊過程，，同與安全全有關(guān)的事事件和資源源隔離，使使得用戶的的操作有可可查性。在在安全方面面，除具備Cl級級所有功能能外，還提提供授權(quán)服服務(wù)。并且且可提供控控制，以防防止存取權(quán)權(quán)力的擴散散。應(yīng)確定定用戶的動動作或默認認客體提供供的保護，，避免非授授權(quán)存取。。它可指定定哪些用戶戶可以訪問問哪些客體體，未經(jīng)授授權(quán)用戶不不得訪問已已指定訪問問權(quán)的客體體。同時還還提供了客客體再用功功能，即對對于一個未未使用的存存儲客體，，TCB應(yīng)應(yīng)該能夠保保證該客體體不包含未未授權(quán)主體體的數(shù)據(jù)。。在這一方面面，除具有有Cl級全全部功能外外，還提供供惟一的識識別自動數(shù)數(shù)據(jù)處理系系統(tǒng)中各個個用戶的能能力；提供供將這種身身份與該客客體用戶發(fā)發(fā)生的所有有審計動作作相聯(lián)系的的能力。C2級系統(tǒng)統(tǒng)能與該識識別符合，，可審計所所有主體進進行的各種種活動；能能對可信計計算機(TCB)進進行建立和和維護，對對客體存取取的審計進進行跟蹤，，并保護審審計信息，，防止被修修改、毀壞壞或未經(jīng)授授權(quán)訪問。。TCB還能能記錄下列列類型的事事件：確認認和識別安安全機理的的使用，將將客體引入入一用戶地地址空間，，客體的刪刪除，操作作人員、系系統(tǒng)管理人人員和安全全管理人員員進行的各各種與安全全相關(guān)的活活動。對每個審計計事件，審審計記錄應(yīng)應(yīng)包括：用用戶名、事事件發(fā)生時時間、事件件類型、事事件的成功功或失敗等等。對于確認事事件，請求求源(如終終端ID)也應(yīng)包括括在審計記記錄中。對于客體進進行訪問的的事件，審審計記錄應(yīng)應(yīng)包括客體體名。自動數(shù)據(jù)處處理系統(tǒng)管管理人員應(yīng)應(yīng)能通過識識別符，有有選擇地審審計任一用用戶或多個個用戶的活活動。除Cl級的的要求外，，TCB還還必須保留留一特定區(qū)區(qū)域，以防防外部人員員的篡改。。由于TCB控制的的資源是以以主體和客體定義義的子集，，TCB應(yīng)應(yīng)與被保護護的資源隔隔離，以使使存取控制制更容易，，從而達到到審計的目目的。DEC公司的的VAX／／VMS操操作系統(tǒng)、、Novell公司司的NetWare系統(tǒng)和Microsoft公司的WindowsNT/2000都被被確認為C2級。4.2.3強制制安全保護護級B等為強制制保護級，，這一等級級比C等級級的安全功功能有很大大增強。它它要求對客客體實施強強制訪問控控制，并要要求客體必必須帶有敏敏感標(biāo)志，，可信計算算機利用它它去施加強強制訪問控控制。這一一部分可分分為Bl、、B2、B3共3級級。1.標(biāo)標(biāo)記安全保保護級(B1)從本級開始始，不但有有自主存取取控制，還還增加了強強制存取控控制，組織織統(tǒng)一干預(yù)預(yù)每個用戶戶的存取權(quán)權(quán)限。本級級具有C2級的全部部安全特性性，并增加加了數(shù)據(jù)標(biāo)標(biāo)記，以標(biāo)標(biāo)記決定已已命名主體體對該客體體的存取控控制。本級級還規(guī)定在在測試過程程中發(fā)現(xiàn)的的缺陷應(yīng)當(dāng)當(dāng)已全部排排除。2.結(jié)結(jié)構(gòu)化保護護級(B2)從本級開始始，按最小小特權(quán)原則則取消權(quán)力力無限大的的“特權(quán)用用戶”。任任何一個人人都不能享享有操縱和和管理計算算機的全部部權(quán)力。本本級將系統(tǒng)統(tǒng)管理員與與系統(tǒng)操作作員的職能能隔離，系系統(tǒng)管理員員對系統(tǒng)的的配置和可可信設(shè)施進進行強有力力的管理，，系統(tǒng)操作作員操縱計計算機正常常運行。本本級將強制制存取控制制擴展到計計算機的全全部主體和全部客體體，并且要要發(fā)現(xiàn)和消消除能造成成信息泄漏漏的隱蔽存存儲信道。。為此，本本級計算機機安全級的的結(jié)構(gòu)，將將被自行劃劃分為與安安全保護有有關(guān)的關(guān)鍵鍵部分和非非關(guān)鍵部分分。3.安安全域級(B3)本級在計算算機安全方方面已達到到目前能達達到的最完完備等級。。按照最小小特權(quán)的原原則，本級級增加了安安全管理員員，將系統(tǒng)統(tǒng)管理員、、系統(tǒng)操作作員和安全全管理員的的職能隔離離，使其各各司其職，，將人為因因素對計算算機安全的的威脅減至至最小。本本級要求在在計算機安安全級的結(jié)結(jié)構(gòu)中，沒沒有為實現(xiàn)現(xiàn)安全策略略所不必要要的代碼。。它的所有有部分都是是與保護有有關(guān)的關(guān)鍵鍵部件，并并且它是用用系統(tǒng)工程程方法實現(xiàn)現(xiàn)的，其結(jié)結(jié)構(gòu)的復(fù)雜雜性最小，，易于分析和測試。。本級的審審計功能有有很大的增增加，不但但能記錄違違反安全的的事件，而而且能發(fā)出出報警信號號。本級還還要求具有有使系統(tǒng)恢恢復(fù)運行的的程序。4.2.4驗證證安全保護護級A等是驗證證保護級。。它的顯著著特征是從從形式設(shè)計計規(guī)范說明明和驗證技技術(shù)導(dǎo)出分分析，并高高度地保證證正確地實實現(xiàn)TCB。