計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略

第4章計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全性4.1計(jì)算機(jī)系統(tǒng)安全保護(hù)機(jī)制4.2計(jì)算機(jī)系統(tǒng)安全等級(jí)4.3計(jì)算機(jī)開(kāi)機(jī)口令驗(yàn)證機(jī)制4.4Windows95/98/ME安全保護(hù)機(jī)制4.5利用注冊(cè)表提升Windows95/98/ME安全性4.6Windows98系統(tǒng)安全策略編輯器4.7Windows95/98/ME缺點(diǎn)和防范辦法4.8計(jì)算機(jī)文檔保密問(wèn)題4.9本章小結(jié)練習(xí)題計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第1頁(yè)計(jì)算機(jī)和網(wǎng)絡(luò)工作站是當(dāng)前應(yīng)用最廣泛設(shè)備，計(jì)算機(jī)網(wǎng)絡(luò)安全在很大程度上依賴于網(wǎng)絡(luò)終端和客戶工作站安全。當(dāng)前計(jì)算機(jī)系統(tǒng)安全級(jí)別尤其低，幾乎沒(méi)有進(jìn)行尤其有力防范辦法。在未聯(lián)網(wǎng)單機(jī)時(shí)代，安全問(wèn)題造成損失較少，并未引發(fā)人們注意。處于網(wǎng)絡(luò)時(shí)代今天，未加保護(hù)計(jì)算機(jī)系統(tǒng)聯(lián)入網(wǎng)絡(luò)，因?yàn)榉欠ㄓ脩羧肭?、?jì)算機(jī)數(shù)據(jù)破壞和泄密，將會(huì)給人們?cè)斐蔁o(wú)法估量損失。所以，了解和掌握計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全保護(hù)機(jī)制，加強(qiáng)安全防范辦法，使計(jì)算機(jī)系統(tǒng)變得愈加安全，已變得非常必要。本章主要討論相關(guān)計(jì)算機(jī)系統(tǒng)安全方面內(nèi)容，包含：計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第2頁(yè)計(jì)算機(jī)系統(tǒng)安全保護(hù)機(jī)制；評(píng)定計(jì)算機(jī)系統(tǒng)安全等級(jí)；計(jì)算機(jī)BIOS程序安全設(shè)置和保護(hù)機(jī)制；計(jì)算機(jī)BIOS程序密碼破解和防范措施；Windows95/98/ME有關(guān)安全保護(hù)機(jī)制；非法用戶入侵Windows95/98/ME方法和防范措施；Windows95/98/ME對(duì)等網(wǎng)絡(luò)中權(quán)限和安全機(jī)制；計(jì)算機(jī)Word文檔保密問(wèn)題。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第3頁(yè)4.1計(jì)算機(jī)系統(tǒng)安全保護(hù)機(jī)制伴隨計(jì)算機(jī)技術(shù)發(fā)展，計(jì)算機(jī)系統(tǒng)安全越來(lái)越被人們所關(guān)注。非授權(quán)用戶經(jīng)常對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行非法訪問(wèn)，這種非法訪問(wèn)使系統(tǒng)中存放信息完整性受到威脅，造成信息被修改或破壞而不能繼續(xù)使用，更為嚴(yán)重是系統(tǒng)中有價(jià)值信息泄密和被非法篡改、偽造、竊取或刪除而不留任何痕跡。要保護(hù)計(jì)算機(jī)系統(tǒng)，必須從技術(shù)上了解計(jì)算機(jī)系統(tǒng)安全訪問(wèn)控制保護(hù)機(jī)制。為了預(yù)防非法用戶使用計(jì)算機(jī)系統(tǒng)或者正當(dāng)用戶對(duì)系統(tǒng)資源非法訪問(wèn)，需要對(duì)計(jì)算機(jī)實(shí)體進(jìn)行訪問(wèn)控制。比如，銀行信息系統(tǒng)自動(dòng)提款機(jī)為正當(dāng)用戶提供現(xiàn)款，但它必須對(duì)提款用戶身份進(jìn)行識(shí)別和驗(yàn)證，對(duì)提款行為進(jìn)行監(jiān)督控制，以預(yù)防非法用戶欺詐行為。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第4頁(yè)存取控制主要包含授權(quán)、確定存取權(quán)限和實(shí)施權(quán)限3個(gè)內(nèi)容。一個(gè)計(jì)算機(jī)系統(tǒng)存取控制僅指本系統(tǒng)內(nèi)主體對(duì)客體存取控制，不包含外界對(duì)系統(tǒng)存取(其中主體指使用網(wǎng)絡(luò)系統(tǒng)用戶和用戶組，客體指網(wǎng)絡(luò)系統(tǒng)中系統(tǒng)資源，如文件、打印機(jī)等資源)。所以，實(shí)施存取控制是維護(hù)系統(tǒng)運(yùn)行安全、保護(hù)系統(tǒng)資源主要技術(shù)伎倆。存取控制是對(duì)處理狀態(tài)下信息進(jìn)行保護(hù)，是確保對(duì)全部直接存取活動(dòng)進(jìn)行授權(quán)主要伎倆；同時(shí)，存取控制要對(duì)程序執(zhí)行期間訪問(wèn)資源正當(dāng)性進(jìn)行檢驗(yàn)。它控制著對(duì)數(shù)據(jù)和程序讀、寫、修改、刪除、執(zhí)行等操作，預(yù)防因事故和有意破壞對(duì)信息威脅。存取控制必須對(duì)訪問(wèn)者身份和行為實(shí)施一定限制，這是確保系統(tǒng)安全所必須。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第5頁(yè)要處理上述問(wèn)題，需要采取兩種辦法：識(shí)別與驗(yàn)證訪問(wèn)系統(tǒng)用戶；決定用戶對(duì)某一系統(tǒng)資源可進(jìn)行何種訪問(wèn)(讀、寫、修改、運(yùn)行等)。4.1.1用戶識(shí)別和驗(yàn)證要求用戶在使用計(jì)算機(jī)以前，首先向計(jì)算機(jī)輸入自己用戶名和身份判別數(shù)據(jù)(如口令、標(biāo)識(shí)卡、指紋等)，方便進(jìn)行用戶識(shí)別與驗(yàn)證，預(yù)防冒名頂替和非法入侵。所謂“識(shí)別”，就是要明確訪問(wèn)者是誰(shuí)，即識(shí)別訪問(wèn)者身份。必須對(duì)系統(tǒng)中每個(gè)正當(dāng)用戶都有識(shí)別計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第6頁(yè)能力，要確保識(shí)別有效性，必須確保任意兩個(gè)不一樣用戶都不能含有相同標(biāo)識(shí)符。經(jīng)過(guò)惟一標(biāo)識(shí)符(1D)，系統(tǒng)能夠識(shí)別出訪問(wèn)系統(tǒng)每一個(gè)用戶。所謂“驗(yàn)證”，是指在訪問(wèn)者申明自己身份(向系統(tǒng)輸入它標(biāo)識(shí)符)后，系統(tǒng)必須對(duì)它所申明身份進(jìn)行驗(yàn)證，以防假冒，實(shí)際上就是證實(shí)用戶身份。驗(yàn)證過(guò)程總是需要用戶出具能夠證實(shí)他身份特殊信息，這個(gè)信息是秘密，任何其它用戶都不能擁有它。識(shí)別與驗(yàn)證是包括到系統(tǒng)和用戶一個(gè)全過(guò)程。只有識(shí)別與驗(yàn)證過(guò)程都正確后，系統(tǒng)才能允許用戶訪問(wèn)系統(tǒng)資源。利用物理鎖能夠?qū)σ恍┲饕Y源實(shí)施控制。只要計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第7頁(yè)把需要保護(hù)系統(tǒng)資源用鎖鎖上，而鑰匙由自己掌握，那么沒(méi)有鑰匙人是不能訪問(wèn)受到保護(hù)資源。在這里，ID相當(dāng)于鑰匙，系統(tǒng)依據(jù)不一樣ID可對(duì)其分配對(duì)應(yīng)不一樣可使用資源。但擁有鑰匙用戶不一定是正當(dāng)擁有者，所以需采取驗(yàn)證技術(shù)證實(shí)用戶正當(dāng)身份，這種技術(shù)能夠有效地預(yù)防因?yàn)镮D非法泄露所產(chǎn)生安全問(wèn)題。口令機(jī)制是一個(gè)簡(jiǎn)便驗(yàn)證伎倆，但比較脆弱。生物技術(shù)，如利用指紋、視網(wǎng)膜技術(shù)等，是一個(gè)比較有前途方法。當(dāng)前計(jì)算機(jī)系統(tǒng)最慣用驗(yàn)證伎倆仍是口令機(jī)制，它經(jīng)過(guò)下述各種方法來(lái)加強(qiáng)其可靠性?？诹钚杓用芎蟠娣旁谙到y(tǒng)數(shù)據(jù)庫(kù)中，普通采取單向加密算法對(duì)口令進(jìn)行加密。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第8頁(yè)要使輸入口令次數(shù)盡可能降低，以防意外泄露。當(dāng)用戶離開(kāi)系統(tǒng)所屬組織時(shí)，要及時(shí)更換他口令。不要將口令存放在文件或程序中，以防其它用戶讀取該文件或程序時(shí)發(fā)覺(jué)口令。用戶要經(jīng)常更換口令，使自己口令不易被猜測(cè)出來(lái)。4.1.2決定用戶訪問(wèn)權(quán)限對(duì)于一個(gè)已被系統(tǒng)識(shí)別與驗(yàn)證了用戶，還要對(duì)其訪問(wèn)操作實(shí)施一定限制。能夠把用戶分為含有以下幾個(gè)屬性用戶類。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第9頁(yè)特殊用戶：這種用戶是系統(tǒng)管理員，含有最高級(jí)別特權(quán)，能夠?qū)ο到y(tǒng)任何資源進(jìn)行訪問(wèn)，并含有全部類型訪問(wèn)、操作能力。普通用戶：即系統(tǒng)普通用戶，他們?cè)L問(wèn)操作要受到一定限制，通常需要由系統(tǒng)管理員對(duì)這類用戶分配不一樣訪問(wèn)操作權(quán)力。審計(jì)用戶：這類用戶負(fù)責(zé)整個(gè)系統(tǒng)范圍安全控制與資源使用情況審計(jì)。作廢用戶：這是一類被拒絕訪問(wèn)系統(tǒng)用戶，也可能是非法用戶。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第10頁(yè)4.2計(jì)算機(jī)系統(tǒng)安全等級(jí)為了對(duì)一個(gè)計(jì)算機(jī)系統(tǒng)進(jìn)行安全評(píng)定，美國(guó)國(guó)防部按處理信息等級(jí)和應(yīng)采取對(duì)應(yīng)辦法，將計(jì)算機(jī)安全分為：A、B、C、D4等8個(gè)級(jí)別，共27條評(píng)定準(zhǔn)則。從最低等級(jí)D等開(kāi)始，到A等。伴隨安全等級(jí)提升，系統(tǒng)可信度隨之增加，風(fēng)險(xiǎn)逐步降低。下面，對(duì)每個(gè)安全等級(jí)內(nèi)容和要求作簡(jiǎn)明說(shuō)明。4.2.1非保護(hù)級(jí)D等是最低保護(hù)等級(jí)，即非保護(hù)級(jí)。它是為那些經(jīng)過(guò)評(píng)定，但不滿足較高評(píng)定等級(jí)要求系統(tǒng)設(shè)計(jì)，只含有一個(gè)級(jí)別。該等是指不符合要求那些系統(tǒng)。所以，這種系統(tǒng)不能在多用戶環(huán)境下處理敏感信息。D級(jí)并非沒(méi)有安全保護(hù)功效，只是保護(hù)功效太弱。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第11頁(yè)4.2.2自主保護(hù)級(jí)C等為自主保護(hù)級(jí)，含有一定保護(hù)功效，采取辦法是自主訪問(wèn)控制和審計(jì)跟蹤。它普通只適合用于含有一定等級(jí)多用戶環(huán)境，并含有對(duì)主體責(zé)任和對(duì)他們初始動(dòng)作審計(jì)能力。它各級(jí)提供無(wú)條件安全保護(hù)，并經(jīng)過(guò)審計(jì)追蹤，對(duì)主體及其產(chǎn)生動(dòng)作負(fù)責(zé)。這一等級(jí)分為Cl和C2兩個(gè)級(jí)別。1.自主安全保護(hù)級(jí)(C1級(jí))其存取控制基礎(chǔ)是以指名道姓方式，提供了各用戶與數(shù)據(jù)隔離，以符合自主安全要求。