安全配置Windows98公用系統

　　對於公用的WIN98系統來說，系統和文件的安全十分重要，但我們都知道Windows98系統的安全性較差。如何才能保證是每個用戶特別是公用電腦的用戶非常關心的問題。下面就談談本人在這方面的經驗。　　　　一、設置用戶權限　　　　對不同的用戶設置不同的使用權限，限制一些用戶對系統文件的修改權，將大大地提高系統的安全性。其具體步驟如下（這裡以設立“管理員”和“用戶”兩個級別）：　　　　1、選擇【控制面板】→【密碼】→【用戶配置文件】選擇“用戶可自定義首選項及桌面設置。登錄時，Windows自動啟用個人設置（C）”選項。單擊“確定”按鈕，按屏幕提示設置“管理員”用戶及密碼,在此我想向大家提一個問題，你會使用密碼嗎？一般用戶為了自己的方便，均選擇了一些便於自己記憶的密碼，但你是否知道這樣在為你提供方便的同時，也為那些不壞好意的人也提供了方便呢？更有甚者，現在市面上有一些軟件還能幫助這些人測試出你的密碼。因此，你一定要記住：純數字的密碼、長時間不變的密碼、使用和你個人信息相關的密碼（如生日等）、多個系統或資源公用一個密碼都不能確保你數據的安全。　　　　2、重新啟動計算機後，以“管理員”身份進入WIN98。選擇【控制面板】→【用戶】，按向導提示，設置用戶及密碼。此時要根據需要設置“用戶”級別所需項目。　　　　二、防止非法用戶進入　　　　為防止非法用戶已系統默認配置進入WIN98，可采用以下措施：運行“REGEDIT”打開注冊表，在\HKEY_USER\.Default\Software\Micorosoft\Windows\CurrentVersion\Run中創建新“字符串值”串值名為“用戶非法，退出”。編輯字符串值為“rundll.exe user.exe, EXITWINDOWS"。這樣，，當非法用戶試圖進入你的WIN98系統時計算機便會自動關機。　　　　為了防止非法用戶按F8鍵調出WIN98的啟動菜單以安全方式進入系統我們還需編輯MSDOS.SYS文件。在該文件的[option]小節中加入如下幾行：　　“BootMulti=0”：設置系統不能進行多重引導；“BootGUI=1”：在啟動時直接進入WIN98圖形用戶界面；“BootDelay=0”：設置在啟動時“Staring Windows 98……”信息停留的時間為0秒；“BootKeys=0”：設置在啟動過程中F4、F5、F6、F8功能鍵失效。　　　　三、限制“用戶”級別　　　　用戶在該分支下新建一個的使用權限用“用戶”身份進入WIN98系統，此時你可以通過修改文件注冊表根據需要限制“用戶”級用戶地使用權限。　　　　1、隱藏“開始”菜單的部分內容　　　　打開注冊表，在\HKEY_CURRENT_USER\Software\Micorsoft\Windows\Current Version\Policies\Explorer中新建一個DWORD值“NoSetFolders”，鍵值為“1”。這樣，用戶便不能使用“控制面板”並不能使用“設置”中的“打印機”。　　　　在該分支下新建一個DWORD值“NoSetTaskbar”,鍵值為“1”，則“任務欄屬性”功能被禁止。　　　　在該分支下新建一個DWORD值“NoFind”，鍵值為“1”，則“查找”功能被禁止。　　　　在該分支下新建一個二進制值“NoRun”，鍵值為“0x00000001”，則“運行”菜單項被關閉。　　　　2、禁用“活動桌面”　　　　在關閉了“控制面板”和“打印機”功能後，普通用戶可以通過“活動桌面”更改“顯示屬性，因此要關閉”活動桌面，在“\HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Policies\System中新建DWORD值“NoDispCPL”鍵值為“1”。這樣“活動桌面”也被禁用。　　　　3、隱藏桌面上所有圖標　　　　在\HKEY_CURRENT_USER\Software\Micorsoft\Windows\CurrentVersion\Policies\Exp lorer中新建DOWRD值“NoDesktop”，鍵值為“1”，重新啟動計算機後，普通用戶桌面上的圖標將全部被隱藏。　　　　4、禁用注冊表編輯器　　　　為了防止普通用戶使用注冊表，我們可以用如下的方法禁止普通用戶使用注冊表：　　在\HKEY_CURRENT_USER\Software\Micorsoft\Windows\CurrentVersion\Policies\System中新建DWORD值“DisableRegistryTools”，鍵值為“1”。　　　　