其特點點是使用形形式化驗證證方法，以以保證系統(tǒng)統(tǒng)的自主訪訪問和強制制訪問，控控制機理能能有效地使使該系統(tǒng)存存儲和處理理秘密信息息或其他敏敏感信息。。該等級分分為A1和和超A1兩兩個級別。。1.驗驗證設(shè)計級級(A1級級)本級的安全全功能與B3級基本本相同，但但最明顯的的不同是本級必必須對相同同的設(shè)計，，運用數(shù)學(xué)學(xué)形式化證證明方法加加以驗證，，以證明安安全功能的的正確性。。本級還規(guī)規(guī)定了將安安全計算機機系統(tǒng)運送送到現(xiàn)場安安裝所必須須的程序。。2.超超A1級由于超Al級超出目目前的技術(shù)術(shù)發(fā)展，有有些具體要要求很難提提出，僅提提供了一些些設(shè)想。它它為今后研研究提供指指導(dǎo)。綜上所述，，對可信計計算機而言言，D級是是不具備最最低限度安安全的等級級；C1和和C2級是是具備最低低安全限度度的等級；；B1和B2級是具具有中等安安全保護能能力的等級級，與C級級相比是較較高安全等等級，對于于一般的重重要應(yīng)用基基本上可以以滿足安全全要求；B3級和A1級是最最高安全等級級，其成本本高，只有有極重要的的應(yīng)用才需需使用這種種安全等級級的設(shè)備。。4.3計計算機的的開機口令令驗證機制制目前PC機機是世界上上使用最多多的計算機機，PC機機上運行的的操作系統(tǒng)統(tǒng)多為MSDOS或或Windows95/98/ME等，而Windows95/98/ME等等系統(tǒng)簡單單易學(xué)，且且具有友好好的界面、、豐富的應(yīng)應(yīng)用軟件成成為個人用用戶的首選選。然而，，由于Windows95/98/ME本身身就不是為為網(wǎng)絡(luò)應(yīng)用用設(shè)計的，，因此它存存在許多安安全性方面面的問題，，是十分容容易被攻擊擊的。根據(jù)美國國計算機機安全中中心(NCSC)公布布的可信信計算機機系統(tǒng)評評價準則則(TCSEC，trustedcomputersystemevaluationcriteria)，，Windows95/98/ME只能能達到D級，基基本上相相當(dāng)于未未加安全全措施的的個人計計算機系系統(tǒng)。而在另一一方面，，因為Windows95/98/ME的流行行，許多多黑客工工具在設(shè)設(shè)計時就就考慮了了Windows95/98/ME的兼兼容性，，許多黑黑客也利利用它來來攻擊網(wǎng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)。因此此，對于于個人計計算機系系統(tǒng)，用用啟動開開機口令令的開機機驗證機機制防止止非法用用戶使用用計算機機，是非非常必要要的。開開機口令令的開機機驗證機機制是由由計算機機的BIOS(BaseInput/OutputSystem)程序序來管理理的，下下面將介介紹這方方面的內(nèi)內(nèi)容。4.3.1BIOS的的口令機機制BIOS的口令令機制俗俗稱CMOS口口令設(shè)置置，CMOS口口令是保保證計算算機信息息安全的的第一道道屏障。。CMOS(本本意是指指互補金金屬氧化化物半導(dǎo)導(dǎo)體存儲儲器，應(yīng)應(yīng)用于集集成電路路芯片制制造)是是電腦主主板上的的一塊可可讀寫的的RAM芯片，，主要用用來保存存當(dāng)前系系統(tǒng)的硬硬件配置置，CMOSRAM芯片由由系統(tǒng)通通過一塊塊后備電電池供電電，所以以無論是是開或關(guān)關(guān)機狀態(tài)態(tài)中，CMOS的信息息都不會會丟失。。CMOS口令令分為CMOS開機口口令和BIOS設(shè)置口口令。如如設(shè)置了了CMOS開機機口令，，則計算算機在開開機完成成硬件自自檢后將將要求操操作者輸輸入密碼碼，如密密碼不正正確，將將不能進進入CMOS參參數(shù)設(shè)置置，亦無無法繼續(xù)續(xù)啟動操操作系統(tǒng)統(tǒng)，更無無從談起起運行其其他軟件件了。如計算機機僅設(shè)置置了BIOS設(shè)設(shè)置口令令，則雖雖然在啟啟動操作作系統(tǒng)和和運行各各種軟件件時不受受限制，，但如要要進入BIOS設(shè)置程程序必須須輸入預(yù)預(yù)設(shè)的口口令，否否則無法法改變CMOS參數(shù)。。因此，，根據(jù)實實際需要要，合理理地設(shè)置置CMOS口令令，是做做好計算算機信息息安全工工作的重重要途徑徑。計算機有有很多種種不同的的BIOS程序序，最有有名的是是AWARDBIOS和AMIBIOS程序序。下面面以AWARDBIOS為為例討論論BIOS中CMOS的開機機密碼的的設(shè)置，，設(shè)置方方法如下下。(1)啟啟動計算算機，在在計算機機正在啟啟動時不不停地按按DEL鍵(注注意，是是不停地地按動，，而不是是按住不不放)，，直到出出現(xiàn)如圖圖4.1所示的的CMOSSETUP設(shè)置置界面時時為止(有有的計算算機進入入CMOS的快快捷鍵不不是DEL，例例如康柏柏計算機機的CMOS設(shè)設(shè)置是按按F2鍵鍵，需要要看具體體情況而而定)，，其中的的加框的的選項與與開機的的CMOS密碼碼的有關(guān)關(guān)。