網(wǎng)絡(luò)安全與防火墻技術(shù)3-操作系統(tǒng)安全與Windows-98ME的安全性及防護(hù)-課件

3操作系統(tǒng)安全與Windows98/ME的安全性及防護(hù)3.1操作系統(tǒng)的安全

3.1.1操作系統(tǒng)的安全問題①從OS入手獲得授權(quán)以外的或未授權(quán)的信息。它危害信息系統(tǒng)的保密性和完整性。②從OS入手阻礙計(jì)算機(jī)系統(tǒng)的正常運(yùn)行或用戶的正常使用。它危害了計(jì)算機(jī)系統(tǒng)的可用性。3操作系統(tǒng)安全與Windows98/ME的安全性及防護(hù)1③以O(shè)S為對象破壞系統(tǒng)或影響系統(tǒng)來完成指定的功能。④以軟件為對象非法復(fù)制或非法使用。3.1.2操作系統(tǒng)的安全控制1)操作系統(tǒng)安全控制方法

操作系統(tǒng)采用的安全控制方法主要是隔離控制和訪問控制。2)訪問控制機(jī)構(gòu)

訪問控制機(jī)構(gòu)是系統(tǒng)具體實(shí)施訪問控制策略的硬件、軟件。⑴訪問控制的基本任務(wù)③以O(shè)S為對象破壞系統(tǒng)或影響系統(tǒng)來完成指定的功能。2①授權(quán)。②確定訪問權(quán)限。③實(shí)施訪問控制的權(quán)限。⑵訪問控制采取的措施需要采用兩種措施：識別與驗(yàn)證訪問系統(tǒng)的用戶；決定用戶對某一系統(tǒng)資源有何種訪問權(quán)限(如讀、寫、修改、運(yùn)行等)。3.1.3計(jì)算機(jī)系統(tǒng)的安全等級①授權(quán)。3表3.1可信系統(tǒng)的等級劃分表3.1可信系統(tǒng)的等級劃分43.2Windows98/ME的安全機(jī)制

Windows98系統(tǒng)的安全機(jī)制是由登錄機(jī)制、屏幕保護(hù)密碼、文件夾共享密碼和遠(yuǎn)程管理密碼等部分組成的。3.2.1Windows98的登錄機(jī)制1)Windows98系統(tǒng)登錄2)Microsoft網(wǎng)絡(luò)用戶和Microsoft友好登錄3.2.2Windows98的屏幕保護(hù)機(jī)制3.2Windows98/ME的安全機(jī)制53.2.3Windows98共享資源和遠(yuǎn)程管理機(jī)制當(dāng)Windows98系統(tǒng)與其他計(jì)算機(jī)連成網(wǎng)絡(luò)時(shí)，計(jì)算機(jī)的資源可以相互共享，為了保護(hù)計(jì)算機(jī)系統(tǒng)的安全，Windows98有簡單的權(quán)限控制，其訪問控制方式有兩種：共享級訪問控制方式和用戶級訪問控制方式。啟動Windows98遠(yuǎn)程管理機(jī)制的步驟如下：1)啟動Windows98遠(yuǎn)程管理服務(wù)啟動Windows98系統(tǒng)進(jìn)入系統(tǒng)桌面，選擇3.2.3Windows98共享資源和遠(yuǎn)程管理6“開始”→“設(shè)置”→“控制面板”→“密碼”→“密碼屬性”窗口，在“密碼屬性”窗口中選擇“遠(yuǎn)程管理”→選定和激活“啟用此服務(wù)器的遠(yuǎn)程管理”，同時(shí)，輸入遠(yuǎn)程管理密碼，輸入兩次密碼，單擊“確定”按鈕并關(guān)閉“密碼屬性”窗口，即可完成操作。要想使“啟動Windows98遠(yuǎn)程管理服務(wù)”成功，還需先完成“Windows98系統(tǒng)共享資源的訪問控制方式”設(shè)置。