它包含了若干可信控制方式，能在個(gè)體基礎(chǔ)上實(shí)施存取限制，即允許用戶保護(hù)他自己項(xiàng)目和隱私信息，預(yù)防他數(shù)據(jù)被別用戶無(wú)意讀取或破壞。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第12頁(yè)Cl級(jí)經(jīng)過(guò)提供用戶與數(shù)據(jù)隔離，就能夠滿足市場(chǎng)可信計(jì)算機(jī)(TCB，trustedcomputingbase)自動(dòng)安全要求。所謂可信計(jì)算機(jī)是一個(gè)安全計(jì)算機(jī)系統(tǒng)參考校驗(yàn)機(jī)制。它包含全部負(fù)責(zé)實(shí)施安全策略，以及對(duì)保護(hù)系統(tǒng)所依賴客體實(shí)施隔離操作系統(tǒng)單元，簡(jiǎn)單地說(shuō)，即全部與系統(tǒng)安全相關(guān)功效均包含在TCB中。在這一級(jí)，TCB應(yīng)在命名用戶和命名客體之間定義和進(jìn)行訪問(wèn)控制。它用機(jī)理(如個(gè)人／組／公共控制、訪問(wèn)控制表)應(yīng)允許客體擁有者指定和控制客體是由自己使用，還是由用戶組或公共使用。該級(jí)需要在進(jìn)行任何活動(dòng)之前，TCB去確認(rèn)用戶身份(如采取口令)，并保護(hù)確認(rèn)數(shù)據(jù)，以免未經(jīng)授權(quán)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第13頁(yè)對(duì)確認(rèn)數(shù)據(jù)訪問(wèn)和修改。經(jīng)過(guò)用戶擁有者自主定義和控制，能夠預(yù)防自己數(shù)據(jù)被別用戶有意或無(wú)意地讀出、篡改、干涉和破壞。同時(shí)提供軟件和硬件特征，并定時(shí)檢驗(yàn)其運(yùn)行正確性。系統(tǒng)完整性要求硬件和軟件能提供確保TCB連續(xù)有效操作特征。當(dāng)前生產(chǎn)大多數(shù)計(jì)算機(jī)系統(tǒng)都能到達(dá)這一等級(jí)，但這級(jí)系統(tǒng)不一定要經(jīng)過(guò)嚴(yán)格評(píng)價(jià)。評(píng)價(jià)為Cl級(jí)多是依據(jù)系統(tǒng)一些特點(diǎn)。2.可控安全保護(hù)級(jí)(C2級(jí))在C2級(jí)，計(jì)算機(jī)系統(tǒng)比C1級(jí)有更詳細(xì)自主訪問(wèn)控制。經(jīng)過(guò)注冊(cè)過(guò)程，同與安全相關(guān)事件和資源隔離，使得用戶操作有可查性。在安全方面，除計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第14頁(yè)具備Cl級(jí)全部功效外，還提供授權(quán)服務(wù)。而且可提供控制，以預(yù)防存取權(quán)力擴(kuò)散。應(yīng)確定用戶動(dòng)作或默認(rèn)客體提供保護(hù)，防止非授權(quán)存取。它可指定哪些用戶能夠訪問(wèn)哪些客體，未經(jīng)授權(quán)用戶不得訪問(wèn)已指定訪問(wèn)權(quán)客體。同時(shí)還提供了客體再用功效，即對(duì)于一個(gè)未使用存放客體，TCB應(yīng)該能夠確保該客體不包含未授權(quán)主體數(shù)據(jù)。在這首先，除含有Cl級(jí)全部功效外，還提供惟一識(shí)別自動(dòng)數(shù)據(jù)處理系統(tǒng)中各個(gè)用戶能力；提供將這種身份與該客體用戶發(fā)生全部審計(jì)動(dòng)作相聯(lián)絡(luò)能力。C2級(jí)系統(tǒng)能與該識(shí)別符合，可審計(jì)全部主體進(jìn)行各種活動(dòng)；能對(duì)可信計(jì)算機(jī)(TCB)進(jìn)行建立和維護(hù)，對(duì)客體存取審計(jì)進(jìn)行跟蹤，并保護(hù)審計(jì)信息，預(yù)防被修改、毀壞或未經(jīng)授權(quán)訪問(wèn)。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第15頁(yè)TCB還能統(tǒng)計(jì)以下類型事件：確認(rèn)和識(shí)別安全機(jī)理使用，將客體引入一用戶地址空間，客體刪除，操作人員、系統(tǒng)管理人員和安全管理人員進(jìn)行各種與安全相關(guān)活動(dòng)。對(duì)每個(gè)審計(jì)事件，審計(jì)統(tǒng)計(jì)應(yīng)包含：用戶名、事件發(fā)生時(shí)間、事件類型、事件成功或失敗等。對(duì)于確認(rèn)事件，請(qǐng)求源(如終端ID)也應(yīng)包含在審計(jì)統(tǒng)計(jì)中。對(duì)于客體進(jìn)行訪問(wèn)事件，審計(jì)統(tǒng)計(jì)應(yīng)包含客體名。自動(dòng)數(shù)據(jù)處理系統(tǒng)管理人員應(yīng)能經(jīng)過(guò)識(shí)別符，有選擇地審計(jì)任一用戶或多個(gè)用戶活動(dòng)。除Cl級(jí)要求外，TCB還必須保留一特定區(qū)域，以防外部人員篡改。因?yàn)門CB控制資源是以主體計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第16頁(yè)和客體定義子集，TCB應(yīng)與被保護(hù)資源隔離，以使存取控制更輕易，從而到達(dá)審計(jì)目標(biāo)。DEC企業(yè)VAX／VMS操作系統(tǒng)、Novell企業(yè)NetWare系統(tǒng)和Microsoft企業(yè)WindowsNT/都被確認(rèn)為C2級(jí)。4.2.3強(qiáng)制安全保護(hù)級(jí)B等為強(qiáng)制保護(hù)級(jí)，這一等級(jí)比C等級(jí)安全功效有很大增強(qiáng)。它要求對(duì)客體實(shí)施強(qiáng)制訪問(wèn)控制，并要求客體必須帶有敏感標(biāo)志，可信計(jì)算機(jī)利用它去施加強(qiáng)制訪問(wèn)控制。這一部分可分為Bl、B2、B3共3級(jí)。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第17頁(yè)1.標(biāo)識(shí)安全保護(hù)級(jí)(B1)從本級(jí)開(kāi)始，不但有自主存取控制，還增加了強(qiáng)制存取控制，組織統(tǒng)一干預(yù)每個(gè)用戶存取權(quán)限。本級(jí)含有C2級(jí)全部安全特征，并增加了數(shù)據(jù)標(biāo)識(shí)，以標(biāo)識(shí)決定已命名主體對(duì)該客體存取控制。本級(jí)還要求在測(cè)試過(guò)程中發(fā)覺(jué)缺點(diǎn)應(yīng)該已全部排除。2.結(jié)構(gòu)化保護(hù)級(jí)(B2)從本級(jí)開(kāi)始，按最小特權(quán)標(biāo)準(zhǔn)取消權(quán)力無(wú)限大“特權(quán)用戶”。任何一個(gè)人都不能享受操縱和管理計(jì)算機(jī)全部權(quán)力。本級(jí)將系統(tǒng)管理員與系統(tǒng)操作員職能隔離，系統(tǒng)管理員對(duì)系統(tǒng)配置和可信設(shè)施進(jìn)行強(qiáng)有力管理，系統(tǒng)操作員操縱計(jì)算機(jī)正常運(yùn)行。本級(jí)將強(qiáng)制存取控制擴(kuò)展到計(jì)算機(jī)全部主體計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第18頁(yè)和全部客體，而且要發(fā)覺(jué)和消除能造成信息泄漏隱蔽存放信道。為此，本級(jí)計(jì)算機(jī)安全級(jí)結(jié)構(gòu)，將被自行劃分為與安全保護(hù)相關(guān)關(guān)鍵部分和非關(guān)鍵部分。3.安全域級(jí)(B3)本級(jí)在計(jì)算機(jī)安全方面已到達(dá)當(dāng)前能到達(dá)最完備等級(jí)。按照最小特權(quán)標(biāo)準(zhǔn)，本級(jí)增加了安全管理員，將系統(tǒng)管理員、系統(tǒng)操作員和安全管理員職能隔離，使其各司其職，將人為原因?qū)τ?jì)算機(jī)安全威脅減至最小。本級(jí)要求在計(jì)算機(jī)安全級(jí)結(jié)構(gòu)中，沒(méi)有為實(shí)現(xiàn)安全策略所無(wú)須要代碼。它全部部分都是與保護(hù)相關(guān)關(guān)鍵部件，而且它是用系統(tǒng)工程方法實(shí)現(xiàn)，其結(jié)構(gòu)復(fù)雜性最小，易于分計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第19頁(yè)析和測(cè)試。本級(jí)審計(jì)功效有很大增加，不但能統(tǒng)計(jì)違反安全事件，而且能發(fā)出報(bào)警信號(hào)。本級(jí)還要求含有使系統(tǒng)恢復(fù)運(yùn)行程序。4.2.4驗(yàn)證安全保護(hù)級(jí)A等是驗(yàn)證保護(hù)級(jí)。它顯著特征是從形式設(shè)計(jì)規(guī)范說(shuō)明和驗(yàn)證技術(shù)導(dǎo)出分析，并高度地確保正確地實(shí)現(xiàn)TCB。其特點(diǎn)是使用形式化驗(yàn)證方法，以確保系統(tǒng)自主訪問(wèn)和強(qiáng)制訪問(wèn)，控制機(jī)理能有效地使該系統(tǒng)存放和處理秘密信息或其它敏感信息。該等級(jí)分為A1和超A1兩個(gè)級(jí)別。1.驗(yàn)證設(shè)計(jì)級(jí)(A1級(jí))本級(jí)安全功效與B3級(jí)基本相同，但最顯著不計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第20頁(yè)同是本級(jí)必須對(duì)相同設(shè)計(jì)，利用數(shù)學(xué)形式化證實(shí)方法加以驗(yàn)證，以證實(shí)安全功效正確性。本級(jí)還要求了將安全計(jì)算機(jī)系統(tǒng)運(yùn)輸?shù)浆F(xiàn)場(chǎng)安裝所必須程序。2.超A1級(jí)因?yàn)槌珹l級(jí)超出當(dāng)前技術(shù)發(fā)展，有些詳細(xì)要求極難提出，僅提供了一些構(gòu)想。它為今后研究提供指導(dǎo)?？偠灾?，對(duì)可信計(jì)算機(jī)而言，D級(jí)是不具備最低程度安全等級(jí)；C1和C2級(jí)是具備最低安全程度等級(jí)；B1和B2級(jí)是含有中等安全保護(hù)能力等級(jí)，與C級(jí)相比是較高安全等級(jí)，對(duì)于普通主要應(yīng)用基本上能夠滿足安全要求；B3級(jí)和A1級(jí)是最計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第21頁(yè)高安全等級(jí)，其成本高，只有極主要應(yīng)用才需使用這種安全等級(jí)設(shè)備。4.3計(jì)算機(jī)開(kāi)機(jī)口令驗(yàn)證機(jī)制當(dāng)前PC機(jī)是世界上使用最多計(jì)算機(jī)，PC機(jī)上運(yùn)行操作系統(tǒng)多為MSDOS或Windows95/98/ME等，而Windows95/98/ME等系統(tǒng)簡(jiǎn)單易學(xué)，且含有友好界面、豐富應(yīng)用軟件成為個(gè)人用戶首選。然而，因?yàn)閃indows95/98/ME本身就不是為網(wǎng)絡(luò)應(yīng)用設(shè)計(jì)，所以它存在許多安全性方面問(wèn)題，是十分輕易被攻擊。依據(jù)美國(guó)計(jì)算機(jī)安全中心(NCSC)公布可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)則(TCSEC，trustedcomputer計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第22頁(yè)systemevaluationcriteria)，Windows95/98/ME只能達(dá)到D級(jí)，基本上相當(dāng)于未加安全措施個(gè)人計(jì)算機(jī)系統(tǒng)。而在其次，因?yàn)閃indows95/98/ME流行，許多黑客工具在設(shè)計(jì)時(shí)就考慮了Windows95/98/ME兼容性，許多黑客也利用它來(lái)攻擊網(wǎng)絡(luò)系統(tǒng)。所以，對(duì)于個(gè)人計(jì)算機(jī)系統(tǒng)，用啟動(dòng)開(kāi)機(jī)口令開(kāi)機(jī)驗(yàn)證機(jī)制防止非法用戶使用計(jì)算機(jī)，是非常必要。