(2)用用鍵盤上上的光標(biāo)標(biāo)鍵選擇擇SUPERVISORPASSWORD項，，然后回回車，出出現(xiàn)ENTERPASSWORD后，輸輸入密碼碼再回車車，這時時又出現(xiàn)現(xiàn)CONFIRMPASSWORD，在在其后再再次輸入入同一密密碼(注注：該項項原意是是對剛才才輸入的的密碼進進行校驗驗，如果果兩次輸輸入的密密碼不一一致，則則會要求求重新輸輸入)。。SUPERVISORPASSWORD選項項是用來來設(shè)置計計算機管管理員的的密碼，，擁有該該密碼，，就可以以設(shè)置計計算機的的CMOS參數(shù)數(shù)和使用用計算機機。(3)用用光標(biāo)鍵鍵選擇USERPASSWORD項后回回車，同同上面一一樣，密密碼需輸輸入兩次次才能生生效。以以上設(shè)置置的兩個個密碼分分別為設(shè)設(shè)置密碼碼和修改改CMOSSETUP密碼碼，建議議兩個均均取同一一密碼，，以便記記憶。USERPASSWORD選項是是用來設(shè)設(shè)置使用用計算機機的用戶戶密碼，，擁有該該密碼，，就可以以使用計計算機。。(4)選選擇BIOSFEATURESSETUP項項回車，，出現(xiàn)BIOSFEATURESSETUP設(shè)置界界面，用用光標(biāo)鍵鍵選擇SECURITYOPION選項項后，用用鍵盤上上的PAGEUP/PAGEDOWN鍵把選選項改為為SYSTEM(設(shè)定定為SYSTEM的目目的是讓讓計算機機在任何何時候都都要檢測測密碼，，包括啟啟動機器器，SECURITYOPION選項還還有一個個參數(shù)SETUP，設(shè)設(shè)定為該該參數(shù)表表示計算算機在設(shè)設(shè)置CMOS參參數(shù)時要要檢測密密碼)，，然后按按ESC鍵退出出。(5)選選擇SAVE&EXITSETUP項回回車，出出現(xiàn)提示示后按Y鍵再回回車，以以上設(shè)置置的密碼碼即可生生效。圖4.1通過以上上步驟設(shè)設(shè)置以后后，在計計算機啟啟動和設(shè)設(shè)置CMOS參參數(shù)時都都要檢測測密碼。。4.3.2BIOS的口口令破解解與防范范措施1.幾幾種常常見密碼碼破解方方法在日常的的工作中中，常碰碰到一些些用戶由由于遺忘忘了CMOS口口令或無無意中設(shè)設(shè)置了CMOS口令，，致使計計算機無無法啟動動操作系系統(tǒng)或無無法進行行CMOS參數(shù)數(shù)設(shè)置的的情況，，很多用用戶對此此束手無無策，只只能送計計算機公公司修理理，耽誤誤了很多多時間。。其實，根根據(jù)CMOS口口令的設(shè)設(shè)置情況況，可以以有很多多方法來來破解，，其原則則是：如如果設(shè)置置了CMOS開開機口令令，必須采用用硬件或或CMOS萬能能密碼法法破解；；如果僅僅設(shè)置了了BIOS設(shè)置置口令，，破解這這種口令令簡直易易如反掌掌！下面面給出破破解CMOS口口令的各各種方法法。注意意：這些些方法當(dāng)當(dāng)然也有有可能會會被黑客客們利用用，因此此亦應(yīng)針針對這些些破解方方法，做做好自己己計算機機的CMOS口口令保護護。2.硬硬件法法破解CMOS口令忘記了電電腦的BIOS密碼是是一件不不幸的事事，如果果將BIOS設(shè)設(shè)置中的的SEURITYOPTION(密碼屬屬性)設(shè)設(shè)為ALWAYS/SETUP或SYSTEM則則更是不不幸中的的不幸，，因為此此時既無無法進入入CMOS設(shè)置置程序更更改口令令，也無無法啟動動操作系系統(tǒng)用其其他方法法破解，，只能采采取在硬硬件上進進行CMOS掉掉電處理理和使用用萬能密密碼這兩兩類方法法解決。。下面介紹紹CMOS掉電電處理的的方法。。這里首首先需要要提及的的是，硬硬件破解解的各種種方法均均需在計計算機關(guān)關(guān)機的狀狀態(tài)下進進行(最最好將電電源線拔拔掉，對對于ATX電源源尤應(yīng)如如此)，，先清除除人身上上的靜電電，再打打開計算算機機箱箱進行，，否則可可能導(dǎo)致致計算機機硬件的的損壞。。(1)跳跳線/開關(guān)放放電破解解法計算機主主板上一一般都有有CMOSCLEAR(CMOS清除)跳線位位置，可可參照主主板說明明書或主主板上印印制的跳跳線說明明，用一一跳線在在該位置置上跳接接一下，，CMOS口令令就被清清除了，，然后將將跳線恢恢復(fù)原狀狀，開機機后即能能進入CMOS設(shè)置。。(2)導(dǎo)導(dǎo)線線劃芯片片放電破破解法硬件破解解CMOS口令令的本質(zhì)質(zhì)是讓CMOSRAM芯片片掉電，使使其中保保存的設(shè)設(shè)置信息息丟失，，從而達達到清除除CMOS口令令的目的的(上面面跳線法法的實質(zhì)質(zhì)也是這這樣)，，抓住了了這一點點，在解解決此類類問題時時，可先先將CMOS電電池卸下下，然后后用一根根導(dǎo)線，，將其一一端接到到CMOS電池池插座的的地線端端，用另另一端往往CMOSRAM片的兩兩排腳上上輕輕地地一掃而而過(如如不能確確認哪塊塊是CMOS芯芯片，則則可多掃掃幾塊芯芯片，掃掃時注意意別損傷傷了芯片片引腳)，CMOS密密碼便會會被清除除。此方方法適用用于計算算機主板板上沒有有設(shè)計CMOSCLEAR跳線的的情況。。(3)卸卸電電池等待待法這是一種麻煩煩和消極的方方法。我們知知道，CMOS是靠主板板上的一塊電電池及相應(yīng)的的附屬電路來來提供電源以保持設(shè)置信信息的，因此此，如果將CMOS電池池取下，再將將電池接口的的正負極(注注意不是電池池的正負極)短路，然后后等待一段時時間后，CMOS供電電電路中殘存的的電能將會消消耗完，CMOS口令令就會被清除除了。