2)遠(yuǎn)程管理Windows98的資源當(dāng)一臺計(jì)算機(jī)已設(shè)置了遠(yuǎn)程管理服務(wù)，就可以通過局域網(wǎng)的任何一臺Windows98計(jì)算“開始”→“設(shè)置”→“控制面板”→“密碼”→“密碼屬性”窗7機(jī)管理該計(jì)算機(jī)的文件和打印機(jī)了。假設(shè)計(jì)算機(jī)wsl已經(jīng)配置了遠(yuǎn)程管理服務(wù)，現(xiàn)在通過ws2來管理ws1的資源，其步驟如下：啟動ws2以“Microsoft網(wǎng)絡(luò)用戶”的身份登錄到本機(jī)的Windows98桌面上，打開“網(wǎng)上鄰居”，顯示“整個(gè)網(wǎng)絡(luò)”以及同組的各計(jì)算機(jī)名，將發(fā)現(xiàn)計(jì)算機(jī)wsl→用鼠標(biāo)右擊“wsl”圖標(biāo)→“屬性”

→出現(xiàn)“wsl屬性”窗口，單擊“工具”欄，窗口中顯示3個(gè)配置按鈕：“網(wǎng)絡(luò)監(jiān)視器”、“系統(tǒng)監(jiān)視器”和“管理程序”，其中通過“網(wǎng)絡(luò)監(jiān)視器”允許查看wsl上的共享目錄和通過網(wǎng)絡(luò)正在使用該目錄的用戶，“系統(tǒng)監(jiān)視器”允許查看ws1上的磁盤訪問與網(wǎng)機(jī)管理該計(jì)算機(jī)的文件和打印機(jī)了。假設(shè)計(jì)算機(jī)wsl已經(jīng)配置了遠(yuǎn)8絡(luò)的使用情況，而“管理程序”則是遠(yuǎn)程管理wsl的文件和打印機(jī)的共享設(shè)置。3個(gè)配置選項(xiàng)都需要提供ws1的遠(yuǎn)程管理密碼?，F(xiàn)在單擊“管理程序”→“輸入網(wǎng)絡(luò)密碼”窗口，輸入wsl的遠(yuǎn)程管理密碼，出現(xiàn)“計(jì)算機(jī)wsl所有資源”的窗體，其中C$、D$等是ws1的磁盤C，D的代號，不帶$符號的目錄為已設(shè)置好的共享目錄，可以如設(shè)置本地計(jì)算機(jī)的資源那樣設(shè)置wsl的C$及D$及其子目錄等資源的共享，同時(shí)也可以改變不帶$符號的共享目錄的訪問控制方式。

3.2.4Windows98注冊表的機(jī)制絡(luò)的使用情況，而“管理程序”則是遠(yuǎn)程管理wsl的文件和打印機(jī)93.3Windows98/ME安全策略3.3.1安全策略編輯器的安裝

Windows98安全策略編輯器安裝步驟如下：①單擊菜單“開始”→“設(shè)置”選項(xiàng)，打開“控制面板”窗口。單擊“添加／刪除程序”圖標(biāo)。②單擊“從磁盤安裝”按鈕，在出現(xiàn)的對話框中，單擊“瀏覽”按鈕，選擇Windows安裝光盤上的“\tools\reskit\netadmin\Poledit”文件。

3.3Windows98/ME安全策略10圖3.2添加策略編輯器網(wǎng)絡(luò)安全與防火墻技術(shù)3--操作系統(tǒng)安全與Windows-98ME的安全性及防護(hù)-課件11③選擇“poleditinf”，屏幕上將出現(xiàn)“從磁盤安裝”對話框，如圖3.2所示。再選擇“系統(tǒng)策略編輯器”，然后單擊“安裝”按鈕，安裝就開始了。④安裝完成后，用戶就可以在“附件”→“系統(tǒng)工具”下找到“系統(tǒng)策略編輯器”選項(xiàng)了。

3.3.2安全策略編輯器的配置在系統(tǒng)策略編輯器的菜單中，單擊“文件”→“新建文件”選項(xiàng)。這時(shí)，在系統(tǒng)策略編輯窗口中出現(xiàn)了“默認(rèn)用戶”和“默認(rèn)計(jì)算機(jī)”兩個(gè)圖標(biāo)，如圖3.3所示。③選擇“poleditinf”，屏幕上將出現(xiàn)“從磁盤安裝”12圖3.3策略編輯器窗口網(wǎng)絡(luò)安全與防火墻技術(shù)3--操作系統(tǒng)安全與Windows-98ME的安全性及防護(hù)-課件13下面，通過它添加一個(gè)像WindowsNT一樣的管理員賬號。