開(kāi)機(jī)口令開(kāi)機(jī)驗(yàn)證機(jī)制是由計(jì)算機(jī)BIOS(BaseInput/OutputSystem)程序來(lái)管理，下面將介紹這方面內(nèi)容。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第23頁(yè)4.3.1BIOS口令機(jī)制BIOS口令機(jī)制俗稱CMOS口令設(shè)置，CMOS口令是確保計(jì)算機(jī)信息安全第一道屏障。CMOS(本意是指互補(bǔ)金屬氧化物半導(dǎo)體存放器，應(yīng)用于集成電路芯片制造)是電腦主板上一塊可讀寫RAM芯片，主要用來(lái)保留當(dāng)前系統(tǒng)硬件配置，CMOSRAM芯片由系統(tǒng)經(jīng)過(guò)一塊后備電池供電，所以不論是開(kāi)或關(guān)機(jī)狀態(tài)中，CMOS信息都不會(huì)丟失。CMOS口令分為CMOS開(kāi)機(jī)口令和BIOS設(shè)置口令。如設(shè)置了CMOS開(kāi)機(jī)口令，則計(jì)算機(jī)在開(kāi)機(jī)完成硬件自檢后將要求操作者輸入密碼，如密碼不正確，將不能進(jìn)入CMOS參數(shù)設(shè)置，亦無(wú)法繼續(xù)開(kāi)啟操作系統(tǒng)，更無(wú)從談起運(yùn)行其它軟件了。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第24頁(yè)如計(jì)算機(jī)僅設(shè)置了BIOS設(shè)置口令，則即使在開(kāi)啟操作系統(tǒng)和運(yùn)行各種軟件時(shí)不受限制，但如要進(jìn)入BIOS設(shè)置程序必須輸入預(yù)設(shè)口令，不然無(wú)法改變CMOS參數(shù)。所以，依據(jù)實(shí)際需要，合理地設(shè)置CMOS口令，是做好計(jì)算機(jī)信息安全工作主要路徑。計(jì)算機(jī)有很各種不一樣BIOS程序，最有名是AWARDBIOS和AMIBIOS程序。下面以AWARDBIOS為例討論BIOS中CMOS開(kāi)機(jī)密碼設(shè)置，設(shè)置方法以下。(1)開(kāi)啟計(jì)算機(jī)，在計(jì)算機(jī)正在開(kāi)啟時(shí)不停地按DEL鍵(注意，是不停地按動(dòng)，而不是按住不放)，直到出現(xiàn)如圖4.1所表示CMOSSETUP設(shè)置界面時(shí)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第25頁(yè)為止(有計(jì)算機(jī)進(jìn)入CMOS快捷鍵不是DEL，比如康柏計(jì)算機(jī)CMOS設(shè)置是按F2鍵，需要看詳細(xì)情況而定)，其中加框選項(xiàng)與開(kāi)機(jī)CMOS密碼相關(guān)。(2)用鍵盤上光標(biāo)鍵選擇SUPERVISORPASSWORD項(xiàng)，然后回車，出現(xiàn)ENTERPASSWORD后，輸入密碼再回車，這時(shí)又出現(xiàn)CONFIRMPASSWORD，在其后再次輸入同一密碼(注：該項(xiàng)原意是對(duì)剛才輸入密碼進(jìn)行校驗(yàn)，假如兩次輸入密碼不一致，則會(huì)要求重新輸入)。SUPERVISORPASSWORD選項(xiàng)是用來(lái)設(shè)置計(jì)算機(jī)管理員密碼，擁有該密碼，就能夠設(shè)置計(jì)算機(jī)CMOS參數(shù)和使用計(jì)算機(jī)。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第26頁(yè)(3)用光標(biāo)鍵選擇USERPASSWORD項(xiàng)后回車，同上面一樣，密碼需輸入兩次才能生效。以上設(shè)置兩個(gè)密碼分別為設(shè)置密碼和修改CMOSSETUP密碼，提議兩個(gè)均取同一密碼，方便記憶。USERPASSWORD選項(xiàng)是用來(lái)設(shè)置使用計(jì)算機(jī)用戶密碼，擁有該密碼，就能夠使用計(jì)算機(jī)。(4)選擇BIOSFEATURESSETUP項(xiàng)回車，出現(xiàn)BIOSFEATURESSETUP設(shè)置界面，用光標(biāo)鍵選擇SECURITYOPION選項(xiàng)后，用鍵盤上PAGEUP/PAGEDOWN鍵把選項(xiàng)改為SYSTEM(設(shè)定為SYSTEM目標(biāo)是讓計(jì)算機(jī)在任何時(shí)候都要檢測(cè)密碼，包含開(kāi)啟機(jī)器，SECURITYOPION選項(xiàng)還有一個(gè)參數(shù)SETUP，設(shè)定為該參數(shù)表示計(jì)算機(jī)在設(shè)置CMOS參數(shù)時(shí)要檢測(cè)密碼)，然后按ESC鍵退出。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第27頁(yè)(5)選擇SAVE&EXITSETUP項(xiàng)回車，出現(xiàn)提醒后按Y鍵再回車，以上設(shè)置密碼即可生效。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第28頁(yè)圖4.1計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第29頁(yè)經(jīng)過(guò)以上步驟設(shè)置以后，在計(jì)算機(jī)開(kāi)啟和設(shè)置CMOS參數(shù)時(shí)都要檢測(cè)密碼。4.3.2BIOS口令破解與防范辦法1.幾個(gè)常見(jiàn)密碼破解方法在日常工作中，常碰到一些用戶因?yàn)檫z忘了CMOS口令或無(wú)意中設(shè)置了CMOS口令，致使計(jì)算機(jī)無(wú)法開(kāi)啟操作系統(tǒng)或無(wú)法進(jìn)行CMOS參數(shù)設(shè)置情況，很多用戶對(duì)此束手無(wú)策，只能送計(jì)算機(jī)企業(yè)修理，耽擱了很多時(shí)間。其實(shí)，依據(jù)CMOS口令設(shè)置情況，能夠有很多方法來(lái)破解，其標(biāo)準(zhǔn)是：假如設(shè)置了CMOS開(kāi)機(jī)口令，計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第30頁(yè)必須采取硬件或CMOS萬(wàn)能密碼法破解；假如僅設(shè)置了BIOS設(shè)置口令，破解這種口令簡(jiǎn)直易如反掌！下面給出破解CMOS口令各種方法。注意：這些方法當(dāng)然也有可能會(huì)被黑客們利用，所以亦應(yīng)針對(duì)這些破解方法，做好自己計(jì)算機(jī)CMOS口令保護(hù)。2.硬件法破解CMOS口令忘記了電腦BIOS密碼是一件不幸事，假如將BIOS設(shè)置中SEURITYOPTION(密碼屬性)設(shè)為ALWAYS/SETUP或SYSTEM則更是不幸中不幸，因?yàn)榇藭r(shí)既無(wú)法進(jìn)入CMOS設(shè)置程序更改口令，也無(wú)法開(kāi)啟操作系統(tǒng)用其它方法破解，只能采取在硬件上進(jìn)行CMOS掉電處理和使用萬(wàn)能密碼這兩類方法處理。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第31頁(yè)下面介紹CMOS掉電處理方法。這里首先需要提及是，硬件破解各種方法均需在計(jì)算機(jī)關(guān)機(jī)狀態(tài)下進(jìn)行(最好將電源線拔掉，對(duì)于ATX電源尤應(yīng)如此)，先去除人身上靜電，再打開(kāi)計(jì)算機(jī)機(jī)箱進(jìn)行，不然可能造成計(jì)算機(jī)硬件損壞。(1)跳線/開(kāi)關(guān)放電破解法計(jì)算機(jī)主板上普通都有CMOSCLEAR(CMOS去除)跳線位置，可參考主板說(shuō)明書或主板上印制跳線說(shuō)明，用一跳線在該位置上跳接一下，CMOS口令就被去除了，然后將跳線恢復(fù)原狀，開(kāi)機(jī)后即能進(jìn)入CMOS設(shè)置。(2)導(dǎo)線劃芯片放電破解法硬件破解CMOS口令本質(zhì)是讓CMOSRAM芯片計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第32頁(yè)掉電，使其中保留設(shè)置信息丟失，從而到達(dá)去除CMOS口令目標(biāo)(上面跳線法實(shí)質(zhì)也是這么)，抓住了這一點(diǎn)，在處理這類問(wèn)題時(shí)，可先將CMOS電池卸下，然后用一根導(dǎo)線，將其一端接到CMOS電池插座地線端，用另一端往CMOSRAM片兩排腳上輕輕地一掃而過(guò)(如不能確認(rèn)哪塊是CMOS芯片，則可多掃幾塊芯片，掃時(shí)注意別損傷了芯片引腳)，CMOS密碼便會(huì)被去除。此方法適合用于計(jì)算機(jī)主板上沒(méi)有設(shè)計(jì)CMOSCLEAR跳線情況。(3)卸電池等候法這是一個(gè)麻煩和消極方法。我們知道，CMOS是靠主板上一塊電池及對(duì)應(yīng)從屬電路來(lái)提供電源計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第33頁(yè)以保持設(shè)置信息，所以，假如將CMOS電池取下，再將電池接口正負(fù)極(注意不是電池正負(fù)極)短路，然后等候一段時(shí)間后，CMOS供電電路中殘余電能將會(huì)消耗完，CMOS口令就會(huì)被去除了。假如CMOS電池是焊接在主板上，則需先焊下來(lái)再試用上述第(2)、(3)方法。所以只有在確認(rèn)主板上確實(shí)沒(méi)有設(shè)計(jì)CMOSCLEAR跳線情況下，才可采取后兩種方法。3.用CMOS萬(wàn)能密碼破解開(kāi)機(jī)口令假如計(jì)算機(jī)機(jī)箱加鎖(比如眾多進(jìn)口原裝計(jì)算機(jī))或因?yàn)槠渌驘o(wú)法打開(kāi)機(jī)箱，自然也就無(wú)法進(jìn)行上述硬件破解法，那么是否還有方法能破解計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第34頁(yè)CMOS開(kāi)機(jī)口令呢？答案是必定，下面向讀者介紹一個(gè)不用拆機(jī)箱軟方法——萬(wàn)能密碼。原理：在BIOS密碼中也有像WPS那樣萬(wàn)能密碼，但不一樣BIOS廠家有不一樣密碼。(1)用CMOSPWD獲取CMOS萬(wàn)能密碼計(jì)算機(jī)BIOS版本太多，不一樣版本萬(wàn)能密碼也不一樣，想用上述幾個(gè)密碼“通行”于全部版本BIOS顯然是不可能。那么怎樣取得更多萬(wàn)能密碼呢？在Inernet網(wǎng)上有一個(gè)運(yùn)行在DOS環(huán)境下CMOSPWD.EXE軟件能夠做到這一點(diǎn)。圖4.2是CMOSPWD.EXE程序一個(gè)運(yùn)行結(jié)果匯報(bào)。由此運(yùn)行結(jié)果能夠看出，CMOSPWD工具能夠獲取各種BIOS類型CMOS萬(wàn)能密碼。所以，當(dāng)忘計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第35頁(yè)記了計(jì)算機(jī)CMOS密碼時(shí)，可找一臺(tái)相同計(jì)算機(jī)，給其設(shè)置上CMOS開(kāi)機(jī)口令，然后運(yùn)行CMOSPWD找到“萬(wàn)能鑰匙”，再用到自己計(jì)算機(jī)上即可。(2)用UNAWARD獲取AWARDBIOS萬(wàn)能密碼UNAWARD.EXE能夠幫你輕松地取得AwardBIOS萬(wàn)能密碼，而且還有三個(gè)：純數(shù)字密碼、小寫字母密碼和大寫字母密碼。假如你愿意，還能夠用該軟件DISABLE(禁用)這些萬(wàn)能密碼，甚至刪除這些密碼。執(zhí)行UNAWARD.EXE程序，顯示如圖4.3所表示。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第36頁(yè)圖4.2計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第37頁(yè)圖4.3計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第38頁(yè)通常同型號(hào)主機(jī)AWARDBIOS萬(wàn)能密碼是一致。所以當(dāng)忘記了AWARDBIOS密碼時(shí)，不用著急，試著在身邊找找或打電話問(wèn)問(wèn)朋友們主板型號(hào)、廠商是否與自己這臺(tái)主機(jī)主板相同，假如有話，用UNAWARD.EXE將那臺(tái)機(jī)子上密碼獲取后再傳回來(lái)，一切就大功告成了。UNAWARD.EXE在Internet上能夠下載。