如果CMOS電池是焊接接在主板上的的，則需先焊焊下來再試用用上述的第(2)、(3)方法。所所以只有在確確認主板上確確實沒有設(shè)計計CMOSCLEAR跳線的情況況下，才可采采用后兩種方方法。3.用CMOS萬能能密碼破解開開機口令如果計算機機機箱加鎖(比比如眾多的進進口原裝計算算機)或因為為其他原因無無法打開機箱箱，自然也就就無法進行上上述的硬件破破解法，那么么是否還有方方法能破解CMOS開機機口令呢？答答案是肯定的的，下面向讀讀者介紹一種種不用拆機箱箱的軟方法———萬能密碼碼。原理：在BIOS的密密碼中也有像像WPS那樣樣的萬能密碼碼，但不同的的BIOS廠廠家有不同的的密碼。(1)用CMOSPWD獲取CMOS萬能密密碼計算機BIOS的版本太太多，不同版版本的萬能密密碼也不一樣樣，想用上述述的幾個密碼碼“通行”于于所有版本的的BIOS顯顯然是不可能能的。那么如如何獲得更多多的萬能密碼碼呢？在Inernet網(wǎng)上有一個個運行在DOS環(huán)境下的的CMOSPWD.EXE軟件可以以做到這一點點。圖4.2是CMOSPWD.EXE程序的的一個運行結(jié)結(jié)果報告。由此運行結(jié)果果可以看出，，CMOSPWD工具可可以獲取多種種BIOS類類型的CMOS萬能密碼碼。因此，當(dāng)當(dāng)忘記了計算機的的CMOS密密碼時，可找找一臺相同的的計算機，給給其設(shè)置上CMOS開機機口令，然后后運行CMOSPWD找找到“萬能鑰鑰匙”，再用用到自己的計計算機上即可可。(2)用UNAWARD獲取AWARDBIOS萬萬能密碼UNAWARD.EXE可以幫你輕輕松地獲得AwardBIOS的的萬能密碼，，而且還有三三個：純數(shù)字字密碼、小寫寫字母密碼和和大寫字母密密碼。假如你你愿意，還可可以用該軟件件DISABLE(禁用用)這些萬能能密碼，甚至至刪除這些密密碼。執(zhí)行UNAWARD.EXE程序，顯示示如圖4.3所示。圖4.2圖4.3通常同型號主主機的AWARDBIOS萬能密密碼是一致的的。因此當(dāng)忘忘記了AWARDBIOS密碼時時，不用著急急，試著在身身邊找找或打打電話問問朋朋友們的主板板型號、廠商商是否與自己己的這臺主機機主板相同，，假如有的話話，用UNAWARD.EXE將那那臺機子上的的密碼獲取后后再傳回來，，一切就大功功告成了。UNAWARD.EXE在Internet上上可以下載。。注意：若需需BIOS的萬能密碼碼，必須先在在超級用戶密密碼(SUPERVISORPASSWORD)中設(shè)置置密碼，如沒沒有超級用戶戶密碼選項，，則必須在用用戶密碼(USERPASSWORD)中設(shè)設(shè)置密碼，否否則該軟件不不能用作BIOS的萬能能密碼。(3)使用用通用CMOS密碼目前大部分主主板使用AWARD公司司的BIOS程序，部分分主板使用AMI公司的的BIOS程程序，某些廠廠家在生產(chǎn)主主板時為自己己的BIOS預(yù)留了通用用CMOS密密碼，以解一一時之需。其其中AWARDBIOS只有4.51版以前前的才有通用用密碼。據(jù)目目前所知，有有以下通用密密碼(按成功功概率排序)。AWARDBIOS：：wantgirlSyxzdirrideBBBh996wnatgirlAwardAMIBIOS：Sysg以上通用密碼碼在386、、486或奔奔騰主板上破破解CMOS幾乎百發(fā)百百中，但在PⅡ級以上的的主板存在通通用密碼的可可能性就較少少了。4.用萬萬能密碼程序序準確破解BIOS設(shè)置置口令如果在微機的的BIOSSETUP程序中設(shè)置置了CMOS口令，但在在PASSWORDOPTION(密碼選項項)中選擇為為SETUP時，不必打打開機箱，只只要簡單地利利用上面介紹紹的萬能密碼碼程序在當(dāng)前前計算機上運運行一下，即即可輕松和準準確地獲得這這臺計算機的的CMOS萬萬能密碼，然然后用此萬能能密碼即可進進入BIOSSETUP程序中更更改各種CMOS參數(shù)數(shù)了。(1)用DEBUG破破解SETUP設(shè)置口令令在微機的BIOSSETUP程序序中設(shè)置了口口令，但在PASSWORDOPTION(密碼選項項)中選擇為為SETUP時，可簡單單地利用DOS中的DEBUG程序序清除CMOS口令。當(dāng)計算機接通通電源時，首首先執(zhí)行的是是BIOS加加電自檢程序序，對整個系系統(tǒng)進行全面面的檢測，其其中也要對CMOSRAM中的配配置信息有關(guān)關(guān)單元作累加加和測試，并并與原來的存存儲結(jié)果進行行比較，當(dāng)兩兩者相吻合時時，則CMOSRAM中的配置置有效，程序序繼續(xù)進行其其他測試；當(dāng)當(dāng)發(fā)現(xiàn)累加和和與原值不相相等時，則要要求重新配置置，并能自動動地按實際情情況進行最小小配置的設(shè)定定，此時原來來的CMOS口令也會被被自動消除。。利用這一點，，只要往CMOSRAM中的80口10H~2DH(配置信息存存放單元)中中的任一單元元寫入一個數(shù)數(shù)，即可清除除CMOSSETUP口令。具具體操作如下下：從A：或C：：啟動，然后后運行DEBUG程序(從DOS目目錄中拷貝或或運行)，輸輸入：C>debug(回車)–O7010(回車)–O7110(回車)–q(回車)然后重新啟動動系統(tǒng)，密碼碼即被清除，，系統(tǒng)將要求求重新配置CMOS參數(shù)數(shù)，這樣便可可以重新進入入BIOSSETUP接口去設(shè)計計系統(tǒng)配置了了。