1)添加新用戶

①單擊菜單“編輯”→“添加用戶”，在彈出的對話框中輸入“XIANG”(用戶可以根據(jù)自己的需要填寫)。②單擊“確定”按鈕，將“XIANG”這個(gè)用戶添加到系統(tǒng)策略編輯器中，如圖3.4所示。③單擊菜單“文件”→“保存”，以XIANGP01作為文件名將該文件保存到Windows所在目錄的Config子目錄下。下面，通過它添加一個(gè)像WindowsNT一樣的管理員賬號。14

圖3.4添加用戶網(wǎng)絡(luò)安全與防火墻技術(shù)3--操作系統(tǒng)安全與Windows-98ME的安全性及防護(hù)-課件15接下來要使用系統(tǒng)策略編輯器制定系統(tǒng)策略了。2)定制系統(tǒng)策略

①雙擊“默認(rèn)用戶”圖標(biāo)，彈出一個(gè)如圖3.5所示的“默認(rèn)用戶屬性”對話框。在對話框中可以看到有許多選項(xiàng)設(shè)置，包括控制面板、網(wǎng)絡(luò)、桌面等，用戶可以對每一個(gè)選項(xiàng)進(jìn)行設(shè)置。下面以“XIANG”這個(gè)用戶為例，對它的屬性進(jìn)行設(shè)置。②雙擊“XINAG”圖標(biāo)，彈出其屬性對話框，顯示出它的各項(xiàng)“策略”組。接下來要使用系統(tǒng)策略編輯器制定系統(tǒng)策略了。16圖3.5默認(rèn)用戶屬性對話框網(wǎng)絡(luò)安全與防火墻技術(shù)3--操作系統(tǒng)安全與Windows-98ME的安全性及防護(hù)-課件17③鉤選各項(xiàng)“策略”選項(xiàng)旁的復(fù)選框，可以限制或禁止與其相對應(yīng)的各項(xiàng)功能的使用。

④最重要的是在“外殼”中選擇“限制”，出現(xiàn)如圖3.6所示的對話框。⑤在圖3.6中，選擇“限制”下所有的選項(xiàng)，這樣一來就限制了桌面上的一切程序(注意：不要去選擇“外殼”一“限制”下的“禁止‘關(guān)閉系統(tǒng)’命令”選項(xiàng)，否則非法用戶進(jìn)入系統(tǒng)將無法用Windows98關(guān)閉計(jì)算機(jī)系統(tǒng)，而只能關(guān)閉電源了)。③鉤選各項(xiàng)“策略”選項(xiàng)旁的復(fù)選框，可以限制或禁止與其相對應(yīng)的18⑥重啟計(jì)算機(jī)。以“XIANG”的用戶名進(jìn)入系統(tǒng)，就可以看到桌面上的程序和圖標(biāo)都沒有了，入侵者除了“關(guān)機(jī)”就沒有別的辦法了。

另外，每個(gè)用戶的配置文件都保存在Windows目錄下profiles子目錄下與用戶同名的子目錄中。例如：c:\windows為windows所在的目錄，那么“XIANG”的個(gè)人配置文件都保存在c:\windows\Profiles\User子目錄下的“XIANG”子目錄中。⑥重啟計(jì)算機(jī)。以“XIANG”的用戶名進(jìn)入系統(tǒng)，就可以看到桌19圖3.6功能限制對話框網(wǎng)絡(luò)安全與防火墻技術(shù)3--操作系統(tǒng)安全與Windows-98ME的安全性及防護(hù)-課件203)防止非法用戶的進(jìn)入對于Windows98登錄方式有兩種非法用戶，一種是以新用戶名，然后單擊“取消”按鈕，登錄進(jìn)入系統(tǒng)，這時(shí)該用戶使用的是默認(rèn)用戶權(quán)限；另一種是在網(wǎng)絡(luò)上以匿名登錄方式進(jìn)入系統(tǒng)的用戶。