注意：若需BIOS萬(wàn)能密碼，必須先在超級(jí)用戶密碼(SUPERVISORPASSWORD)中設(shè)置密碼，如沒(méi)有超級(jí)用戶密碼選項(xiàng)，則必須在用戶密碼(USERPASSWORD)中設(shè)置密碼，不然該軟件不能用作BIOS萬(wàn)能密碼。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第39頁(yè)(3)使用通用CMOS密碼當(dāng)前大部分主板使用AWARD企業(yè)BIOS程序，部分主板使用AMI企業(yè)BIOS程序，一些廠家在生產(chǎn)主板時(shí)為自己BIOS預(yù)留了通用CMOS密碼，以解一時(shí)之需。其中AWARDBIOS只有4.51版以前才有通用密碼。據(jù)當(dāng)前所知，有以下通用密碼(按成功概率排序)。AWARDBIOS：wantgirlSyxzdirrideBBBh996wnatgirlAwardAMIBIOS：Sysg以上通用密碼在386、486或飛躍主板上破解CMOS幾乎百發(fā)百中，但在PⅡ級(jí)以上主板存在通用密碼可能性就較少了。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第40頁(yè)4.用萬(wàn)能密碼程序準(zhǔn)確破解BIOS設(shè)置口令假如在微機(jī)BIOSSETUP程序中設(shè)置了CMOS口令，但在PASSWORDOPTION(密碼選項(xiàng))中選擇為SETUP時(shí)，無(wú)須打開(kāi)機(jī)箱，只要簡(jiǎn)單地利用上面介紹萬(wàn)能密碼程序在當(dāng)前計(jì)算機(jī)上運(yùn)行一下，即可輕松和準(zhǔn)確地取得這臺(tái)計(jì)算機(jī)CMOS萬(wàn)能密碼，然后用此萬(wàn)能密碼即可進(jìn)入BIOSSETUP程序中更改各種CMOS參數(shù)了。(1)用DEBUG破解SETUP設(shè)置口令在微機(jī)BIOSSETUP程序中設(shè)置了口令，但在PASSWORDOPTION(密碼選項(xiàng))中選擇為SETUP時(shí)，可簡(jiǎn)單地利用DOS中DEBUG程序去除CMOS口令。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第41頁(yè)當(dāng)計(jì)算機(jī)接通電源時(shí)，首先執(zhí)行是BIOS加電自檢程序，對(duì)整個(gè)系統(tǒng)進(jìn)行全方面檢測(cè)，其中也要對(duì)CMOSRAM中配置信息相關(guān)單元作累加和測(cè)試，并與原來(lái)存放結(jié)果進(jìn)行比較，當(dāng)二者相吻合時(shí)，則CMOSRAM中配置有效，程序繼續(xù)進(jìn)行其它測(cè)試；當(dāng)發(fā)覺(jué)累加和與原值不相等時(shí)，則要求重新配置，并能自動(dòng)地按實(shí)際情況進(jìn)行最小配置設(shè)定，此時(shí)原來(lái)CMOS口令也會(huì)被自動(dòng)消除。利用這一點(diǎn)，只要往CMOSRAM中80口10H~2DH(配置信息存放單元)中任一單元寫入一個(gè)數(shù)，即可去除CMOSSETUP口令。詳細(xì)操作以下：從A：或C：開(kāi)啟，然后運(yùn)行DEBUG程序(從DOS目錄中拷貝或運(yùn)行)，輸入：計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第42頁(yè)C>debug(回車)–O7010(回車)–O7110(回車)–q(回車)然后重新開(kāi)啟系統(tǒng)，密碼即被去除，系統(tǒng)將要求重新配置CMOS參數(shù)，這么便能夠重新進(jìn)入BIOSSETUP接口去設(shè)計(jì)系統(tǒng)配置了。(2)輸入代碼破解SETUP設(shè)置口令使用本方法生成可執(zhí)行文件能夠去除CMOS密碼。本方法最大特點(diǎn)是不需使用任何工具軟件，而只需簡(jiǎn)單地使用DOS內(nèi)部COPY命令，從鍵盤上輸入所需代碼，并生成所需破解程序。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第43頁(yè)A：\>copycon179，55，136，216，230，112，176，32，230，113，254，195，128，251，64，117，241，195^Z回車注意：輸入上述數(shù)字時(shí)必須用鍵盤上Alt鍵加小鍵盤上數(shù)字鍵來(lái)輸入，其中逗號(hào)表示輸入到該處時(shí)松一下雙手再繼續(xù)輸入，而非真輸入逗號(hào)；^Z代表按Ctrl＋Z鍵(也可按F6鍵)結(jié)束文件輸入，最終回車在當(dāng)前目錄下生成可執(zhí)行文件。運(yùn)行生成可執(zhí)行文件，再重新冷開(kāi)啟計(jì)算機(jī)，會(huì)發(fā)覺(jué)原來(lái)CMOS設(shè)置口令已經(jīng)被去除了。一樣需注意是，該方法在一些計(jì)算機(jī)上可能會(huì)不起作用。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第44頁(yè)5.防范CMOS密碼破解經(jīng)過(guò)對(duì)幾個(gè)常見(jiàn)CMOS密碼破解方法介紹，能夠了解到要破解CMOS密碼前提條件。采取硬件破解法必須能夠打開(kāi)機(jī)箱，所以預(yù)防硬件破解法主要辦法是給主機(jī)機(jī)箱加上物理鎖。對(duì)于采取萬(wàn)能密碼，當(dāng)前沒(méi)有好防范辦法，假如非法用戶持有萬(wàn)能密碼，這開(kāi)機(jī)密碼安全保護(hù)辦法已失去效用，只能靠其它安全辦法，如經(jīng)過(guò)操作系統(tǒng)安全機(jī)制。另外市場(chǎng)上有些硬盤保護(hù)卡和防毒卡也有開(kāi)機(jī)保護(hù)機(jī)制和密碼機(jī)制，也能起到CMOS密碼功效，且破解可能性要比CMOS密碼機(jī)制更難些。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第45頁(yè)要防范采取工具軟件破解CMOS密碼，最主要是不能讓非法用戶在被保護(hù)計(jì)算機(jī)上物理性地執(zhí)行工具軟件，可采取以下辦法。(1)屏蔽計(jì)算機(jī)軟驅(qū)和光驅(qū)，使之不能從軟驅(qū)和光驅(qū)引導(dǎo)操作系統(tǒng)。(2)使用者不能在計(jì)算機(jī)處于交互狀態(tài)(即可執(zhí)行用戶命令狀態(tài))時(shí)離開(kāi)計(jì)算機(jī)；如若離開(kāi)計(jì)算機(jī)，應(yīng)該關(guān)機(jī)、鎖定鍵盤或使計(jì)算機(jī)處于安全保護(hù)狀態(tài)(比如Windows98系統(tǒng)帶密碼屏幕保護(hù)狀態(tài))。(3)有條件用戶能夠給計(jì)算機(jī)加安全保護(hù)卡(比如硬盤保護(hù)卡和防毒卡，也有開(kāi)機(jī)保護(hù)機(jī)制和密碼機(jī)制)。(4)設(shè)置安全口令，定時(shí)更新密碼。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第46頁(yè)相關(guān)設(shè)置安全口令辦法以下。(1)好口令好口令是那些極難猜測(cè)口令。難猜測(cè)原因是因?yàn)橥瑫r(shí)有大小寫字符，不但有字符，還有數(shù)字、標(biāo)點(diǎn)符號(hào)、控制字符和空格。另外，還要輕易記憶，最少有7到8個(gè)字符長(zhǎng)，而且輕易輸入。(2)不安全口令不安全口令往往是：任何名字(包含人名、軟件名、計(jì)算機(jī)名甚至幻想中事物名字)，電話號(hào)碼或者某種執(zhí)照號(hào)碼，社會(huì)保障號(hào)，任何人生日，其它很輕易得到關(guān)于自己信息，一些慣用音調(diào)，任何形式計(jì)算機(jī)中用戶名，在英語(yǔ)字典或者外語(yǔ)字典中詞，地點(diǎn)名稱或者一些名詞，鍵盤上一些詞，任何形式上述詞再加上一些數(shù)字。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第47頁(yè)(3)保持口令安全要注意問(wèn)題①不要將口令寫下來(lái)。②不要將口令存于終端功效鍵或調(diào)制解調(diào)器字符串存放器中。③不要選取顯而易見(jiàn)信息作口令。④不要讓他人知道。⑤不要交替使用兩個(gè)口令。⑥不要在不一樣系統(tǒng)上使用同一口令。⑦不要讓人看見(jiàn)自己在輸入口令。(4)一次性口令減小口令危險(xiǎn)最有效方法是根本不用常規(guī)口令。替換方法是在系統(tǒng)中安裝新軟件或硬件，使用計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第48頁(yè)一次性口令。一次性口令就是一個(gè)口令只使用一次。一個(gè)用戶可能收到一個(gè)打印輸出口令列表，每次登錄使用完一個(gè)口令，就將它從列表中刪除。用戶也可能得到一個(gè)能夠攜帶小卡，這個(gè)卡每次將顯示一個(gè)不一樣號(hào)。用戶還能夠攜帶一個(gè)小計(jì)算器，當(dāng)?shù)卿洉r(shí)，計(jì)算機(jī)將會(huì)打印出一個(gè)不一樣號(hào)碼，用戶將這個(gè)號(hào)碼輸入這個(gè)小小計(jì)算器中，然后輸入自己標(biāo)志號(hào)碼，計(jì)算器將輸出一個(gè)口令，用戶將這個(gè)口令再輸入計(jì)算機(jī)中。一次性口令系統(tǒng)比傳統(tǒng)方式能提供令人驚奇安全性能。不幸是，它們要求安裝一些特定程序或者需要購(gòu)置一些硬件，所以現(xiàn)在使用得并不普遍。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第49頁(yè)在一個(gè)網(wǎng)絡(luò)中，當(dāng)用戶穿過(guò)Internet或者其它網(wǎng)絡(luò)來(lái)訪問(wèn)時(shí)，管理員就應(yīng)該認(rèn)真地考慮使用一次性口令。不然，攻擊者能夠竊聽(tīng)、截獲用戶口令，以后將攻擊這些站點(diǎn)。4.4Windows95/98/ME安全保護(hù)機(jī)制如前所述，計(jì)算機(jī)開(kāi)機(jī)密碼保護(hù)機(jī)制是非常脆弱。所以，必須尋求其它保護(hù)辦法。比如：操作系統(tǒng)安全辦法?？倎?lái)說(shuō)，Windows95/98/ME只能到達(dá)D級(jí)，基本上相當(dāng)于未加安全辦法個(gè)人計(jì)算機(jī)系統(tǒng)。即使微軟系統(tǒng)加密技術(shù)有點(diǎn)讓人擔(dān)憂，可用上總比不用好。本節(jié)將以Windows98系統(tǒng)為例介紹這方面內(nèi)容。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第50頁(yè)Windows98系統(tǒng)安全辦法是由登錄機(jī)制、屏幕保護(hù)密碼、文件夾共享密碼和遠(yuǎn)程管理密碼等部分組成。這些安全保護(hù)辦法，Windows98系統(tǒng)都提供了安裝和設(shè)置方法，大部分方法能夠經(jīng)過(guò)修改Windows98系統(tǒng)注冊(cè)表來(lái)實(shí)現(xiàn)。4.4.1Windows98登錄機(jī)制Windows98系統(tǒng)登錄方式有三種：Microsoft網(wǎng)絡(luò)用戶、Microsoft友好登錄和Windows登錄。其中Microsoft網(wǎng)絡(luò)用戶和Microsoft友好登錄兩種選項(xiàng)，只有在Windows98系統(tǒng)安裝網(wǎng)絡(luò)適配器(如網(wǎng)卡或撥號(hào)適配器)時(shí)才能選擇。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第51頁(yè)1.Windows98系統(tǒng)登錄嚴(yán)格講，Windows登錄選項(xiàng)對(duì)系統(tǒng)起不到安全保護(hù)作用。Microsoft企業(yè)設(shè)計(jì)Windows登錄機(jī)制用意主要在于區(qū)分不一樣用戶使用Windows98系統(tǒng)有一個(gè)個(gè)性化桌面和菜單項(xiàng)選擇項(xiàng)，而不在于保護(hù)系統(tǒng)和預(yù)防非法用戶使用計(jì)算機(jī)。所以，用戶在Windows98開(kāi)啟后出現(xiàn)“Windows登錄”界面時(shí)，如圖4.4所表示，如不輸入密碼，單擊“取消”選項(xiàng)也可進(jìn)入Windows98桌面。