(2)輸入入代碼破解SETUP設(shè)設(shè)置口令使用本方法生生成的可執(zhí)行行文件能夠清清除CMOS密碼。本方方法的最大特特點是不需使使用任何工具具軟件，而只只需簡單地使使用DOS內(nèi)內(nèi)部的COPY命令，從從鍵盤上輸入入所需代碼，，并生成所需需的破解程序序。A：\>179，55，136，，216，230，112，176，32，230，113，254，195，，128，251，64，117，，241，195^Z回回車注意：輸入入上述數(shù)字時時必須用鍵盤盤上的Alt鍵加小鍵盤盤上的數(shù)字鍵鍵來輸入，其其中的逗號表表示輸入到該該處時松一下下雙手再繼續(xù)續(xù)輸入，而非非真的輸入逗逗號；^Z代代表按Ctrl＋Z鍵(也可按按F6鍵)結(jié)結(jié)束文件輸入入，最后回車車在當(dāng)前目錄錄下生成可執(zhí)執(zhí)行文件。運行生成的可可執(zhí)行文件，再重重新冷啟動計計算機，會發(fā)發(fā)現(xiàn)原來的CMOS設(shè)置置口令已經(jīng)被被清除了。同同樣需注意的的是，該方法法在某些計算算機上可能會會不起作用。。5.防范范CMOS密密碼的破解通過對幾種常常見CMOS密碼破解方方法的介紹，，可以了解到到要破解CMOS密碼的的前提條件。。采用硬件破破解法必須能能夠打開機箱箱，因此防止止硬件破解法法的主要措施施是給主機機機箱加上物理理鎖。對于采用萬能能密碼，目前前沒有好的防防范措施，如如果非法用戶戶持有萬能密密碼，這開機機密碼的安全全保護措施已已失去效用，，只能靠其他他的安全措施施，如通過操操作系統(tǒng)的安安全機制。另另外市場上有有些硬盤保護護卡和防毒卡卡也有開機保保護機制和密密碼機制，也也能起到CMOS密碼的的功能，且破破解的可能性性要比CMOS密碼機制制更難些。要防范范采用用工具具軟件件破解解CMOS密碼碼，最最主要要是不不能讓讓非法法用戶戶在被被保護護的計計算機機上物物理性性地執(zhí)執(zhí)行工工具軟軟件，，可采采用如如下措措施。。(1)屏屏蔽蔽計算算機的的軟驅(qū)驅(qū)和光光驅(qū)，，使之之不能能從軟軟驅(qū)和和光驅(qū)驅(qū)引導(dǎo)導(dǎo)操作作系統(tǒng)統(tǒng)。(2)使使用用者不不能在在計算算機處處于交交互狀狀態(tài)(即可可執(zhí)行行用戶戶命令令的狀狀態(tài))時離離開計計算機機；如如若離離開計計算機機，應(yīng)應(yīng)該關(guān)關(guān)機、、鎖定定鍵盤盤或使使計算算機處處于安安全保保護狀狀態(tài)(例如如Windows98系統(tǒng)統(tǒng)的帶帶密碼碼屏幕幕保護護狀態(tài)態(tài))。。(3)有有條條件的的用戶戶可以以給計計算機機加安安全保保護卡卡(例例如硬硬盤保保護卡卡和防防毒卡卡，也也有開開機保保護機機制和和密碼碼機制制)。。(4)設(shè)設(shè)置置安全全的口口令，，定期期更新新密碼碼。有關(guān)設(shè)設(shè)置安安全口口令的的措施施如下下。(1)好好的的口令令好的口口令是是那些些很難難猜測測的口口令。。難猜猜測的的原因因是因因為同同時有有大小小寫字字符，，不但但有字字符，，還有有數(shù)字字、標(biāo)標(biāo)點符符號、、控制制字符符和空空格。。另外外，還還要容容易記記憶，，至少少有7到8個字字符長長，并并且容容易輸輸入。。(2)不不安安全口口令不安全全的口口令往往往是是：任任何何名字字(包包括人人名、、軟件件名、、計算算機名名甚至至幻想想中事事物的的名字字)，，電話話號碼碼或者者某種種執(zhí)照照的號號碼，，社會會保障障號，，任何何人的的生日日，其其他很很容易易得到到的關(guān)關(guān)于自自己的的信息息，一一些常常用的的音調(diào)調(diào)，任任何形形式的的計算算機中中的用用戶名名，在在英語語字典典或者者外語語字典典中的的詞，，地點點名稱稱或者者一些些名詞詞，鍵鍵盤上上的一一些詞詞，任任何形形式的的上述述詞再再加上上一些些數(shù)字字。(3)保保持持口令令安全全要注注意的的問題題①不不要將將口令令寫下下來。。②不不要將將口令令存于于終端端功能能鍵或或調(diào)制制解調(diào)調(diào)器的的字符符串存存儲器器中。。③不不要選選取顯顯而易易見的的信息息作口口令。。④不不要讓讓別人人知道道。⑤不不要交交替使使用兩兩個口口令。。⑥不不要在在不同同系統(tǒng)統(tǒng)上使使用同同一口口令。。⑦不不要讓讓人看看見自自己在在輸入入口令令。(4)一一次次性口口令減小口口令危危險的的最有有效方方法是是根本本不用用常規(guī)規(guī)口令令。替替代的的辦法法是在在系統(tǒng)統(tǒng)中安安裝新新的軟軟件或或硬件件，使使用一次性性口令令。一一次性性口令令就是是一個個口令令只使使用一一次。。一個個用戶戶可能能收到到一個個打印印輸出出的口口令列列表，，每次次登錄錄使用用完一一個口口令，，就將將它從從列表表中刪刪除。。用戶戶也可可能得得到一一個可可以攜攜帶的的小卡卡，這這個卡卡每次次將顯顯示一一個不不同的的號。。用戶戶還可可以攜攜帶一一個小小的計計算器器，當(dāng)當(dāng)?shù)卿涗洉r，，計算算機將將會打打印出出一個個不同同的號號碼，，用戶戶將這這個號號碼輸輸入這這個小小小的的計算算器中中，然然后輸輸入自自己的的標(biāo)志志號碼碼，計計算器器將輸輸出一一個口口令，，用戶戶將這這個口口令再再輸入入計算算機中中。