因此，就要對這兩種用戶的權(quán)限進(jìn)行修改，使進(jìn)入系統(tǒng)的非法用戶禁止其“關(guān)閉系統(tǒng)”以外的所有其他權(quán)限。如果用戶需要修改默認(rèn)用戶的權(quán)限，可以遵循下面的步驟：⑴修改默認(rèn)用戶權(quán)限①在Windows98所在目錄的Profiles子目3)防止非法用戶的進(jìn)入21錄下新建一個(gè)空子目錄(名字隨便取)。②雙擊“默認(rèn)用戶”，彈出“默認(rèn)用戶屬性”對話框，鉤選“外殼”和“系統(tǒng)”下的“限制”選項(xiàng)中“禁用‘關(guān)閉系統(tǒng)’命令”以外的所有復(fù)選框，如圖3.7所示。③“外殼”下選擇“自定義文件夾”，在所需指定路徑的編輯框中，輸入Profiles子目錄下新建的子目錄名(注意是全路徑名)。④單擊菜單“文件”→“保存”選項(xiàng)，將上述設(shè)置保存到策略文件中，再退出系統(tǒng)策略編輯器。錄下新建一個(gè)空子目錄(名字隨便取)。22圖3.7設(shè)置默認(rèn)用戶限制項(xiàng)目網(wǎng)絡(luò)安全與防火墻技術(shù)3--操作系統(tǒng)安全與Windows-98ME的安全性及防護(hù)-課件23圖3.8設(shè)置自定義文件夾網(wǎng)絡(luò)安全與防火墻技術(shù)3--操作系統(tǒng)安全與Windows-98ME的安全性及防護(hù)-課件24⑵修改匿名登錄用戶①在系統(tǒng)策略編輯器的窗口中雙擊“本地用戶”圖標(biāo)，彈出“本地用戶屬性”窗口，對其進(jìn)行與默認(rèn)用戶的權(quán)限相同的修改，然后單擊“確定”按鈕并返回系統(tǒng)策略編輯器。②雙擊“默認(rèn)計(jì)算機(jī)”圖標(biāo)，打開“默認(rèn)計(jì)算機(jī)屬性”對話框，鉤選其“系統(tǒng)”中的“用戶配置文件”選項(xiàng)。③選中“網(wǎng)絡(luò)”下“更新”策略組的“遠(yuǎn)程更新”選項(xiàng)，在“更新方式”下拉列表中選擇“手動“(使用特定路徑)”選項(xiàng)，如圖3.9所示。⑵修改匿名登錄用戶25圖3.9設(shè)置更新選項(xiàng)網(wǎng)絡(luò)安全與防火墻技術(shù)3--操作系統(tǒng)安全與Windows-98ME的安全性及防護(hù)-課件26④在“用于手動更新的路徑“欄中輸入文件config.pol所在位置的路徑及文件名單擊“確定”按鈕，返回系統(tǒng)策略編輯器，單擊菜單“文件”→“保存”選項(xiàng)。

⑤退出系統(tǒng)策略編輯器，注銷或重新啟動計(jì)算機(jī)。3.4Windows98/ME安全配置具體步驟如下：

①要設(shè)置的禁止匿名用戶登錄。選擇“開始”→“運(yùn)行”，在彈出的窗口中運(yùn)行regedit.exe，出現(xiàn)“注冊表編輯”窗口，進(jìn)入HKEY_LOCAI_MACHINE\Network\Logon中。④在“用于手動更新的路徑“欄中輸入文件config.pol所27現(xiàn)在在HKEY_LOCAI_MACHINE\Network\Logon中新建DWORD值，并命名為“MustBeValidated”，雙擊該鍵值將其值設(shè)置為“1”。②設(shè)置用戶的個(gè)性化菜單的選項(xiàng)。啟動“開始”→“設(shè)置”→“控制面板”，在控制面板中，單擊“密碼”→“密碼屬性”窗口→用戶配置文件，選擇“用戶可自定義首選項(xiàng)及桌面設(shè)置”。③設(shè)置登錄提示信息。在HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\Winlogon中新建兩個(gè)字符串值，一個(gè)命名為“Legalnoticecaption”，另外一個(gè)命名為“Legalnoticetext”，并分別賦值為“XX專用計(jì)現(xiàn)在在HKEY_LOCAI_MACHINE\Network\28算機(jī)”和“請勿非法使用!”(這兩個(gè)賦值可以自定)。注意，在進(jìn)行上面幾個(gè)步驟以前，啟動“開始”→“設(shè)置”→“控制面板”，在控制面板中，單擊“用戶”按鈕，設(shè)置可以登錄本機(jī)的授權(quán)用戶。當(dāng)完成了上面這3個(gè)步驟之后，當(dāng)其他人登錄的時(shí)候就必須輸入密碼才能登錄，按Esc也不能進(jìn)入Windows98了。按照上面的方法，完成了初步加密。雖然在每次登錄的時(shí)候都需要密碼，但是上次登錄的用戶名卻出現(xiàn)在登錄對話框中，這樣就為對方猜中密碼提供了方便。讓算機(jī)”和“請勿非法使用!”(這兩個(gè)賦值可以自定)。注意，在進(jìn)29Windows98在登錄的時(shí)候不顯示上次登錄的用戶名，其方法是：在注冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows98\CurrentVersion\Winlogon下新建一個(gè)DWORD值，并命名為“DontDisplayLastUserName”項(xiàng)，雙擊它，并賦值為“1”。這樣，在登錄對話框中就不會出現(xiàn)上次登錄的用戶名稱了。從上面的操作過程來看，所有的限制都是通過修改注冊表來完成的。而如果別人也知道同樣的修改方法，那么他也可以利用修改注冊表的方法達(dá)到侵入的目的，所以限制用戶使用注冊表編輯器便放在了安全Windows98在登錄的時(shí)候不顯示上次登錄的用戶名，其方30之首。限制用戶修改注冊表的方法是：在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System中新建DWORD值，使Disableregistrytools值為“l(fā)”，這樣除了自己以外，其他用戶是無法修改注冊表的。3.5Windows98/ME安全漏洞及防護(hù)