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第52頁(yè)圖4.4計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第53頁(yè)2.Microsoft網(wǎng)絡(luò)用戶和Microsoft友好登錄這兩種選項(xiàng)只有Windows98在網(wǎng)絡(luò)中存在才能夠選擇，當(dāng)Windows98系統(tǒng)作為網(wǎng)絡(luò)中一個(gè)主機(jī)時(shí)，這個(gè)用戶必須以“Microsoft網(wǎng)絡(luò)用戶”身份登錄。假如用戶選擇了“Microsoft網(wǎng)絡(luò)用戶”選項(xiàng)，在Windows98開(kāi)啟后出現(xiàn)“Microsoft網(wǎng)絡(luò)用戶登錄”界面，如圖4.5所表示，如不輸入密碼，單擊“取消”選項(xiàng)也可進(jìn)入Windows98桌面，用戶將不能使用網(wǎng)絡(luò)資源，但并不妨礙用戶使用本機(jī)資源。至于“Microsoft友好登錄”選項(xiàng)，它與“Microsoft網(wǎng)絡(luò)用戶”選項(xiàng)作用相同，如圖4.6所表示，惟一區(qū)分是登錄界面更漂亮一點(diǎn)。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第54頁(yè)圖4.5計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第55頁(yè)圖4.6計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第56頁(yè)上述3種選項(xiàng)選擇步驟是：開(kāi)啟Windows98系統(tǒng)進(jìn)入系統(tǒng)桌面→用鼠標(biāo)右擊Windows98“網(wǎng)絡(luò)鄰居”圖標(biāo)→“屬性”，出現(xiàn)“網(wǎng)絡(luò)”窗體→“配置”，其中“主網(wǎng)絡(luò)登錄(L)”設(shè)置即為“Windows98登錄”設(shè)置選項(xiàng)，如圖4.7所表示。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第57頁(yè)圖4.7計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第58頁(yè)4.4.2Windows98屏幕保護(hù)機(jī)制Windows98能夠設(shè)置屏幕保護(hù)程序，其作用是：當(dāng)用戶要離開(kāi)計(jì)算機(jī)一段時(shí)間，而又不能關(guān)閉計(jì)算機(jī)電源時(shí)(如計(jì)算機(jī)正在進(jìn)行運(yùn)算)，為了保護(hù)計(jì)算機(jī)，可設(shè)定計(jì)算機(jī)在一段時(shí)間后不進(jìn)行操作，計(jì)算機(jī)將進(jìn)入屏幕保護(hù)狀態(tài)以保護(hù)計(jì)算機(jī)顯示器和硬盤，使其進(jìn)入節(jié)能狀態(tài)。在設(shè)置屏幕保護(hù)程序時(shí)，可選擇“密碼保護(hù)”選項(xiàng)，這么當(dāng)計(jì)算機(jī)進(jìn)入“屏幕保護(hù)”狀態(tài)后，如要使計(jì)算機(jī)恢復(fù)到正常狀態(tài)，就需要密碼，不然將不能操作計(jì)算機(jī)，從而到達(dá)保護(hù)計(jì)算機(jī)安全目標(biāo)。Windows98系統(tǒng)屏幕保護(hù)程序設(shè)計(jì)步驟為：開(kāi)啟Windows98系統(tǒng)進(jìn)入系統(tǒng)桌面，選擇“開(kāi)啟”計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第59頁(yè)→“設(shè)置”→“控制面板”→“顯示”，出現(xiàn)“顯示屬性”窗體，選擇“屏幕保護(hù)程序”選項(xiàng)，如圖在“屏幕保護(hù)程序)”位置，可選擇屏幕保護(hù)程序，同時(shí)，選定“密碼保護(hù)”選項(xiàng)，可輸入保護(hù)密碼，如圖4.8所表示，同時(shí)輸入開(kāi)啟保護(hù)程序時(shí)間，按“確定”，就完成了屏幕保護(hù)程序設(shè)置工作。4.4.3Windows98共享資源和遠(yuǎn)程管理機(jī)制當(dāng)Windows98系統(tǒng)與其它計(jì)算機(jī)聯(lián)成網(wǎng)絡(luò)時(shí)，計(jì)算機(jī)資源能夠相互共享，為了保護(hù)計(jì)算機(jī)系統(tǒng)安全，Windows98有簡(jiǎn)單權(quán)限控制，其訪問(wèn)控制方式有兩種：共享級(jí)訪問(wèn)控制方式和用戶級(jí)訪問(wèn)控制方式。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第60頁(yè)用戶級(jí)訪問(wèn)控制方式要求在網(wǎng)絡(luò)中必須有域服務(wù)器，經(jīng)過(guò)域服務(wù)器(比如WindowsNT/域服務(wù)器)來(lái)管理Windows98資源，這種方法安全性較高，其設(shè)置方法同WindowsNT/共享資源設(shè)置，將陸續(xù)在WindowsNT/安全性中講解。在沒(méi)有域服務(wù)器對(duì)等網(wǎng)絡(luò)中，Windows98共享資源管理只能采取共享級(jí)訪問(wèn)控制方式，選擇共享級(jí)控制方式權(quán)限有3種：“只讀”、“完全”和“依據(jù)密碼訪問(wèn)”。選擇“只讀”時(shí)，其它計(jì)算機(jī)用戶只能讀取本機(jī)共享目錄下文件和子目錄，而不能修改和刪除該目錄下文件和子目錄；選擇“完全”共享類型，其它計(jì)算機(jī)用戶可完全控制(即：能夠讀取也可修改或刪除)共享目錄下文件和子目錄；選擇“需要密碼”時(shí)，需要輸入“只讀”和“完全”共享密碼，其它計(jì)算機(jī)用戶必須提供密碼來(lái)決定它使用共享目錄下文件和子目錄。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第61頁(yè)圖4.8計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第62頁(yè)Windows98系統(tǒng)共享資源訪問(wèn)控制方式設(shè)置步驟為：(1)“Microsoft網(wǎng)絡(luò)上文件和打印機(jī)共享”設(shè)定開(kāi)啟Windows98系統(tǒng)進(jìn)入系統(tǒng)桌面→用鼠標(biāo)右擊Windows98“網(wǎng)絡(luò)鄰居”圖標(biāo)→“屬性”，出現(xiàn)“網(wǎng)絡(luò)”窗體→“配置”→“添加”，出現(xiàn)“請(qǐng)選擇網(wǎng)絡(luò)組件類型”窗體，在窗體中選擇“服務(wù)”，單擊“添加”按鈕→“選擇網(wǎng)絡(luò)服務(wù)”窗體，在“選擇網(wǎng)絡(luò)服務(wù)”窗體中，選擇“Microsoft網(wǎng)絡(luò)上文件和打印機(jī)共享”，單擊“確認(rèn)”按鈕，關(guān)閉“選擇網(wǎng)絡(luò)服務(wù)”窗體→單擊“取消”按鈕，關(guān)閉“請(qǐng)選擇網(wǎng)絡(luò)組件類型”窗體，回到“網(wǎng)絡(luò)”窗體→在“網(wǎng)絡(luò)”窗體中單擊“文件及打印共享”→“文件及打印共享”窗體，將全部“允許其它用戶訪問(wèn)我文件”和“允許其它用戶使用我打印機(jī)”兩個(gè)選項(xiàng)選上,關(guān)閉窗口返回到“網(wǎng)絡(luò)”窗體中，如圖4.9所表示。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第63頁(yè)圖4.9計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第64頁(yè)(2)設(shè)置“共享級(jí)訪問(wèn)控制方式”在(1)中“網(wǎng)絡(luò)”窗體中，選擇“訪問(wèn)控制”，選擇“共享級(jí)訪問(wèn)控制”，如圖4.10所表示，單擊“確定”按鈕，重新開(kāi)啟Windows98系統(tǒng)。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第65頁(yè)圖4.10計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第66頁(yè)(3)設(shè)置共享權(quán)限當(dāng)設(shè)置完步驟(1)和(2)后，如要將計(jì)算機(jī)資源(假設(shè)磁盤C)設(shè)置成共享權(quán)限，設(shè)置步驟以下：重新開(kāi)啟計(jì)算機(jī)，在出現(xiàn)登錄對(duì)話框中輸入一個(gè)用戶名及其密碼后，單擊“確定”按鈕即登錄到本機(jī)，同時(shí)能夠使用網(wǎng)絡(luò)上共享資源。用戶名和密碼是由用戶任意設(shè)定第一次使用某個(gè)用戶名登錄時(shí)需要確認(rèn)輸入密碼。注意：在輸入用戶名和密碼后，必須單擊“確定”按鈕方可訪問(wèn)網(wǎng)絡(luò)中資源，假如“取消”則僅將該機(jī)作為單機(jī)使用，在網(wǎng)絡(luò)鄰居中將找不到其它計(jì)算機(jī)共享資源。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第67頁(yè)當(dāng)進(jìn)入到計(jì)算機(jī)Windows98系統(tǒng)后，打開(kāi)“我電腦”，右擊磁盤C：圖標(biāo)，在出現(xiàn)菜單中，選擇“共享”，在屏幕顯示對(duì)話框中選擇“共享為”，輸入一個(gè)共享名(如“Win98C”)，選擇3種共享方式中一個(gè)：選擇“只讀”、“完全”或“依據(jù)密碼訪問(wèn)”，選擇“依據(jù)密碼訪問(wèn)”時(shí)，還需輸入“只讀”和“完全”共享共享密碼(為了使計(jì)算機(jī)系統(tǒng)愈加安全可靠，普通設(shè)定共享資源權(quán)限最好采取“依據(jù)密碼訪問(wèn)”)。如圖4.11所表示，這么其它計(jì)算機(jī)用戶就能夠使用設(shè)置共享資源Win98C了。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第68頁(yè)圖4.11計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第69頁(yè)(4)使用Windows98共享資源在網(wǎng)絡(luò)中，如有計(jì)算機(jī)使用已設(shè)置好共享資源(如計(jì)算機(jī)WS1共享資源Win98C)，當(dāng)該計(jì)算機(jī)登錄到Windows98系統(tǒng)后，打開(kāi)“網(wǎng)上鄰居”，顯示“整個(gè)網(wǎng)絡(luò)”以及同組各計(jì)算機(jī)名，將發(fā)覺(jué)計(jì)算機(jī)WS1。雙擊WS1，顯示共享名Win98C，雙擊共享名Win98C能夠訪問(wèn)WS1磁盤C上文件或目錄(假如Win98C資源設(shè)定權(quán)限是“依據(jù)密碼訪問(wèn)”，則雙擊共享名Win98C后還需提供相關(guān)密碼)。另外，Windows98系統(tǒng)資源可經(jīng)過(guò)遠(yuǎn)程計(jì)算機(jī)來(lái)管理，這就是Windows98遠(yuǎn)程管理機(jī)制，開(kāi)啟Windows98遠(yuǎn)程管理機(jī)制，其它局域網(wǎng)網(wǎng)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第70頁(yè)絡(luò)用戶能夠經(jīng)過(guò)網(wǎng)絡(luò)管理Windows98系統(tǒng)下文件和打印機(jī)(包含Windows98資源共享訪問(wèn)機(jī)制設(shè)置)。開(kāi)啟Windows98遠(yuǎn)程管理機(jī)制步驟為：(1)開(kāi)啟Windows98遠(yuǎn)程管理服務(wù)開(kāi)啟Windows98系統(tǒng)進(jìn)入系統(tǒng)桌面，選擇“開(kāi)始”→“設(shè)置”→“控制面板”→“密碼”→“密碼屬性”窗體，在“密碼屬性”窗體中選擇“遠(yuǎn)程管理”→選定和激活“啟用此服務(wù)器遠(yuǎn)程管理”，同時(shí)，輸入遠(yuǎn)程管理密碼，輸入兩遍密碼，如圖4.12所表示，按“確定”關(guān)閉“密碼屬性”窗體，即可完成操作。要想使“開(kāi)啟Windows98遠(yuǎn)程管理服務(wù)”成功，還需先完成“Windows98系統(tǒng)共享資源訪問(wèn)控制方式”設(shè)置步驟(1)和(2)。