一次性性口令令系統(tǒng)統(tǒng)比傳傳統(tǒng)方方式能能提供供令人人驚奇奇的安安全性性能。。不幸幸的是是，它它們要要求安安裝一一些特特定的的程序序或者者需要要購買買一些些硬件件，因因此現(xiàn)現(xiàn)在使使用得得并不不普遍遍。在一個個網(wǎng)絡(luò)絡(luò)中，，當(dāng)用用戶穿穿過Internet或或者其其他的的網(wǎng)絡(luò)絡(luò)來訪訪問時時，管管理員員就應(yīng)應(yīng)該認認真地地考慮慮使用用一次次性口口令。。否則則，攻攻擊者者可以以竊聽聽、截截獲用用戶口口令，，以后后將攻攻擊這這些站站點。。4.4Windows95/98/ME的的安全全保護護機制制如前所所述，，計算算機的的開機機密碼碼保護護機制制是非非常脆脆弱的的。因因此，，必須須尋求求其他他的保保護措措施。。例如如：操操作系系統(tǒng)的的安全全措施施?？偟膩韥碚f，，Windows95/98/ME只能能達到到D級級，基基本上上相當(dāng)當(dāng)于未未加安安全措措施的的個人人計算算機系系統(tǒng)。。雖然然微軟軟的系系統(tǒng)加加密技技術(shù)有有點讓讓人擔(dān)擔(dān)憂，，可用用上總總比不不用好好。本本節(jié)將將以Windows98系系統(tǒng)為為例介介紹這這方面面的內(nèi)內(nèi)容。。Windows98系系統(tǒng)的的安全全措施施是由由登錄錄機制制、屏屏幕保保護密密碼、、文件件夾共共享密密碼和和遠程程管理理密碼碼等部部分組組成的的。這這些安安全保保護措措施，，Windows98系統(tǒng)統(tǒng)都提提供了了安裝裝和設(shè)設(shè)置方方法，，大部部分方方法可可以通通過修修改Windows98系系統(tǒng)的的注冊冊表來來實現(xiàn)現(xiàn)。4.4.1Windows98的的登錄錄機制制Windows98系系統(tǒng)登登錄方方式有有三種種：Microsoft網(wǎng)網(wǎng)絡(luò)絡(luò)用戶戶、Microsoft友友好登登錄和和Windows登登錄錄。其其中Microsoft網(wǎng)網(wǎng)絡(luò)用用戶和和Microsoft友友好好登錄錄兩種種選項項，只只有在在Windows98系統(tǒng)統(tǒng)安裝裝網(wǎng)絡(luò)絡(luò)適配配器(如網(wǎng)網(wǎng)卡或或撥號號適配配器)時才才能選選擇。。1.Windows98系系統(tǒng)登登錄嚴格講講，Windows登錄錄選項項對系系統(tǒng)起起不到到安全全保護護作用用。Microsoft公司司設(shè)計計Windows登登錄機機制的的用意意主要要在于于區(qū)分分不同同用戶戶使用用Windows98系統(tǒng)統(tǒng)有一一個個個性化化的桌桌面和和菜單單選項項，而而不在在于保保護系系統(tǒng)和和防止止非法法用戶戶使用用計算算機。。所以以，用用戶在在Windows98啟動動后出出現(xiàn)““Windows登登錄””界面面時，，如圖圖4.4所所示，，如不不輸入入密碼碼，單單擊““取消消”選選項也也可進進入Windows98桌桌面。。圖4.42.Microsoft網(wǎng)網(wǎng)絡(luò)絡(luò)用戶戶和Microsoft友友好登登錄這兩種種選項項只有有Windows98在網(wǎng)網(wǎng)絡(luò)中中存在在才可可以選選擇，，當(dāng)Windows98系系統(tǒng)作作為網(wǎng)網(wǎng)絡(luò)中中的一一個主主機時時，這這個用用戶必必須以以“Microsoft網(wǎng)網(wǎng)絡(luò)用用戶””的身身份登登錄。。如果果用戶戶選擇擇了““Microsoft網(wǎng)網(wǎng)絡(luò)絡(luò)用戶戶”選選項，，在Windows98啟啟動后后出現(xiàn)現(xiàn)“Microsoft網(wǎng)網(wǎng)絡(luò)用用戶登登錄””界面面，如如圖4.5所示示，如如不輸輸入密密碼，，單擊擊“取取消””選項項也可可進入入Windows98桌面面，用用戶將將不能能使用用網(wǎng)絡(luò)絡(luò)資源源，但但并不不妨礙礙用戶戶使用用本機機的資資源。。至于于“Microsoft友友好登登錄””選項項，它它與““Microsoft網(wǎng)網(wǎng)絡(luò)絡(luò)用戶戶”選選項的的作用用相同同，如如圖4.6所示示，惟惟一的的區(qū)別別是登登錄界界面更更漂亮亮一點點。圖4.5圖4.6上述述3種種選選項項的的選選擇擇步步驟驟是是：：啟動動Windows98系系統(tǒng)統(tǒng)進進入入系系統(tǒng)統(tǒng)桌桌面面→→用用鼠鼠標(biāo)標(biāo)右右擊擊Windows98的的““網(wǎng)網(wǎng)絡(luò)絡(luò)鄰鄰居居””圖圖標(biāo)標(biāo)→→““屬屬性性””，，出出現(xiàn)現(xiàn)““網(wǎng)網(wǎng)絡(luò)絡(luò)””窗窗體體→→““配配置置””，，其其中中““主主網(wǎng)網(wǎng)絡(luò)絡(luò)登登錄錄(L)””的的設(shè)設(shè)置置即即為為““Windows98登登錄錄””的的設(shè)設(shè)置置選選項項，，如如圖圖4.7所所示示。。