3.5.1利用Windows能夠自動收集用戶的信息3.5.2Windows9x的藍(lán)屏問題3.5.3請求訪問系統(tǒng)上包含一些設(shè)備名的非法路徑之首。限制用戶修改注冊表的方法是：在HKEY_LOCAL_M313操作系統(tǒng)安全與Windows98/ME的安全性及防護(hù)3.1操作系統(tǒng)的安全

3.1.1操作系統(tǒng)的安全問題①從OS入手獲得授權(quán)以外的或未授權(quán)的信息。它危害信息系統(tǒng)的保密性和完整性。②從OS入手阻礙計(jì)算機(jī)系統(tǒng)的正常運(yùn)行或用戶的正常使用。它危害了計(jì)算機(jī)系統(tǒng)的可用性。3操作系統(tǒng)安全與Windows98/ME的安全性及防護(hù)32③以O(shè)S為對象破壞系統(tǒng)或影響系統(tǒng)來完成指定的功能。④以軟件為對象非法復(fù)制或非法使用。3.1.2操作系統(tǒng)的安全控制1)操作系統(tǒng)安全控制方法

操作系統(tǒng)采用的安全控制方法主要是隔離控制和訪問控制。2)訪問控制機(jī)構(gòu)

訪問控制機(jī)構(gòu)是系統(tǒng)具體實(shí)施訪問控制策略的硬件、軟件。⑴訪問控制的基本任務(wù)③以O(shè)S為對象破壞系統(tǒng)或影響系統(tǒng)來完成指定的功能。33①授權(quán)。②確定訪問權(quán)限。③實(shí)施訪問控制的權(quán)限。⑵訪問控制采取的措施需要采用兩種措施：識別與驗(yàn)證訪問系統(tǒng)的用戶；決定用戶對某一系統(tǒng)資源有何種訪問權(quán)限(如讀、寫、修改、運(yùn)行等)。3.1.3計(jì)算機(jī)系統(tǒng)的安全等級①授權(quán)。34表3.1可信系統(tǒng)的等級劃分表3.1可信系統(tǒng)的等級劃分353.2Windows98/ME的安全機(jī)制

Windows98系統(tǒng)的安全機(jī)制是由登錄機(jī)制、屏幕保護(hù)密碼、文件夾共享密碼和遠(yuǎn)程管理密碼等部分組成的。3.2.1Windows98的登錄機(jī)制1)Windows98系統(tǒng)登錄2)Microsoft網(wǎng)絡(luò)用戶和Microsoft友好登錄3.2.2Windows98的屏幕保護(hù)機(jī)制3.2Windows98/ME的安全機(jī)制363.2.3Windows98共享資源和遠(yuǎn)程管理機(jī)制當(dāng)Windows98系統(tǒng)與其他計(jì)算機(jī)連成網(wǎng)絡(luò)時(shí)，計(jì)算機(jī)的資源可以相互共享，為了保護(hù)計(jì)算機(jī)系統(tǒng)的安全，Windows98有簡單的權(quán)限控制，其訪問控制方式有兩種：共享級訪問控制方式和用戶級訪問控制方式。啟動Windows98遠(yuǎn)程管理機(jī)制的步驟如下：1)啟動Windows98遠(yuǎn)程管理服務(wù)啟動Windows98系統(tǒng)進(jìn)入系統(tǒng)桌面，選擇3.2.3Windows98共享資源和遠(yuǎn)程管理37“開始”→“設(shè)置”→“控制面板”→“密碼”→“密碼屬性”窗口，在“密碼屬性”窗口中選擇“遠(yuǎn)程管理”→選定和激活“啟用此服務(wù)器的遠(yuǎn)程管理”，同時(shí)，輸入遠(yuǎn)程管理密碼，輸入兩次密碼，單擊“確定”按鈕并關(guān)閉“密碼屬性”窗口，即可完成操作。要想使“啟動Windows98遠(yuǎn)程管理服務(wù)”成功，還需先完成“Windows98系統(tǒng)共享資源的訪問控制方式”設(shè)置。

