1、3 操作系统安全与Windows 98/ME的安全性及防护 3.1 操作系统的安全 3.1.1 操作系统的安全问题 从OS入手获得授权以外的或未授权的信息。它危害信息系统的保密性和完整性。从OS入手阻碍计算机系统的正常运行或用户的正常使用。它危害了计算机系统的可用性。以OS为对象破坏系统或影响系统来完成指定的功能。以软件为对象非法复制或非法使用。3.1.2 操作系统的安全控制 1)操作系统安全控制方法 操作系统采用的安全控制方法主要是隔离控制和访问控制。2)访问控制机构 访问控制机构是系统具体实施访问控制策略的硬件、软件。访问控制的基本任务 授权。确定访问权限。实施访问控制的权限。访问控制采取
2、的措施需要采用两种措施:识别与验证访问系统的用户;决定用户对某一系统资源有何种访问权限(如读、写、修改、运行等)。3.1.3 计算机系统的安全等级 表3.1 可信系统的等级划分 3.2 Windows 98/ME的安全机制 Windows 98系统的安全机制是由登录机制、屏幕保护密码、文件夹共享密码和远程管理密码等部分组成的。3.2.1 Windows 98的登录机制 1)Windows 98系统登录 2)Microsoft网络用户和Microsoft友好登录 3.2.2 Windows 98的屏幕保护机制 3.2.3 Windows 98共享资源和远程管理 机制 当Windows 98系统与
3、其他计算机连成网络时,计算机的资源可以相互共享,为了保护计算机系统的安全,Windows 98有简单的权限控制,其访问控制方式有两种:共享级访问控制方式和用户级访问控制方式。启动Windows 98远程管理机制的步骤如下:1)启动Windows 98远程管理服务 启动Windows 98系统进入系统桌面,选择 “开 始”“设 置”“控 制 面板”“密码”“密码属性”窗口,在“密码属性”窗口中选择“远程管理”选定和激活“启用此服务器的远程管理”,同时,输入远程管理密码,输入两次密码,单击“确定”按钮并关闭“密码属性”窗口,即可完成操作。要想使“启动Windows 98远程管理服务”成功,还需先完
4、成“Windows 98系统共享资源的访问控制方式”设置。2)远程管理Windows 98的资源 当一台计算机已设置了远程管理服务,就可以通过局域网的任何一台Windows 98计算 机管理该计算机的文件和打印机了。假设计算机wsl已经配置了远程管理服务,现在通过ws2来管理ws1的资源,其步骤如下:启动ws2以“Microsoft网络用户”的身份登录到本机的Windows 98桌面上,打开“网上邻居”,显示“整个网络”以及同组的各计算机名,将发现计算机wsl用鼠标右击“wsl”图标“属性”出现“wsl属性”窗口,单击“工具”栏,窗口中显示3个配置按钮:“网络监视器”、“系统监视器”和“管理程
5、序”,其中通过“网络监视器”允许查看wsl上的共享目录和通过网络正在使用该目录的用户,“系统监视器”允许查看ws1上的磁盘访问与网 络的使用情况,而“管理程序”则是远程管理wsl的文件和打印机的共享设置。3个配置选项都需要提供ws1的远程管理密码。现在单击“管理程序”“输入网络密码”窗口,输入wsl的远程管理密码,出现“计算机wsl所有资源”的窗体,其中C$、D$等是ws1的磁盘C,D的代号,不带$符号的目录为已设置好的共享目录,可以如设置本地计算机的资源那样设置wsl的C$及D$及其子目录等资源的共享,同时也可以改变不带$符号的共享目录的访问控制方式。3.2.4 Windows 98注册表的
6、机制 3.3 Windows 98/ME安全策略 3.3.1 安全策略编辑器的安装 Windows 98安全策略编辑器安装步骤如下:单击菜单“开始”“设置”选项,打开“控制面板”窗口。单击“添加删除程序”图标。单击“从磁盘安装”按钮,在出现的对话框中,单击“浏览”按钮,选择Windows安装光盘上的“toolsreskitnetadmin Poledit”文件。图3.2 添加策略编辑器 选择“poledit inf”,屏幕上将出现“从磁盘安装”对话框,如图3.2所示。再选择“系统策略编辑器”,然后单击“安装”按钮,安装就开始了。安 装 完 成 后,用 户 就 可 以 在“附件”“系统工具”下找
7、到“系统策略编辑器”选项了。3.3.2 安全策略编辑器的配置 在系统策略编辑器的菜单中,单击“文件”“新建文件”选项。这时,在系统策略编辑窗口中出现了“默认用户”和“默认计算机”两个图标,如图3.3所示。图3.3 策略编辑器窗口 下面,通过它添加一个像Windows NT一样的管理员账号。1)添加新用户 单击菜单“编辑”“添加用户”,在弹出的对话框中输入“XIANG”(用户可以根据自己的需要填写)。单击“确定”按钮,将“XIANG”这个用户添加到系统策略编辑器中,如图3.4所示。单击菜单“文件”“保存”,以XIANGP01作为文件名将该文件保存到Windows所在目录的Config 子目录下。
8、图3.4 添加用户 接下来要使用系统策略编辑器制定系统策略了。2)定制系统策略 双击“默认用户”图标,弹出一个如图3.5所示的“默认用户 属性”对话框。在对话框中可以看到有许多选项设置,包括控制面板、网络、桌面等,用户可以对每一个选项进行设置。下面以“XIANG”这个用户为例,对它的属性进行设置。双击“XINAG”图标,弹出其属性对话框,显示出它的各项“策略”组。图3.5 默认用户属性对话框 钩选各项“策略”选项旁的复选框,可以限制或禁止与其相对应的各项功能的使用。最重要的是在“外壳”中选择“限制”,出现如图3.6所示的对话框。在图3.6中,选择“限制”下所有的选项,这样一来就限制了桌面上的一