圖4.74.4.2Windows98的的屏屏幕幕保保護護機機制制Windows98可可以以設(shè)設(shè)置置屏屏幕幕保保護護程程序序，，其其作作用用是是：：當(dāng)當(dāng)用用戶戶要要離離開開計計算算機機一一段段時時間間，，而而又又不不能能關(guān)關(guān)閉閉計計算算機機的的電電源源時時(如如計計算算機機正正在在進進行行運運算算)，，為為了了保保護護計計算算機機，，可可設(shè)設(shè)定定計計算算機機在在一一段段時時間間后后不不進進行行操操作作，，計計算算機機將將進進入入屏屏幕幕保保護護狀狀態(tài)態(tài)以以保保護護計計算算機機的的顯顯示示器器和和硬硬盤盤，，使使其其進進入入節(jié)節(jié)能能狀狀態(tài)態(tài)。。在在設(shè)設(shè)置置屏屏幕幕保保護護程程序序時時，，可可選選擇擇““密密碼碼保保護護””選選項項，，這這樣樣當(dāng)當(dāng)計計算算機機進進入入““屏屏幕幕保保護護””狀狀態(tài)態(tài)后后，，如如要要使使計計算算機機恢恢復(fù)復(fù)到到正正常常狀狀態(tài)態(tài)，，就就需需要要密密碼碼，，否否則則將將不不能能操操作作計計算算機機，，從從而而達達到到保保護護計計算算機機安安全全的的目目的的。。Windows98系系統(tǒng)統(tǒng)屏屏幕幕保保護護程程序序設(shè)設(shè)計計的的步步驟驟為為：：啟動動Windows98系系統(tǒng)統(tǒng)進進入入系系統(tǒng)統(tǒng)桌桌面面，，選選擇擇““啟啟動動””→““設(shè)設(shè)置置””→→““控控制制面面板板””→→““顯顯示示””，，出出現(xiàn)現(xiàn)““顯顯示示屬屬性性””窗窗體體，，選選擇擇““屏屏幕幕保保護護程程序序””選選項項，，如如圖圖在在““屏屏幕幕保保護護程程序序)””位位置置，，可可選選擇擇屏屏幕幕保保護護程程序序，，同同時時，，選選定定““密密碼碼保保護護””選選項項，，可可輸輸入入保保護護密密碼碼，，如如圖圖4.8所所示示，，同同時時輸輸入入啟啟動動保保護護程程序序的的時時間間，，按按““確確定定””，，就就完完成成了了屏屏幕幕保保護護程程序序的的設(shè)設(shè)置置工工作作。。4.4.3Windows98共共享享資資源源和和遠遠程程管管理理機機制制當(dāng)Windows98系系統(tǒng)統(tǒng)與與其其他他計計算算機機聯(lián)聯(lián)成成網(wǎng)網(wǎng)絡(luò)絡(luò)時時，，計計算算機機的的資資源源可可以以相相互互共共享享，，為為了了保保護護計計算算機機系系統(tǒng)統(tǒng)的的安安全全，，Windows98有有簡簡單單的的權(quán)權(quán)限限控控制制，，其其訪訪問問控控制制方方式式有有兩兩種種：：共共享享級級訪訪問問控控制制方方式式和和用用戶戶級級訪訪問問控控制制方方式式。。用戶戶級級訪訪問問控控制制方方式式要要求求在在網(wǎng)網(wǎng)絡(luò)絡(luò)中中必必須須有有域域服服務(wù)務(wù)器器，，通通過過域域服服務(wù)務(wù)器器(例例如如WindowsNT/2000的的域域服服務(wù)務(wù)器器)來來管管理理Windows98的的資資源源，，這這種種方方法法安安全全性性較較高高，，其其設(shè)設(shè)置置方方法法同同WindowsNT/2000的的共共享享資資源源的的設(shè)設(shè)置置，，將將陸陸續(xù)續(xù)在在WindowsNT/2000的的安安全全性性中中講講解解。。在沒沒有有域域服服務(wù)務(wù)器器的的對對等等網(wǎng)網(wǎng)絡(luò)絡(luò)中中，，Windows98的的共共享享資資源源管管理理只只能能采采用用共共享享級級訪訪問問控控制制方方式式，，選選擇擇共共享享級級控控制制方方式式的的權(quán)權(quán)限限有有3種種：：““只只讀讀””、、““完完全全””和和““根根據(jù)據(jù)密密碼碼訪訪問問””。。選選擇擇““只只讀讀””時時，，其其他他計計算算機機用用戶戶只只能能讀讀取取本本機機共共享享目目錄錄下下的的文文件件和和子子目目錄錄，，而而不不能能修修改改和和刪刪除除該該目目錄錄下下的的文文件件和和子子目目錄錄；；選選擇擇““完完全全””共共享享類類型型，，其其他他計計算算機機用用戶戶可可完完全全控控制制(即即：：可可以以讀讀取取也也可可修修改改或或刪刪除除)共共享享目目錄錄下下的的文文件件和和子子目目錄錄；；選選擇擇““需需要要密密碼碼””時時，，需需要要輸輸入入““只只讀讀””和和““完完全全””共共享享的的密密碼碼，，其其他他計計算算機機用用戶戶必必須須提提供供密密碼碼來來決決定定它它使使用用共共享享目目錄錄下下的的文文件件和和子子目目錄錄。。