2)遠(yuǎn)程管理Windows98的資源當(dāng)一臺計(jì)算機(jī)已設(shè)置了遠(yuǎn)程管理服務(wù)，就可以通過局域網(wǎng)的任何一臺Windows98計(jì)算“開始”→“設(shè)置”→“控制面板”→“密碼”→“密碼屬性”窗38機(jī)管理該計(jì)算機(jī)的文件和打印機(jī)了。假設(shè)計(jì)算機(jī)wsl已經(jīng)配置了遠(yuǎn)程管理服務(wù)，現(xiàn)在通過ws2來管理ws1的資源，其步驟如下：啟動ws2以“Microsoft網(wǎng)絡(luò)用戶”的身份登錄到本機(jī)的Windows98桌面上，打開“網(wǎng)上鄰居”，顯示“整個(gè)網(wǎng)絡(luò)”以及同組的各計(jì)算機(jī)名，將發(fā)現(xiàn)計(jì)算機(jī)wsl→用鼠標(biāo)右擊“wsl”圖標(biāo)→“屬性”

→出現(xiàn)“wsl屬性”窗口，單擊“工具”欄，窗口中顯示3個(gè)配置按鈕：“網(wǎng)絡(luò)監(jiān)視器”、“系統(tǒng)監(jiān)視器”和“管理程序”，其中通過“網(wǎng)絡(luò)監(jiān)視器”允許查看wsl上的共享目錄和通過網(wǎng)絡(luò)正在使用該目錄的用戶，“系統(tǒng)監(jiān)視器”允許查看ws1上的磁盤訪問與網(wǎng)機(jī)管理該計(jì)算機(jī)的文件和打印機(jī)了。假設(shè)計(jì)算機(jī)wsl已經(jīng)配置了遠(yuǎn)39絡(luò)的使用情況，而“管理程序”則是遠(yuǎn)程管理wsl的文件和打印機(jī)的共享設(shè)置。3個(gè)配置選項(xiàng)都需要提供ws1的遠(yuǎn)程管理密碼?，F(xiàn)在單擊“管理程序”→“輸入網(wǎng)絡(luò)密碼”窗口，輸入wsl的遠(yuǎn)程管理密碼，出現(xiàn)“計(jì)算機(jī)wsl所有資源”的窗體，其中C$、D$等是ws1的磁盤C，D的代號，不帶$符號的目錄為已設(shè)置好的共享目錄，可以如設(shè)置本地計(jì)算機(jī)的資源那樣設(shè)置wsl的C$及D$及其子目錄等資源的共享，同時(shí)也可以改變不帶$符號的共享目錄的訪問控制方式。

3.2.4Windows98注冊表的機(jī)制絡(luò)的使用情況，而“管理程序”則是遠(yuǎn)程管理wsl的文件和打印機(jī)403.3Windows98/ME安全策略3.3.1安全策略編輯器的安裝

Windows98安全策略編輯器安裝步驟如下：①單擊菜單“開始”→“設(shè)置”選項(xiàng)，打開“控制面板”窗口。單擊“添加／刪除程序”圖標(biāo)。②單擊“從磁盤安裝”按鈕，在出現(xiàn)的對話框中，單擊“瀏覽”按鈕，選擇Windows安裝光盤上的“\tools\reskit\netadmin\Poledit”文件。