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第71頁(yè)圖4.12計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第72頁(yè)(2)遠(yuǎn)程管理Windows98資源當(dāng)一臺(tái)計(jì)算機(jī)已設(shè)置了遠(yuǎn)程管理服務(wù)，就能夠經(jīng)過(guò)局域網(wǎng)任何一臺(tái)Windows98計(jì)算機(jī)管理該計(jì)算機(jī)文件和打印機(jī)了。假設(shè)計(jì)算機(jī)WS1已經(jīng)配置了遠(yuǎn)程管理服務(wù)，現(xiàn)在經(jīng)過(guò)WS2來(lái)管理WS1資源，其步驟以下。開(kāi)啟WS2以“Microsoft網(wǎng)絡(luò)用戶”身份登錄到本機(jī)Windows98桌面上，打開(kāi)“網(wǎng)上鄰居”，顯示“整個(gè)網(wǎng)絡(luò)”以及同組各計(jì)算機(jī)名，將發(fā)覺(jué)計(jì)算機(jī)WS1→用鼠標(biāo)右擊“WS1”圖標(biāo)→“屬性”→出現(xiàn)“WS1屬性”窗體，單擊“工具”欄，窗體中顯示3個(gè)配置按鈕：“網(wǎng)絡(luò)監(jiān)視器”、“系統(tǒng)監(jiān)視器”和“管理程序”，其中經(jīng)過(guò)“網(wǎng)絡(luò)監(jiān)視器”允許查看WS1上計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第73頁(yè)共享目錄和經(jīng)過(guò)網(wǎng)絡(luò)正在使用該目錄用戶，“系統(tǒng)監(jiān)視器”允許查看WS1上磁盤訪問(wèn)與網(wǎng)絡(luò)使用情況，而“管理程序”則是遠(yuǎn)程管理WS1文件和打印機(jī)共享設(shè)置，3個(gè)配置選項(xiàng)都需要提供WS1遠(yuǎn)程管理密碼?，F(xiàn)在單擊“管理程序”→“輸入網(wǎng)絡(luò)密碼”窗體，如圖4.13所表示，輸入WS1遠(yuǎn)程管理密碼，出現(xiàn)“計(jì)算機(jī)WS1全部資源”窗體，其中C＄、D＄等是WS1磁盤C、D代號(hào)，不帶＄符號(hào)目錄為已設(shè)置好共享目錄，能夠像設(shè)置當(dāng)?shù)赜?jì)算機(jī)資源那樣設(shè)置WS1C＄及D＄及其子目錄等資源共享，同時(shí)也能夠改變不帶＄符號(hào)共享目錄訪問(wèn)控制方式，如圖4.14所表示。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第74頁(yè)圖4.13計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第75頁(yè)圖4.14計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第76頁(yè)4.4.4Windows98注冊(cè)表機(jī)制注冊(cè)表是Windows98系統(tǒng)關(guān)鍵，在注冊(cè)表中存放著系統(tǒng)全部硬件和軟件信息，經(jīng)過(guò)它能夠控制操作系統(tǒng)行為。所以，它安全直接關(guān)系到Windows98系統(tǒng)安全，黑客進(jìn)攻往往以它為主要目標(biāo)。下面詳細(xì)介紹注冊(cè)表作用和保護(hù)辦法。注冊(cè)表是一個(gè)包含有Windows98系統(tǒng)和應(yīng)用程序以及硬件信息中央數(shù)據(jù)庫(kù)，是Windows98系統(tǒng)關(guān)鍵之一。它存放在Windows98目錄下system.dat文件中，這是一個(gè)只讀、隱藏文件。Windows98每次開(kāi)啟時(shí)都要用到它，并把它備份到system.d00到system.d04共5個(gè)文件中。當(dāng)開(kāi)啟后計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第77頁(yè)加載system.dat文件受損后，Windows98自動(dòng)按照備份時(shí)間次序由新到舊調(diào)用備份注冊(cè)表文件覆蓋現(xiàn)在使用system.dat文件，以恢復(fù)操作系統(tǒng)穩(wěn)定性?？梢?jiàn)注冊(cè)表在Windows98中是多么主要。經(jīng)過(guò)它幾乎能夠修改Windows系統(tǒng)任何一個(gè)設(shè)置，包含開(kāi)始程序設(shè)置、硬件參數(shù)修改、桌面修改、實(shí)現(xiàn)系統(tǒng)優(yōu)化等等，所以，它對(duì)于整個(gè)Windows系統(tǒng)安全起著主要作用。注冊(cè)表是以樹型結(jié)構(gòu)存在，就像資源管理器一樣，不過(guò)它目錄項(xiàng)含義與其不一樣，一共有5種不一樣類型，包含：根鍵：注冊(cè)表根目錄，相當(dāng)于磁盤上根目錄如：C:\；計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第78頁(yè)鍵和子鍵：相當(dāng)于磁盤上子目錄，在鍵下是子鍵，就像目錄能夠包含子目錄一樣。鍵值項(xiàng)：相當(dāng)于磁盤上文件，在一個(gè)鍵或子鍵下能夠包含一個(gè)或多個(gè)鍵值項(xiàng)。鍵值項(xiàng)由鍵值名、數(shù)據(jù)類型和鍵值3個(gè)部分組成，格式為“鍵值名：數(shù)據(jù)類型：鍵值”。鍵值類型：注冊(cè)表有3種鍵值類型：(1)DWORD：1~8位十六進(jìn)制數(shù)據(jù)作為雙字；(2)字符串值：存放字符串；(3)二進(jìn)制：是一個(gè)十六進(jìn)制數(shù)，作為一個(gè)字節(jié)解釋。如前所述，Windows98注冊(cè)表是包含由應(yīng)用程序、硬件設(shè)備、設(shè)備驅(qū)動(dòng)程序配置、網(wǎng)絡(luò)協(xié)議和網(wǎng)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第79頁(yè)絡(luò)適配卡設(shè)置等信息數(shù)據(jù)庫(kù)。注冊(cè)表數(shù)據(jù)結(jié)構(gòu)由六個(gè)根鍵組成，均以HKEY_為前綴，解釋以下。①HKEY_CLASS_ROOT：含有與對(duì)象連接與嵌套(OLE)和文件級(jí)相關(guān)聯(lián)信息，即存放應(yīng)用程序擴(kuò)展名，指明不一樣擴(kuò)展名與不一樣應(yīng)用軟件之間相互關(guān)系，雙擊某個(gè)文件時(shí)，相對(duì)應(yīng)那個(gè)程序開(kāi)啟它。②HKEY_CURRENT_USER：含有正在登錄上網(wǎng)用戶信息。包含用戶所屬組、環(huán)境變量、桌面設(shè)置、網(wǎng)絡(luò)連接、打印機(jī)和應(yīng)用程序等。③HKEY_LOCAL_MACHINE：含有當(dāng)?shù)赜?jì)算機(jī)部分系統(tǒng)信息。這些信息包含硬件設(shè)置、操作系統(tǒng)設(shè)置、開(kāi)啟控制數(shù)據(jù)和驅(qū)動(dòng)器驅(qū)動(dòng)程序。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第80頁(yè)④HKEY_USERS：含有全部計(jì)算機(jī)上登錄入網(wǎng)用戶信息。包含從當(dāng)?shù)卦L問(wèn)系統(tǒng)用戶和遠(yuǎn)程登錄用戶信息都存放在注冊(cè)表中。它是能夠由遠(yuǎn)程計(jì)算機(jī)訪問(wèn)根鍵，所以要尤其小心。⑤HKEY_CURRENT_CONFIG含有當(dāng)前用戶一些設(shè)置信息，如顯示器數(shù)據(jù)、用戶Windows98系統(tǒng)設(shè)置等。⑥HKEY_DYN_DATA存放著系統(tǒng)運(yùn)行動(dòng)態(tài)信息和數(shù)據(jù)。這個(gè)根鍵值改變得較快，但不能從“regedit.exe”注冊(cè)表編輯程序觀察到。在Windows98中運(yùn)行“regedit.exe”程序可查看或修改相關(guān)注冊(cè)信息。注冊(cè)表包含了注冊(cè)表數(shù)據(jù)庫(kù)全部?jī)?nèi)容。計(jì)算機(jī)默認(rèn)設(shè)置和用戶一些特殊計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第81頁(yè)設(shè)置，如自定義開(kāi)啟畫面、登錄必須要求密碼、自動(dòng)登錄等方法。用“regedit.exe”程序調(diào)出如圖4.15所表示“注冊(cè)表編輯器”窗口是用于更改系統(tǒng)注冊(cè)表設(shè)置高級(jí)工具，因?yàn)樽?cè)表中包含關(guān)于怎樣運(yùn)行計(jì)算機(jī)主要信息，所以注冊(cè)表對(duì)于Windows98系統(tǒng)來(lái)說(shuō)是非常主要。各種設(shè)置項(xiàng)目，最好使用Windows98控制來(lái)更改系統(tǒng)設(shè)置。除非有絕對(duì)必要，不然請(qǐng)不要直接編輯注冊(cè)表。另外，在直接編輯注冊(cè)表之前，一定要備份注冊(cè)表。假如注冊(cè)表中出現(xiàn)錯(cuò)誤，計(jì)算機(jī)可能無(wú)法正常運(yùn)轉(zhuǎn)。一旦發(fā)生這種情況，請(qǐng)用備份注冊(cè)表將他還原。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第82頁(yè)圖4.15計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第83頁(yè)4.5利用注冊(cè)表提升Windows95/98/ME安全性Windows登錄選項(xiàng)對(duì)系統(tǒng)起不到安全保護(hù)作用，在Windows98系統(tǒng)中使用用戶名和密碼是讓每個(gè)用戶有一個(gè)個(gè)性化桌面和菜單項(xiàng)選擇項(xiàng)，但它和普通網(wǎng)絡(luò)操作系統(tǒng)WindowsNT/相比不是一個(gè)真正多用戶系統(tǒng)，不能保護(hù)系統(tǒng)和預(yù)防非法用戶使用計(jì)算機(jī)。當(dāng)Windows98開(kāi)啟后出現(xiàn)“Windows登錄”界面時(shí)，如不輸入密碼單擊“取消”選項(xiàng)也可進(jìn)入Windows98桌面。為了處理這個(gè)問(wèn)題，能夠經(jīng)過(guò)修改注冊(cè)表相關(guān)選項(xiàng)來(lái)盡可能提升它安全性，預(yù)防匿名用戶登錄使用Windows98系統(tǒng)。在Windows98系統(tǒng)注冊(cè)表計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第84頁(yè)HKEY_LOCAL_MACHINE\Network\Logon子鍵中，有許多鍵值項(xiàng)，如：“username”代表登錄默認(rèn)用戶，“PrimaryProvider”代表登錄方式，而“MustBeValidated”代表登錄能否使用匿名用戶登錄，不過(guò)Windows98系統(tǒng)默認(rèn)無(wú)“MustBeValidated”子鍵。基于此，能夠在注冊(cè)表HKEY_LOCAL_MACHINE\Network\Logon子鍵中增加一個(gè)“MustBeValidated”子鍵，將其鍵值設(shè)置為“1”，如圖4.16所表示，則表示禁止匿名用戶登錄使用Windows98系統(tǒng)。詳細(xì)步驟以下。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第85頁(yè)圖4.16計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第86頁(yè)(1)首先，要設(shè)置禁止匿名用戶登錄。開(kāi)啟“開(kāi)始”→“運(yùn)行”，在彈出窗口中運(yùn)行Regedit.exe，出現(xiàn)“注冊(cè)表編輯”窗口，進(jìn)入HKEY_LOCAL_MACHINE\Network\Logon中，如圖?，F(xiàn)在在HKEY_LOCAL_MACHINE\Network\Logon中新建DWORD值，并命名為Mustbevalidated，雙擊該鍵值將其值設(shè)置為1。(2)設(shè)置用戶個(gè)性化菜單選項(xiàng)。