圖4.8Windows98系系統(tǒng)統(tǒng)共共享享資資源源的的訪訪問問控控制制方方式式設(shè)設(shè)置置步步驟驟為為：：(1)““Microsoft網(wǎng)網(wǎng)絡(luò)絡(luò)上上的的文文件件和和打打印印機機共共享享””的的設(shè)設(shè)定定啟動Windows98系系統(tǒng)進進入系系統(tǒng)桌桌面→→用鼠鼠標(biāo)右右擊Windows98的的“網(wǎng)網(wǎng)絡(luò)鄰鄰居””圖標(biāo)標(biāo)→““屬性性”，，出現(xiàn)現(xiàn)“網(wǎng)網(wǎng)絡(luò)””窗體體→““配置置”→→“添添加””，出出現(xiàn)““請選選擇網(wǎng)網(wǎng)絡(luò)組組件類類型””窗體體，在在窗體體中選選擇““服務(wù)務(wù)”，，單擊擊“添添加””按鈕鈕→““選擇擇網(wǎng)絡(luò)絡(luò)服務(wù)務(wù)”窗窗體，，在““選擇擇網(wǎng)絡(luò)絡(luò)服務(wù)務(wù)”窗窗體中中，選選擇““Microsoft網(wǎng)網(wǎng)絡(luò)絡(luò)上的的文件件和打打印機機共享享”，，單擊擊“確確認””按鈕鈕，關(guān)關(guān)閉““選擇擇網(wǎng)絡(luò)絡(luò)服務(wù)務(wù)”窗窗體→→單擊擊“取取消””按鈕鈕，關(guān)關(guān)閉““請選選擇網(wǎng)網(wǎng)絡(luò)組組件類類型””窗體體，回回到““網(wǎng)絡(luò)絡(luò)”窗窗體→→在““網(wǎng)絡(luò)絡(luò)”窗窗體中中單擊擊“文文件及及打印印共享享”→→“文文件及及打印印共享享”窗窗體，，將所所有““允許許其他他用戶戶訪問問我的的文件件”和和“允允許其其他用用戶使使用我我的打打印機機”兩兩個選選項選選上,關(guān)閉閉窗口口返回回到““網(wǎng)絡(luò)絡(luò)”窗窗體中中，如如圖4.9所示示。圖4.9(2)設(shè)設(shè)置““共享享級訪訪問控控制方方式””在(1)中中的““網(wǎng)絡(luò)絡(luò)”窗窗體中中，選選擇““訪問問控制制”，，選擇擇“共共享級級訪問問控制制”，，如圖圖4.10所示示，單單擊““確定定”按按鈕，，重新新啟動動Windows98系統(tǒng)統(tǒng)。圖4.10(3)設(shè)設(shè)置置共享享權(quán)限限當(dāng)設(shè)置置完步步驟(1)和(2)后，，如要要將計計算機機的資資源(假設(shè)設(shè)磁盤盤C)設(shè)置置成共共享權(quán)權(quán)限，，設(shè)置置步驟驟如下下：重重新啟啟動計計算機機，在在出現(xiàn)現(xiàn)登錄錄對話話框中中輸入入一個個用戶戶名及及其密密碼后后，單單擊““確定定”按按鈕即即登錄錄到本本機，，同時時可以以使用用網(wǎng)絡(luò)絡(luò)上的的共享享資源源。用用戶名名和密密碼是是由用用戶任任意設(shè)設(shè)定的的第一一次使使用某某個用用戶名名登錄錄時需需要確確認輸輸入的的密碼碼。注意：：在在輸入入用戶戶名和和密碼碼后，，必須須單擊擊“確確定””按鈕鈕方可可訪問問網(wǎng)絡(luò)絡(luò)中的的資源源，如如果““取消消”則則僅將將該機機作為為單機機使用用，在在網(wǎng)絡(luò)絡(luò)鄰居居中將將找不不到其其他計計算機機的共共享資資源。。當(dāng)進入入到計計算機機Windows98系統(tǒng)統(tǒng)后，，打開開“我我的電電腦””，右右擊磁磁盤C：的的圖標(biāo)標(biāo)，在在出現(xiàn)現(xiàn)的菜菜單中中，選選擇““共享享”，，在屏屏幕顯顯示的的對話話框中中選擇擇“共共享為為”，，輸入入一個個共享享名(如““Win98C””)，，選擇擇3種種共享享方式式中的的一種種：選選擇““只讀讀”、、“完完全””或““根據(jù)據(jù)密碼碼訪問問”，，選擇擇“根根據(jù)密密碼訪訪問””時，，還需需輸入入“只只讀””和““完全全”共共享的的共享享密碼碼(為為了使使計算算機系系統(tǒng)更更加安安全可可靠，，一般般設(shè)定定共享享資源源的權(quán)權(quán)限最最好采采用““根據(jù)據(jù)密碼碼訪問問”)。如如圖4.11所所示，，這樣樣其他他計算算機用用戶就就可以以使用用設(shè)置置的共共享資資源Win98C了。。圖4.11(4)使使用用Windows98的共共享資資源在網(wǎng)絡(luò)絡(luò)中，，如有有計算算機使使用已已設(shè)置置好的的共享享資源源(如如計算算機WS1的共共享資資源Win98C)，，當(dāng)該該計算算機登登錄到到Windows98系統(tǒng)統(tǒng)后，，打開開“網(wǎng)網(wǎng)上鄰鄰居””，顯顯示““整個個網(wǎng)絡(luò)絡(luò)”以以及同同組的的各計計算機機名，，將發(fā)發(fā)現(xiàn)計計算機機WS1。。雙擊擊WS1，，顯示示共享享名Win98C，雙雙擊共共享名名Win98C可可以訪訪問WS1的磁磁盤C上的的文件件或目目錄(如果果Win98C資資源源設(shè)定定的權(quán)權(quán)限是是“根根據(jù)密密碼訪訪問””，則則雙擊擊共享享名Win98C后還還需提提供相相關(guān)的的密碼碼)。。另外，，Windows98系統(tǒng)統(tǒng)的資資源可可通過過遠程程的計計算機機來管管理，，這就就是Windows98的的遠程程管理理機制制，啟啟動Windows98遠遠程管管理機機制，，其他他局域域網(wǎng)的的網(wǎng)絡(luò)用戶戶可以以通過過網(wǎng)絡(luò)絡(luò)管理理Windows98系統(tǒng)統(tǒng)下的的文件件和打打印機機(包包括Windows98資資源的的共享享訪問問機制制的設(shè)設(shè)置)。啟動Windows98遠遠程管管理機機制的的步驟驟為：：(1)啟啟動Windows98遠遠程管管理服服務(wù)啟動Windows98系系統(tǒng)進進入系系統(tǒng)桌桌面，，選擇擇“開開始””→““設(shè)置置”→→““控制制面板板”→→““密碼碼”→→“密密碼屬屬性””窗體體，在在“密密碼屬屬性”