3.3Windows98/ME安全策略41圖3.2添加策略編輯器網(wǎng)絡(luò)安全與防火墻技術(shù)3--操作系統(tǒng)安全與Windows-98ME的安全性及防護(hù)-課件42③選擇“poleditinf”，屏幕上將出現(xiàn)“從磁盤安裝”對話框，如圖3.2所示。再選擇“系統(tǒng)策略編輯器”，然后單擊“安裝”按鈕，安裝就開始了。④安裝完成后，用戶就可以在“附件”→“系統(tǒng)工具”下找到“系統(tǒng)策略編輯器”選項(xiàng)了。

3.3.2安全策略編輯器的配置在系統(tǒng)策略編輯器的菜單中，單擊“文件”→“新建文件”選項(xiàng)。這時(shí)，在系統(tǒng)策略編輯窗口中出現(xiàn)了“默認(rèn)用戶”和“默認(rèn)計(jì)算機(jī)”兩個(gè)圖標(biāo)，如圖3.3所示。③選擇“poleditinf”，屏幕上將出現(xiàn)“從磁盤安裝”43圖3.3策略編輯器窗口網(wǎng)絡(luò)安全與防火墻技術(shù)3--操作系統(tǒng)安全與Windows-98ME的安全性及防護(hù)-課件44下面，通過它添加一個(gè)像WindowsNT一樣的管理員賬號。

1)添加新用戶

①單擊菜單“編輯”→“添加用戶”，在彈出的對話框中輸入“XIANG”(用戶可以根據(jù)自己的需要填寫)。②單擊“確定”按鈕，將“XIANG”這個(gè)用戶添加到系統(tǒng)策略編輯器中，如圖3.4所示。③單擊菜單“文件”→“保存”，以XIANGP01作為文件名將該文件保存到Windows所在目錄的Config子目錄下。下面，通過它添加一個(gè)像WindowsNT一樣的管理員賬號。45

圖3.4添加用戶網(wǎng)絡(luò)安全與防火墻技術(shù)3--操作系統(tǒng)安全與Windows-98ME的安全性及防護(hù)-課件46接下來要使用系統(tǒng)策略編輯器制定系統(tǒng)策略了。2)定制系統(tǒng)策略

①雙擊“默認(rèn)用戶”圖標(biāo)，彈出一個(gè)如圖3.5所示的“默認(rèn)用戶屬性”對話框。在對話框中可以看到有許多選項(xiàng)設(shè)置，包括控制面板、網(wǎng)絡(luò)、桌面等，用戶可以對每一個(gè)選項(xiàng)進(jìn)行設(shè)置。下面以“XIANG”這個(gè)用戶為例，對它的屬性進(jìn)行設(shè)置。②雙擊“XINAG”圖標(biāo)，彈出其屬性對話框，顯示出它的各項(xiàng)“策略”組。接下來要使用系統(tǒng)策略編輯器制定系統(tǒng)策略了。47圖3.5默認(rèn)用戶屬性對話框網(wǎng)絡(luò)安全與防火墻技術(shù)3--操作系統(tǒng)安全與Windows-98ME的安全性及防護(hù)-課件48③鉤選各項(xiàng)“策略”選項(xiàng)旁的復(fù)選框，可以限制或禁止與其相對應(yīng)的各項(xiàng)功能的使用。

④最重要的是在“外殼”中選擇“限制”，出現(xiàn)如圖3.6所示的對話框。⑤在圖3.6中，選擇“限制”下所有的選項(xiàng)，這樣一來就限制了桌面上的一切程序(注意：不要去選擇“外殼”一“限制”下的“禁止‘關(guān)閉系統(tǒng)’命令”選項(xiàng)，否則非法用戶進(jìn)入系統(tǒng)將無法用Windows98關(guān)閉計(jì)算機(jī)系統(tǒng)，而只能關(guān)閉電源了)。③鉤選各項(xiàng)“策略”選項(xiàng)旁的復(fù)選框，可以限制或禁止與其相對應(yīng)的49⑥重啟計(jì)算機(jī)。以“XIANG”的用戶名進(jìn)入系統(tǒng)，就可以看到桌面上的程序和圖標(biāo)都沒有了，入侵者除了“關(guān)機(jī)”就沒有別的辦法了。