開(kāi)啟“開(kāi)始”→“設(shè)置”→“控制面板”，在控制面板中，用鼠標(biāo)單擊“密碼”→“密碼屬性”窗口→用戶配置文件，選擇“用戶可自定義首選項(xiàng)及桌面設(shè)置”。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第87頁(yè)(3)設(shè)置登錄提醒信息。我們?cè)贖KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon中新建兩個(gè)字符串值，一個(gè)命名為“Legalnoticecaption”，另外一個(gè)命名為“Legalnoticetext”，并分別賦值為“袁家政專用計(jì)算機(jī)”和“沒(méi)有授權(quán)，請(qǐng)勿使用！”(如圖4.17所表示，當(dāng)然，這么，這兩個(gè)賦值是能夠隨自己喜好改變它)。不過(guò)一定要注意，在進(jìn)行上面幾個(gè)步驟以前，請(qǐng)?jiān)陂_(kāi)啟“開(kāi)始”→“設(shè)置”→“控制面板”→控制面板后，在控制面板中，用鼠標(biāo)單擊“用戶”按鈕，設(shè)置能夠登錄本機(jī)授權(quán)用戶。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第88頁(yè)圖4.17計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第89頁(yè)當(dāng)完成了上面這3個(gè)步驟之后，當(dāng)其它人登錄時(shí)候就必須輸入密碼才能登錄，按ESC也不能進(jìn)入Windows98！按照上面方法，完成了初步加密。即使在每次登錄時(shí)候都需要密碼，不過(guò)上次登錄用戶名卻出現(xiàn)在登錄對(duì)話框中，這么就為對(duì)方猜中密碼提供了方便。有沒(méi)有方法讓W(xué)indows98在登錄時(shí)候不顯示上次登錄用戶名呢？回答是必定。其方法是：在注冊(cè)表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon下新建一個(gè)DWORD值，并命名為“DontDisplayLastUserName”項(xiàng)，雙擊它，并賦值為1。這么，在登錄對(duì)話框中就不會(huì)出現(xiàn)上次登錄用戶名稱了。

計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第90頁(yè)從上面操作過(guò)程來(lái)看，全部限制都是經(jīng)過(guò)修改注冊(cè)表來(lái)完成。而假如他人也知道一樣修改方法，那么他也能夠利用修改注冊(cè)表方法到達(dá)侵入目標(biāo)，所以限制用戶使用注冊(cè)表編輯器便放在了安全之首。那么怎樣限制用戶修改注冊(cè)表呢？其方法是：在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System中新建DWORD值，使Disableregistrytools值為1，這么，除了自己以外，其它用戶是無(wú)法修改注冊(cè)表。至此，Windows98登錄認(rèn)證機(jī)制初級(jí)加密就完成了。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第91頁(yè)4.6Windows98系統(tǒng)安全策略編輯器如前所述，Windows98系統(tǒng)有一個(gè)顯著不足，在于它并不是像WindowsNT、Windows這么多用戶網(wǎng)絡(luò)操作系統(tǒng)，在開(kāi)機(jī)時(shí)看到要求輸入用戶名和密碼，能夠單擊“取消”按鈕來(lái)進(jìn)入系統(tǒng)。除經(jīng)過(guò)修改注冊(cè)表外，Windows98還增加了一個(gè)名叫“安全策略編輯器”小程序，不過(guò)這個(gè)程序不是默認(rèn)安裝，用戶要從Windows光盤上安裝。4.6.1安全策略編輯器安裝Windows98安全策略編輯器安裝步驟以下。(1)選擇“開(kāi)始”菜單“設(shè)置”項(xiàng)，打開(kāi)“控制面板”。單擊“添加/刪除程序”圖標(biāo)，屏幕上將出現(xiàn)如圖4.18所表示對(duì)話框。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第92頁(yè)圖4.18計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第93頁(yè)(2)單擊“從磁盤安裝”按鈕，在出現(xiàn)對(duì)話柜中，單擊“瀏覽”按鈕，選擇Windows安裝光盤上“\too1s\reskit\netadmin\Poledit”文件。(3)選擇“poledit.inf”，屏幕上將出現(xiàn)“安裝”對(duì)話框，如圖4.19所表示。再選擇“系統(tǒng)策略編輯器”，然后單擊“安裝”按鈕，安裝就開(kāi)始了。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第94頁(yè)圖4.19計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第95頁(yè)(4)安裝完成后，用戶就能夠在“附件”→“系統(tǒng)工具”下，看到“系統(tǒng)策略編輯器”命令了。在完成了“系統(tǒng)策略編輯器”安裝之后，下面再來(lái)討論一下它使用方法。4.6.2系統(tǒng)策略編輯器使用在系統(tǒng)策略編輯器菜單中，單擊“文件”→“新建文件”。這時(shí)，在系統(tǒng)策略編輯窗口中出現(xiàn)了“默認(rèn)用戶”和“默認(rèn)計(jì)算機(jī)”兩個(gè)圖標(biāo)，如圖4.20所表示。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第96頁(yè)圖4.20計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第97頁(yè)下面，經(jīng)過(guò)它添加一個(gè)像WindowsNT一樣管理員賬號(hào)。1.添加新用戶(1)單擊菜單中“編輯”→“添加用戶”，在彈出對(duì)話框中鍵入“YUAN”(用戶能夠依據(jù)自己需要填寫)。(2)單擊“確定”按鈕，將“YUAN”這個(gè)用戶添加到系統(tǒng)策略編輯器中，如圖4.21所表示。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第98頁(yè)圖4.21計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第99頁(yè)(3)單擊菜單中“文件”→“保留”，以YUAN.P01作為文件名將該文件保留到Windows所在目錄Config子目錄下。接下來(lái)要使用系統(tǒng)策略編輯器制訂系統(tǒng)策略了。2.定制系統(tǒng)策略(1)首先，雙擊“默認(rèn)用戶”圖標(biāo)，彈出一個(gè)如圖4.22所表示“默認(rèn)用戶屬性”對(duì)話框。在對(duì)話框中能夠看到有許多項(xiàng)選擇項(xiàng)設(shè)置，包含控制面板、網(wǎng)絡(luò)、桌面等，用戶能夠?qū)γ恳粋€(gè)選項(xiàng)進(jìn)行設(shè)置。下面以“YUAN”這個(gè)用戶為例，對(duì)它屬性進(jìn)行設(shè)置。(2)雙擊“YUAN”圖標(biāo)，彈出其屬性對(duì)話框，顯示出它各項(xiàng)“策略”組。(3)在圖4.20所表示對(duì)話框中，選擇各項(xiàng)“策略”選項(xiàng)旁復(fù)選框，能夠限制或禁止與其相對(duì)應(yīng)各項(xiàng)功效使用。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第100頁(yè)圖4.22計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第101頁(yè)(4)最主要是在“外殼”中選擇“限制”，出現(xiàn)如圖4.23所表示對(duì)話框。(5)在圖4.23中，選擇“限制”下全部選項(xiàng)，這么一來(lái)就限制了桌面上一切程序(用戶要注意是：不要去選擇“外殼”→“限制”下“禁止‘關(guān)閉系統(tǒng)’命令”選項(xiàng)，不然非法用戶進(jìn)入系統(tǒng)將無(wú)法用Windows98關(guān)閉計(jì)算機(jī)系統(tǒng)，而只能關(guān)閉電源了)。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第102頁(yè)圖4.23計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第103頁(yè)(6)重啟計(jì)算機(jī)，以“YUAN”用戶名進(jìn)入系統(tǒng)，就能夠看到桌面上程序和圖標(biāo)都沒(méi)有了，入侵者除了“關(guān)機(jī)”就沒(méi)有別方法了。另外，每個(gè)用戶配置文件都保留在Windows目錄下Profiles子目錄下與用戶同名子目錄中。比如：C:\Windows為Windows所在目錄，那么“YUAN”個(gè)人配置文件都保留在C:\Windows\Profiles\User子目錄下“YUAN”子目錄中。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第104頁(yè)4.6.3預(yù)防非法用戶進(jìn)入對(duì)于Windows98登錄方式有兩種非法用戶，一個(gè)是以新用戶名，然后單擊“取消”按鈕，登錄進(jìn)入系統(tǒng)，這時(shí)他使用是默認(rèn)用戶權(quán)限；另外一個(gè)是在網(wǎng)絡(luò)上以匿名登錄方式進(jìn)入系統(tǒng)用戶。假如沒(méi)有按前面所講方法進(jìn)行修改，就會(huì)出現(xiàn)這兩種非法用戶。所以，就要對(duì)這兩種用戶權(quán)限進(jìn)行修改，使進(jìn)入系統(tǒng)非法用戶禁止其“關(guān)閉系統(tǒng)”以外全部其它權(quán)限。假如用戶需要修改默認(rèn)用戶權(quán)限，能夠遵照下面步驟。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第105頁(yè)1.修改默認(rèn)用戶權(quán)限(1)在Windows98所在目錄Profi1es子目錄下新建一個(gè)空子目錄(名字隨便取)。(2)雙擊“默認(rèn)用戶”圖標(biāo)，彈出屬性對(duì)話框，選中“外殼”和“系統(tǒng)”下“限制”選項(xiàng)中除“禁用‘關(guān)閉系統(tǒng)’命令”以外全部復(fù)選框，如圖4.24所表示。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第106頁(yè)圖4.24計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第107頁(yè)(3)在“外殼”下選擇“自定義文件夾”，在所需指定路徑編輯框中，輸入Profi1es子目錄下新建子目錄名(注意是全路徑名)，如圖4.25所表示。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第108頁(yè)圖4.25計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第109頁(yè)(4)單擊“文件”菜單中“保留”按鈕，將上述設(shè)置保留到策略文件中，再退出系統(tǒng)策略編輯器。2.修改匿名登錄用戶(1)在系統(tǒng)策略編輯器窗口中雙擊“當(dāng)?shù)赜脩簟眻D標(biāo)，彈出如圖4.26所表示“當(dāng)?shù)赜脩魧傩浴贝翱?，?duì)其進(jìn)行與默認(rèn)用戶權(quán)限相同修改，然后單擊“確定”按鈕返回系統(tǒng)策略編輯器。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第110頁(yè)圖4.26計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第111頁(yè)(2)雙擊“默認(rèn)計(jì)算機(jī)”圖標(biāo)，打開(kāi)“默認(rèn)計(jì)算機(jī)屬性”對(duì)話框，選中其“系統(tǒng)”中“啟用用戶配置文件”選項(xiàng)。(3)選中“網(wǎng)絡(luò)”下“更新”策略組“遠(yuǎn)程更新”選項(xiàng)，在“更新方式”下拉列表中選擇“手動(dòng)(使用特定路徑)”選項(xiàng)，如圖4.27所表示。