5、隱藏驅動器　　　　為了重要文件的安全性，可以將一個驅動器隱藏起來，其具體步驟如下：　　在\HKEY_CURRENT_USER\Software\Micorsoft\Windows\CurrentVersion\Policies\Expl orer中新建一個二進制值“NoDrives”，其缺省值為00000000，表示不隱藏任何驅動器，該值由四個字節組成，每個字節的第一位對應從A：到Z：的一個盤，，即01為A，02為B，04為C……。例如：要隱藏C盤，鍵值為04000000；隱藏D盤，鍵值為0800000；隱藏所有驅動器為ff ff ff ff。　　　　6、禁用MS DOS方式　　　　隱藏了驅動器後，普通用戶還可以通過MS DOS方式進入任何驅動器，為了限制用戶進入，可關閉MS DOS功能：　　在HKEY_CURRENT_USER\Software\Micorsoft\Windows\CurrentVersion\Policies中新建“WinOldApp”主鍵，在其下新建一個DOWRD值“Disabled”，鍵值為“1”。　　　　7、隱藏口令文件　　　　在WIN98系統中，用戶設置的口令都被以PWL形式存放於Window子目錄中，普通用戶可方便地找到，你設置的口令文件，並將起刪除。這樣，他便能順利地以管理員身份進入系統。為此，你有必要將口令文件隱藏起來。在System.ini文件中的[Password Lists]中將存放口令文件的存放位置改到你隱藏的驅動器下的目錄中。這樣，普通用戶便無法找到口令文件，也無法將它刪除了。　　　　8、禁止光盤的自動運行功能　　　　為屏幕保護設置了密碼後，你是否就認為萬無一失了嗎？不！光盤的自動運行功能會給我們帶來麻煩。眾所周知，Windows98具有自動運行光盤的功能，當我們在光驅中插入CD之後，CD會自動進行播放，而當我們插入根目錄中帶有AUTORUN.INF文件的光盤後，光盤也會自動運行。WINDOWS98的屏幕保護功能並沒有禁止光盤的自動運行功能，也就是說即使處於屏幕保護程序密碼控制之下，用戶在插入一個根目錄中含有AUTORUN.INF文件的光盤之後，系統仍會自動運行，這就給惡意攻擊者帶來了可剩之機，目前市面上出現了一種專門用於破解屏幕保護程序的自動運行光盤，為此我們必須關閉系統的光盤自動運行功能。有兩中方法可以關閉光驅的AUTORUN功能： 　　　　選擇【我的電腦】→【屬性】打開“系統屬性”單擊“設備管理器”標簽；展開“CDROM”分支，從中選擇用戶所用光驅。單擊“屬性”按鈕，打開光驅屬性設置框，單擊“屬性”標簽，取消“自動插入功能”，連續單擊兩次“確定”按鈕。這一方法可有效的禁止光盤的AUTORUN功能，但它將CD的自動播放功能也禁止了。　　　　第二種方法是：打開注冊表在\HKEY_CURRENT_USER\Software\Micorsoft\Windows\ CurrentVersion\Policies\Explorer，創建一個DWORD值“NoDriveTypeAutoRun”鍵值為“1”。　　　　這樣光盤的自動運行功能將被禁止，插入根目錄中含有AUTORUN.INF文件的光盤後將不會發生任何作用，而CD的自動播放功能將不受影響。　　　　經過上面的設置，你WIN98系統的安全性將大大提高，你不必再擔心非法用戶的進入，也不用擔心普通用戶誤操作毀壞你的系統了，你要做的就是牢記你的密碼。　　　　最後，再談談用戶設置的刪除問題。在你不再需要用戶設置時該怎麼辦呢？首先，“控制面板”“用戶”中選中用戶設置，單擊“刪除”鍵，刪除用戶。再在注冊表\HKEY_LOCAL_MACHINE中將Network主鍵刪除，在\HKEY_CURRENT_USER\Software\ Micorsoft\Windows\CurrentVersion中將ProfileList主鍵刪除。重新啟動計算機，在進入WIN98的“輸入Windows密碼”提示框，在用戶欄輸入用戶名，但一定不要輸入密碼，單擊“確定”。則將用戶設置刪除了，以後啟動時將不再出現“輸入Windows密碼”的提示框了。　　　　四、禁止采用軟盤及光盤啟動計算機　　　　很顯然，非法用戶若能以軟盤及光盤啟動計算機，那他就可以隨意在DOS狀態下對系統進行攻擊，因此我們必須關閉軟盤及光盤的啟動功能。為此，我們必須重新啟動計算機，並在系統自檢時進入系統的CMOS設置功能，然後將系統的啟動選項設置為“C only”（即僅允許從C盤啟動），並同時為COMS設置必要的密碼。