另外，每個(gè)用戶的配置文件都保存在Windows目錄下profiles子目錄下與用戶同名的子目錄中。例如：c:\windows為windows所在的目錄，那么“XIANG”的個(gè)人配置文件都保存在c:\windows\Profiles\User子目錄下的“XIANG”子目錄中。⑥重啟計(jì)算機(jī)。以“XIANG”的用戶名進(jìn)入系統(tǒng)，就可以看到桌50圖3.6功能限制對話框網(wǎng)絡(luò)安全與防火墻技術(shù)3--操作系統(tǒng)安全與Windows-98ME的安全性及防護(hù)-課件513)防止非法用戶的進(jìn)入對于Windows98登錄方式有兩種非法用戶，一種是以新用戶名，然后單擊“取消”按鈕，登錄進(jìn)入系統(tǒng)，這時(shí)該用戶使用的是默認(rèn)用戶權(quán)限；另一種是在網(wǎng)絡(luò)上以匿名登錄方式進(jìn)入系統(tǒng)的用戶。

因此，就要對這兩種用戶的權(quán)限進(jìn)行修改，使進(jìn)入系統(tǒng)的非法用戶禁止其“關(guān)閉系統(tǒng)”以外的所有其他權(quán)限。如果用戶需要修改默認(rèn)用戶的權(quán)限，可以遵循下面的步驟：⑴修改默認(rèn)用戶權(quán)限①在Windows98所在目錄的Profiles子目3)防止非法用戶的進(jìn)入52錄下新建一個(gè)空子目錄(名字隨便取)。②雙擊“默認(rèn)用戶”，彈出“默認(rèn)用戶屬性”對話框，鉤選“外殼”和“系統(tǒng)”下的“限制”選項(xiàng)中“禁用‘關(guān)閉系統(tǒng)’命令”以外的所有復(fù)選框，如圖3.7所示。③“外殼”下選擇“自定義文件夾”，在所需指定路徑的編輯框中，輸入Profiles子目錄下新建的子目錄名(注意是全路徑名)。④單擊菜單“文件”→“保存”選項(xiàng)，將上述設(shè)置保存到策略文件中，再退出系統(tǒng)策略編輯器。錄下新建一個(gè)空子目錄(名字隨便取)。53圖3.7設(shè)置默認(rèn)用戶限制項(xiàng)目網(wǎng)絡(luò)安全與防火墻技術(shù)3--操作系統(tǒng)安全與Windows-98ME的安全性及防護(hù)-課件54圖3.8設(shè)置自定義文件夾網(wǎng)絡(luò)安全與防火墻技術(shù)3--操作系統(tǒng)安全與Windows-98ME的安全性及防護(hù)-課件55⑵修改匿名登錄用戶①在系統(tǒng)策略編輯器的窗口中雙擊“本地用戶”圖標(biāo)，彈出“本地用戶屬性”窗口，對其進(jìn)行與默認(rèn)用戶的權(quán)限相同的修改，然后單擊“確定”按鈕并返回系統(tǒng)策略編輯器。②雙擊“默認(rèn)計(jì)算機(jī)”圖標(biāo)，打開“默認(rèn)計(jì)算機(jī)屬性”對話框，鉤選其“系統(tǒng)”中的“用戶配置文件”選項(xiàng)。③選中“網(wǎng)絡(luò)”下“更新”策略組的“遠(yuǎn)程更新”選項(xiàng)，在“更新方式”下拉列表中選擇“手動“(使用特定路徑)”選項(xiàng)，如圖3.9所示。⑵修改匿名登錄用戶56圖3.9設(shè)置更新選項(xiàng)網(wǎng)絡(luò)安全與防火墻技術(shù)3--操作系統(tǒng)安全與Windows-98ME的安全性及防護(hù)-課件57④在“用于手動更新的路徑“欄中輸入文件config.pol所在位置的路徑及文件名單擊“確定”按鈕，返回系統(tǒng)策略編輯器，單擊菜單“文件”→“保存”選項(xiàng)。

⑤退出系統(tǒng)策略編輯器，注銷或重新啟動計(jì)算機(jī)。3.4Windows98/ME安全配置具體步驟如下：

①要設(shè)置的禁止匿名用戶登錄。選擇“開始”→“運(yùn)行”，在彈出的窗口中運(yùn)行regedit.exe，出現(xiàn)“注冊表編輯”窗口，進(jìn)入HKEY_LOCAI_MACHINE\Network\Logon中。④在“用于手動更新的路徑“欄中輸入文件config.pol所58現(xiàn)在在HKEY_LOCAI_MACHINE\Network\Logon中新建DWORD值，并命名為