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第112頁(yè)圖4.27計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第113頁(yè)(4)在“用于手動(dòng)更新路徑”欄中輸入文件config.po1所在位置路徑及文件名，單擊“確定”按鈕，返回系統(tǒng)策略編輯器，單擊“文件”菜單中“保留”按鈕。(5)退出系統(tǒng)策略編輯器，注銷或重新開(kāi)啟計(jì)算機(jī)。4.7Windows95/98/ME缺點(diǎn)和防范辦法4.7.1Windows95/98/ME密碼破解1.Windows98開(kāi)啟密碼破解遺忘Windows98開(kāi)啟密碼即使不會(huì)影響系統(tǒng)開(kāi)啟，但它將造成用戶無(wú)法進(jìn)入自己個(gè)人設(shè)置。所以，破解Windows98開(kāi)啟密碼以找回“丟失”“個(gè)性”也是很有必要。能夠采取以下幾個(gè)方法處理。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第114頁(yè)(1)刪除密碼文件因?yàn)閃indows98用戶密碼保留在Windows目錄下，以“*.PWL”文件方式存在(如：用戶YUAN密碼文件為YUAN.PWL)。為此，可刪除Windows目錄下對(duì)應(yīng)用戶*.PWL密碼文件，然后重新開(kāi)啟Windows98，系統(tǒng)就會(huì)彈出一個(gè)不包含任何用戶名密碼設(shè)置框，只需輸入原來(lái)用戶名任何內(nèi)容，單擊“確定”按鈕，Windows98密碼即被刪除。另外，將注冊(cè)表數(shù)據(jù)庫(kù)HKEY_LOCAL_MACHINE、Network、Logon分支下UserProfiles修改為“00”，然后重新開(kāi)啟Windows98也可到達(dá)一樣目標(biāo)。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第115頁(yè)假如采取前面“利用注冊(cè)表提升Windows95/98/ME安全性”節(jié)(4.5)中所屬方法對(duì)注冊(cè)表進(jìn)行修改提升了登錄安全，這時(shí)只能開(kāi)啟到DOS系統(tǒng)，方可刪除Windows目錄下“*.PWL”文件(如刪除用戶YUAN密碼文件“YUAN.PWL”)，也可采取后面講其它方法實(shí)現(xiàn)。(2)利用恢復(fù)注冊(cè)表覆蓋新注冊(cè)表入侵系統(tǒng)大家知道Windows98天天開(kāi)啟之前要掃描一遍注冊(cè)表看看有沒(méi)有錯(cuò)誤信息，假如沒(méi)有錯(cuò)誤信息就正常開(kāi)啟，然后它就要備份注冊(cè)表，因?yàn)橄到y(tǒng)默認(rèn)備份了最近5份注冊(cè)表，這么也可用它來(lái)破解“利用注冊(cè)表提升Windows95/98/ME安全性”節(jié)中所屬提升了登錄安全方法。假如計(jì)算機(jī)用戶在一天計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第116頁(yè)之內(nèi)做完了注冊(cè)表安全性全部修改，而且他修改時(shí)間離現(xiàn)在沒(méi)有超出5天，能夠采取以下破解方法：開(kāi)啟系統(tǒng)到DOS下，執(zhí)行scanreg/restore，然后選擇一個(gè)適當(dāng)時(shí)間(要確保在他修改注冊(cè)表之前)，選擇“恢復(fù)(Restore)”就能夠了。假如時(shí)間來(lái)得及(沒(méi)有超出他修改注冊(cè)表5天)，那么原來(lái)計(jì)算機(jī)用戶在注冊(cè)表中修改一切都化為烏有，如“限制登錄”、“禁止修改注冊(cè)表”等都沒(méi)有了。需要說(shuō)明是，假如計(jì)算機(jī)用戶在修改了注冊(cè)表之后安裝了其它應(yīng)用程序(而且這些程序要求修改注冊(cè)表)，采取該方法很可能引發(fā)Windows瓦解，所以，一定要慎重使用！另外，還有一個(gè)方法是開(kāi)啟Windows98系統(tǒng)，進(jìn)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第117頁(yè)入安全模式，注冊(cè)表就能夠修改，將注冊(cè)表中所用限制如“限制登錄”、“禁止修改注冊(cè)表”等去掉即可。(3)利用工具軟件破解Internet上有許多工具軟件，可配置注冊(cè)表，也可破解密碼，如MagicSet軟件、Cain軟件等。在MagicSet(超級(jí)兔子魔法設(shè)置)這個(gè)軟件中，如系統(tǒng)中已安裝MagicSet，運(yùn)行時(shí)，在“魔法設(shè)置”主界面選擇“安全與其它”，將“禁止使用注冊(cè)表編輯器Regedit.exe”前面對(duì)號(hào)(√)去掉，然后“保留”→“退去”即可，其它禁止，也可修改。(4)利用注冊(cè)表合并來(lái)修改注冊(cè)表來(lái)突破限制假如一個(gè)注冊(cè)表被鎖定了，用別計(jì)算機(jī)“記事本”計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第118頁(yè)輸入以下一段文字：REGEDIT4[HKEY_LOCAL_MACHINE\Network\Logon]"MustBeValidated"=dword:00000000然后存盤為Unlock.reg。把該文件拷入入侵計(jì)算機(jī)中，在Windows98中Unlock.reg上邊雙擊，然后在彈出“注冊(cè)表編輯器”提醒窗口中確定退出即可使用注冊(cè)表編輯器了。有讀者會(huì)問(wèn)，假如連Windows98系統(tǒng)都進(jìn)不去(能夠進(jìn)入Windows98安全模式)，怎么會(huì)雙擊Unlock.reg，然后合并呢？沒(méi)相關(guān)系，Windows注冊(cè)表編輯器不但在Windows下能夠使用，在DOS命令下也一樣能夠使用，詳細(xì)參數(shù)這里就不再多說(shuō)，輸入Regeditunlock.reg就和上邊計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第119頁(yè)“雙擊”然后合并起到了一樣作用(假如Unlock.reg不在當(dāng)前目錄下，需要輸入U(xiǎn)nlock.reg詳細(xì)路徑)。這么就取消了Windows98登錄限制。防范以上這些攻擊伎倆方法是，不要安裝DOS系統(tǒng)，禁止軟驅(qū)和光驅(qū)開(kāi)啟和使用，同時(shí)使用屏幕保護(hù)機(jī)制。最好安裝專門安全監(jiān)視軟件。2.Windows98屏幕保護(hù)密碼破解利用系統(tǒng)屏幕保護(hù)功效能夠預(yù)防他人在自己不在情況下偷用自己計(jì)算機(jī)，從而起到保護(hù)數(shù)據(jù)安全作用。不過(guò)在不配合其它限制功效情況下，系統(tǒng)屏幕保護(hù)密碼是非常脆弱。在遺忘密碼之后只需使用“復(fù)位”鍵強(qiáng)行開(kāi)啟計(jì)算機(jī)(一些設(shè)計(jì)不計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第120頁(yè)完善屏幕保護(hù)程序甚至能夠使用Ctrl＋Alt＋Del強(qiáng)行關(guān)閉，其操作就更簡(jiǎn)單了)，然后，右擊桌面空白處并從彈出快捷菜單中執(zhí)行“屬性”命令，打開(kāi)“顯示屬性”設(shè)置框并單擊“屏幕保護(hù)”選項(xiàng)，最終取消“密碼保護(hù)”選項(xiàng)即可(取消該選項(xiàng)時(shí)無(wú)需確認(rèn)密碼)。假如有登錄限制，則破解屏幕保護(hù)密碼要困難一些，可采取以下幾個(gè)方法。(1)利用網(wǎng)絡(luò)破解這種方法，首先要在計(jì)算機(jī)所在局域網(wǎng)內(nèi)利用另外一臺(tái)計(jì)算機(jī)作為解碼機(jī)，將解碼機(jī)IP地址改為需要破解計(jì)算機(jī)IP地址，利用硬件沖突優(yōu)先級(jí)較高原理就能夠使操作系統(tǒng)跳過(guò)屏幕保護(hù)程序了。詳細(xì)實(shí)現(xiàn)方法以下。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第121頁(yè)在這臺(tái)解碼機(jī)上選擇“開(kāi)始”菜單中“設(shè)置”選項(xiàng)，單擊“控制面板”按鈕，找到“網(wǎng)絡(luò)”圖標(biāo)，雙擊該圖標(biāo)，將出現(xiàn)一個(gè)對(duì)話框。然后在這個(gè)對(duì)話框設(shè)置選項(xiàng)欄中選擇TCP/IP一項(xiàng)，并查看其屬性，就能夠找到該機(jī)IP地址了。將解碼機(jī)IP地址改為你IP地址，完成后單擊“確定”按鈕。系統(tǒng)會(huì)提醒新設(shè)置要重新開(kāi)啟計(jì)算機(jī)才能生效，確認(rèn)并重新開(kāi)啟計(jì)算機(jī)。這么，在局域網(wǎng)內(nèi)就有兩臺(tái)計(jì)算機(jī)IP地址是相同。當(dāng)解碼機(jī)開(kāi)啟完成后，在需破解計(jì)算機(jī)和解碼機(jī)上會(huì)同時(shí)彈出“IP地址產(chǎn)生硬件沖突”提醒框，這時(shí)在計(jì)算機(jī)上單擊“確定”按鈕，這時(shí)系統(tǒng)不要求輸入屏幕保護(hù)程序密碼，就直接進(jìn)入操作系統(tǒng)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第122頁(yè)桌面了。不過(guò)值得注意是，在整個(gè)破解過(guò)程中，要確保需破解計(jì)算機(jī)上沒(méi)有請(qǐng)求輸入屏幕保護(hù)程序密碼對(duì)話框，不然確定硬件沖突后，系統(tǒng)還會(huì)繼續(xù)要求輸入屏幕保護(hù)程序密碼。這以后，由Windows98將輸入屏幕保護(hù)程序口令，經(jīng)過(guò)加密變換后保留到它系統(tǒng)注冊(cè)表中，詳細(xì)存放路徑為：\HKEY_CURRENT_USER\ControlPanel\desktopScreenSave_Data單擊它能夠清楚地看到它鍵值，這就是用戶加密屏幕保護(hù)程序口令，如圖4.28所表示。能夠看到用戶屏幕保護(hù)程序口令加密后是“3739444334…”，不要認(rèn)為這個(gè)加密密碼是安全，市面上有許多軟件能夠輕松破解它。所以用戶需要安裝一些專用軟件，如：NortonRegisterTracker等安全監(jiān)視器，以預(yù)防他人對(duì)密碼竊取，也可禁止計(jì)算機(jī)使用TCP/IP協(xié)議聯(lián)網(wǎng)。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第123頁(yè)圖4.28計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第124頁(yè)(2)利用光驅(qū)自動(dòng)運(yùn)行特征(Autorun)破解另外一個(gè)較為普通方法就是利用光驅(qū)自動(dòng)運(yùn)行特征(Autorun)來(lái)破解。當(dāng)光驅(qū)中插入光盤時(shí)，則Windows檢驗(yàn)它上面是否有Autorun.inf文件。假如有這個(gè)文件，就運(yùn)行“open=”那行上指定程序。問(wèn)題在于屏幕保護(hù)程序開(kāi)啟時(shí)，這個(gè)特征依然有效。所以只要用一張自開(kāi)啟光盤就能夠突破屏幕保護(hù)程序。另外，聽(tīng)說(shuō)當(dāng)前市面上還出現(xiàn)了一個(gè)專門用于破解屏幕保護(hù)密碼光盤。插入該光盤之后，它就會(huì)利用Windows98自動(dòng)運(yùn)行功效開(kāi)啟保留在光盤上屏幕保護(hù)密碼破解程序，對(duì)屏幕保護(hù)功效密碼進(jìn)行分析、破譯，最終再將密碼顯示在屏幕上或?qū)懙杰洷P上，這就更方便了。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全策略第125頁(yè)要防范這種攻擊伎倆，能夠禁止光盤Autorun特征。在Windows98系統(tǒng)中使用以下步驟能夠到達(dá)目標(biāo)：①?gòu)目刂泼姘逯写蜷_(kāi)“系統(tǒng)”；②選擇“設(shè)備管理器”；③選擇CDROM，雙擊打開(kāi)對(duì)話框；④選擇“設(shè)置”標(biāo)簽，不選“自動(dòng)插入通告”項(xiàng)。3.電源管理密碼破解Windows98電源管理功效也能夠設(shè)置密碼，設(shè)置此功效后，系統(tǒng)在從節(jié)能狀態(tài)返回時(shí)就會(huì)要求輸入密碼，從而在一定程度上實(shí)現(xiàn)保護(hù)