WINDOWS 98安全技巧(4)
五、对非法用户的权限进行限制对超级用户和普通用户的权限设置完后,剩下的事情就是“对付”那些通过在用户名选择框中单击“取消”按钮或按Esc键进入系统的非法用户了。对于他们的权限,我们应最大限度地限制,最好是让他们什么也干不成!为此,我们可重新启动计算机,并在系统弹出的用户名选择框中按下Esc键,以非法用户的身份进入系统,然后对其权限进行限制。
(一)隐藏Windows 98桌面上的所有图标
为了防止非法用户随便乱动,一般应将桌面上的所有图标全部隐藏起来,具体步骤为:
1.运行注册表编辑器Regedit打开注册表;
2.展开注册表数据库的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer分支;
3.在Explorer主键下新建一个名为Nodesktop的DWORD值,并将其值设置为1。
(二)删除“开始”菜单中的所有命令
可按照前面对普通用户权限设置的有关方法将非法用户“开始”菜单中的所有命令(包括运行、关闭系统、查找、文档、设置、收藏夹等项目)全部删除,然后将“程序”菜单中的所有程序项全部删除,这样整个“开始”菜单中除了帮助之外什么也没有……让非法用户对着光秃秃的桌面、孤零零的“开始”菜单发愣去吧!
(三)禁止使用任何程序
有了前面的两项限制措施,我们即可达到对一般非法入侵者进行控制的目的,不过对那些高级别的入侵者,上面两项控制是远远不够的,他们仍可通过种种方法对系统进行破坏,而真正最彻底的控制则是不允许他们运行任何程序(包括记事本、画笔、系统查找功能、系统设置功能等等),这样才能从根本上保护系统的安全(假如不允许使用Word,那么有谁能查看计算机上Word文档中的内容呢?)。为此,我们可采用如下方法。
1.运行注册表编辑器Regedit打开注册表;
2.展开注册表数据库的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer分支;
3.在Explorer分支下新建一个名为RestrictRun的DWORD值,并将其值设置为1。
这样我们就实现了禁止在Windows 98中运行任何程序的目的。关闭注册表编辑器之后系统设置即告生效,此时我们无论是启动Windows 98的任何一个程序(包括记事本、画笔、资源管理器及我的电脑),还是使用它的查找、设置等功能,系统都会提示该程序不能运行(如图14),也就是说非法入侵者除了晃晃鼠标之外什么也不能做,这就真正达到了将非法入侵者“置之于死地”的目的。对不起,非法用户们千万别怨我的“馊主意”,谁让你总是干些“偷鸡摸狗”的事呢?
若是你心地善良,不忍让非法入侵者太过尴尬,允许他们使用某些对系统没有任何危害的小程序(如Windows 98自带的几个游戏等),这也是可以办到的,具体步骤为:
1.重复执行前述限制任何程序运行的步骤;
2.在HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer分支下新建一个名为RestrictRun的主键;
3.在RestrictRun的主键下分别添加名为“1”、“2”、“3”等的字符串值;
4.将“1”、“2”、“3”……等字符串的值设置为允许非法用户使用的应用程序名(只输入文件名,无须指定路径)。如将“1”设置为“网上红心大战”的程序MSHEARTS.EXE、“2”设置为“空档接龙”的程序FREECELL.EXE、“3”设置为“扫雷程序”WINMINE.EXE、“4”设置为“纸牌程序”SOL.EXE(如图15)。
5.设置完毕,关闭注册表编辑器。此后非法用户进入系统后就只能玩这4个游戏,其它程序均不能运行。当然,也可按照上述方法自行确定允许非法用户使用的程序,不过千万注意不要将REGEDIT及其它可以对注册表数据库进行修改的任何程序(如TWEAKUI等)添加进去,否则可能会重现“农夫与蛇”的悲剧。
六、关键性的系统控制措施