9、切程序(注意:不要去选择“外壳”一“限制”下的“禁止关闭系统命令”选项,否则非法用户进入系统将无法用Windows 98关闭计算机系统,而只能关闭电源了)。重启计算机。以“XIANG”的用户名进入系统,就可以看到桌面上的程序和图标都没有了,入侵者除了“关机”就没有别的办法了。另 外,每 个 用 户 的 配 置 文 件 都 保 存 在Windows目录下profiles子目录下与用户同名的子目录中。例如:c:windows 为windows所在的目录,那么“XIANG”的个人配置文件都保存在c:windowsProfiles User子目录下的“XIANG”子目录中。图3.6 功能限制对话框 3
10、)防止非法用户的进入 对于Windows 98登录方式有两种非法用户,一种是以新用户名,然后单击“取消”按钮,登录进入系统,这时该用户使用的是默认用户权限;另一种是在网络上以匿名登录方式进入系统的用户。因此,就要对这两种用户的权限进行修改,使进入系统的非法用户禁止其“关闭系统”以外的所有其他权限。如果用户需要修改默认用户的权限,可以遵循下面的步骤:修改默认用户权限 在Windows 98所在目录的Profiles子目 录下新建一个空子目录(名字随便取)。双击“默认用户”,弹出“默认用户 属性”对话框,钩选“外壳”和“系统”下的“限制”选项中“禁用关闭系统命令”以外的所有复选框,如图3.7所示。
11、“外壳”下选择“自定义文件夹”,在所需指定路径的编辑框中,输入Profiles子目录下新建的子目录名(注意是全路径名)。单击菜单“文件”“保存”选项,将上述设置保存到策略文件中,再退出系统策略编辑器。图3.7 设置默认用户限制项目图3.8 设置自定义文件夹 修改匿名登录用户 在系统策略编辑器的窗口中双击“本地用户”图标,弹出“本地用户属性”窗口,对其进行与默认用户的权限相同的修改,然后单击“确定”按钮并返回系统策略编辑器。双击“默认计算机”图标,打开“默认计算机属性”对话框,钩选其“系统”中的“用户配置文件”选项。选中“网络”下“更新”策略组的“远程更新”选项,在“更新方式”下拉列表中选择“手
12、动“(使用特定路径)”选项,如图3.9所示。图3.9 设置更新选项 在“用于手动更新的路径“栏中输入文件config.pol所在位置的路径及文件名单击“确定”按钮,返回系统策略编辑器,单击菜单“文件”“保存”选项。退出系统策略编辑器,注销或重新启动计算机。3.4 Windows 98/ME安全配置 具体步骤如下:要设置的禁止匿名用户登录。选择“开始”“运行”,在弹出的窗口中运行regedit.exe,出现“注册表编辑”窗口,进入HKEY_LOCAI_MACHINENetworkLogon 中。现在在HKEY_LOCAI_MACHINENetworkLogon 中新建DWORD值,并命名为“Mu
13、stBeValidated”,双击该键值将其值设置为“1”。设置用户的个性化菜单的选项。启动“开始”“设置”“控制面板”,在控制面板中,单击“密码”“密码属性”窗口用户配置文件,选择“用户可自定义首选项及桌面设置”。设置登录提示信息。在HKEY_LOCAL_MACHINE SoftwareMicrosoftwindowsCurrentVersionWinlogon中新建两个字符串值,一个命名为“Legalnoticecaption”,另外一个命名为“Legalnoticetext”,并分别赋值为“XX专用计 算机”和“请勿非法使用!”(这两个赋值可以自定)。注意,在进行上面几个步骤以前,启动“
14、开始”“设置”“控制面板”,在控制面板中,单击“用户”按钮,设置可以登录本机的授权用户。当完成了上面这3个步骤之后,当其他人登录的时候就必须输入密码才能登录,按Esc也不能进入Windows 98了。按照上面的方法,完成了初步加密。虽然在每次登录的时候都需要密码,但是上次登录的用户名却出现在登录对话框中,这样就为对方猜中密码提供了方便。让 Windows 98在登录的时候不显示上次登录的 用 户 名,其 方 法 是:在 注 册 表 的HKEY_LOCAL_MACHINESoftwareMicrosoftWindows98CurrentVersionWinlogon下新 建 一 个 D W O
15、R D 值,并 命 名 为“DontDisplayLastUserName”项,双击它,并赋值为“1”。这样,在登录对话框中就不会出现上次登录的用户名称了。从上面的操作过程来看,所有的限制都是通过修改注册表来完成的。而如果别人也知道同样的修改方法,那么他也可以利用修改注册表的方法达到侵入的目的,所以限制用户使用注册表编辑器便放在了安全 之首。限制用户修改注册表的方法是:在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem中新建DWORD值,使Disableregistrytools值为“l”,这样除了自己以外,其他用户是无法修改注册表的。3.5 Windows 98/ME安全漏洞及防护 3.5.1 利用Windows能够自动收集用户的信息 3.5.2 Windows 9x的蓝屏问题 3.5.3 请求访问系统上包含一些设备名的非法路径