看完前面的介绍,有些读者可能认为系统已经万无一失了,不过事实却并非如此!还有很多“后门”可以为入侵者提供方便,如开机功能键、软盘启动、网络及电子邮件等,我们必须将这些“后门”一一关闭(注意,这些功能的关闭将对所有的Windows用户,包括超级用户、普通用户及非法入侵者起着同样的限制作用)。
(一)禁止系统启动功能键
大家知道,我们只须在Windows 98启动时按下F8键即可打开系统功能菜单,进入DOS状态,此时系统就有可能遭到破坏(如我只须建立一个用于关闭系统控制功能的“.REG”注册表文件,然后在DOS下利用REGEDIT将这个REG文件导入到注册表数据库中即可达到解除所有限制的目的,另外我还可以通过密码破译器对Windows 98保存密码的文件进行分析,找出系统密码后直接以系统管理员的身份进行入侵……),因此我们必须将系统启动功能键予以关闭,以防止非法用户进入DOS状态。为此,我们可打开Windows 98的MSDOS.SYS文件,在其中加入(或将原有内容改为)如下内容:
BootDelay=0:开机时不显示“Starting Windows 98”,免去延迟时间
BootGUI=1:直接进入Windows 98图形界面,而不是DOS状态
BootKeys=0:禁止F4、F5、F8等开机功能键
BootMenu=0:不显示开机菜单
BootMulti=0:不允许双引导
BootWin=1:直接启动Windows 98,而不进入老版本DOS环境
这样我们就达到了禁止使用功能键进入DOS状态的目的(无论是老版本的DOS 6.X,还是Windows 98内置的DOS 7.X),从而保证了系统安全。
(二)禁止进入安全模式
Windows 98提供的安全模式也是一个“祸根”,尽管我们可利用它在系统发生故障时对系统进行设置,但由于此时Windows 98几乎不设防(前面所设的多数控制措施都将失效),因此它也给非法入侵用户带来可乘之机,我们必须将其禁止。须要说明的是,尽管我们一般是通过F5来进入安全模式的,但这并不是唯一途径(如我们只须在系统启动时按下Ctrl+Alt+Del重新启动计算机,下一次启动时系统就会自动采用安全模式),因此尽管前面已经禁止了Windows 98的启动功能键,但我们仍有必要对能否进入安全模式进行一番专门设置。为此我们只需打开Windows 98的MSDOS.SYS文件,然后在其中加入一条BootFailSafe=0(禁止安全模式)命令即可。
(三)禁止采用软盘及光盘启动计算机
很显然,非法用户若能以软盘及光盘启动计算机,那他就可以随意在DOS状态下对系统进行攻击,因此我们必须关闭软盘及光盘的启动功能。为此,我们应重新启动计算机,并在系统自检时按下Del键,进入系统的CMOS设置功能,然后将系统的启动选项设置为“C only”(即仅允许从C盘启动),并同时为CMOS设置必要的密码。
(四)防止网络及电子邮件的入侵
随着网络的流行,各种黑客程序也越来越多,非法入侵者完全可通过网络的形式在你的计算机中安上一个“后门”,然后入侵你的系统,并且采用此方式入侵时往往具有极高的权限,危害相当大。这样的“后门”不是手工所能堵住的,必须使用专门的杀毒软件或反黑客软件对系统进行扫描,清除已有的黑客程序;安装诸如KILL、MCAFEE之类的病毒防火墙预防黑客程序及病毒的入侵;同时还应及时对杀毒软件进行升级以保证杀毒软件的效力等。
至此,我们对Windows 98进行安全控制的有关步骤即介绍完毕,超级用户、普通用户及非法用户都只能按照自己的权限使用计算机,任何人(包括我在内)都无法对你的系统进行攻击,从而达到了很好的安全保护效果,有兴趣的读者不妨一试。
最后须要说明的是,Windows 98毕竟是一个针对家庭用户的操作系统,在系统安全性方面有着固有的缺陷,用户若对系统安全有较高要求,则应选择安全性、稳定性都非常高(当然对系统硬件要求也较高)的Windows NT。
页:
[1]