如何让我们的计算机更好、更安全地运行,是每一个用户都在思考的问题,我们将介绍如何利用Windows 2000自身的功能实现对系统的安全控制,希望对广大用户的数据安全有所帮助。
操作人员的设置Windows 95/98系统是一个多用户操作系统,但它在用户管理方面却非常混乱,非法入侵者甚至可以在启动时通过密码确认对话框直接添加新用户,这给我们控制系统带来了很大不便,不过Windows 2000对此进行了改进,它提供了用户名的选择性登录功能,我们可事先将所有用户全部添加在系统中,然后由系统在启动时将这些用户列表显示出来,不同用户从中选择自己的用户名并输入相应的密码之后即可以自己的名义启动系统,而非法用户则无法通过密码确认直接创建新用户,他们只能通过单击“取消”按钮或按ESC键进入系统。我们可以据此分别对他们的权限进行限制。
对超级用户权限的设置对超级用户而言,其操作权限一般不用做太多限制,不过仍须对屏幕保护等功能设置必要的密码,以维护自己离机时系统的安全。
1.屏幕保护密码
通过在桌面右击鼠标,进入“属性→显示属性→屏幕保护程序选项卡→密码保护”进行密码设置。运行屏幕保护,除了设置时间外,还可以在桌面上建立它的快捷方式(找到“WINDOWS\SYSTEM”目录下的.scr文件即可),还可以让它启动后自动运行(通过“启动”组实现并不安全)。
⑴启动注册表编辑器regedit;
⑵展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分支;
⑶在Run主键中新建一个名为“密码确认”的字符串值;
⑷双击新建的“密码确认”的字符串,打开“编辑字符串”对话框;
⑸在“编辑字符串”对话框的“键值”栏中输入相应的屏保程序名及所在路径。
通过这样的设置每次启动系统时屏保都会自动运行,按Ctrl键试图跳过和按“Ctrl+Alt+Del”试图关闭都无能为力,从而确保系统安全。
2.禁止光盘的自动运行功能
Windows 2000的光盘的自动运行功能也是系统安全的隐患,光盘中只要存在autorun.inf文件,则系统会自动试图执行文件中open字段后的文件路径(市场上已经出现了破解屏保密码的光盘,如果不禁止光盘的自动运行功能,以上所做的设置都将是白费),步骤为:
⑴展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer子键分支;
⑵在Explorer主键中新建DWORD值NoDriveTypeAutoRun,改值为1。
对普通用户权限的设置
对普通用户,我们一方面应根据工作需要赋予他们适当的权限,如启动计算机,打开相应的应用程序对自己的数据文件进行拷贝、删除与操作,以保证工作的正常开展;另一方面,为了防止他们对系统进行修改而破坏整个系统,必须对他们的权限进行必要的限制。对普通用户的权限进行限制的措施主要包括以下几项:
1.删除“开始”菜单中有关命令和项目
(1)对“开始”菜单中“收藏夹”选项的操作步骤如下:
①启动注册表编辑器regedit;
②展开HKEY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer分支;
③在Explorer下新建一个名为NoFavoritesMenu的DWORD值,将值改为1,则“开始”菜单中“收藏夹”选项就会消失。
(2)对“开始”菜单中“文档”选项的操作步骤如下:
利用上述方法在Explorer主键下新建NoRecentDocsHistory的DWORD值,将值改为1,则文档中的内容不能被修改。
在Explorer主键下新建ClearRecentDocsonExit的DWORD值,将值改为1,则每次退出系统时,将自动清除文档中的历史记录。
在Explorer主键下新建NoRecentDocsMenu的二进制值,将值改为01 00 00 00,则文档菜单消失。
(3)和上面相似,在Explorer主键下新建不同的值可以达到相应的效果,对应如下(括号内为值的类型):
NoRun(DWORD)=1→“运行”选项消失
NoSetFolders(二进制)=01 00 00 00→“设置”选项消失
NoSetTaskbar(二进制)=01 00 00 00→禁止设置“任务栏”属性
NoFind(DWORD)=1→“查找”选项消失
NoClose(DWORD)=1→“关闭系统”选项消失
NoLogOff(二进制)=01 00 00 00→“注销”选项消失
NoSaveSettings(二进制)=01 00 00 00→退出系统时不保存用户对环境所做的设置
NoSetFolders(DWORD)=1→“设置”菜单中“控制面板”和“打印机”选项消失
2.删除“网上邻居”等系统图标
基于某些特殊需要,我们可能需要禁止普通用户使用桌面上的图标而又无法采用常规方式删除,为此,可采用如下方式:
①展开HKEY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Desktop\NameSpace分支;
②此时我们可以从NameSpace主键中看到“网上邻居”、“我的文档”、“回收站”等分支,只须删除这些分支即可。
3.在图形界面下隐藏某个驱动器图标
为防止普通用户无意之中的破坏,我们可能希望将保存系统文件的磁盘分区以及光驱、软驱隐藏起来,不允许他们对这些磁盘分区进行访问,为此我们可以进行如下设置:
①展开HKEY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer分支;
②新建二进制值NoDrives,该二进制值就是用于设置是否隐藏某个驱动器的,它由4个二进制字节构成,每个字节的每一位都分别对应一个磁盘驱动器盘符,当某位为1时,资源管理器及我的电脑中的相应驱动器图标即会隐藏起来。驱动器的值是这样确定的,A~Z的值依次为2的0~25次方,把要禁止的驱动器的值相加,转换成十六进制就是NoDrives的键值,如要禁止A、D、E则值为1+8+16=25,转换成十六进制为19,修改NoDrives的键值为19 00 00 00即可。
4.禁止使用MS-DOS方式
采用上述方法隐藏某个磁盘分区的作用仅限于图形界面,但在字符界面如MS-DOS方式无效,因此我们必须采用适当的方法禁止普通用户使用MS-DOS方式。方法为:
①展开HKEY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies分支;
②在Policies主键下新建一个名为WinOldApp的主键,在WinOldApp主键下新建一个名为Disabled的DWORD值,改值为1(这项用于禁止用户进入Windows 2000的MS-DOS方式)。
③在WinOldApp主键下新建一个名为NoRealMode的DWORD值,将值改为1(这项用于禁止用户在关闭系统时选择切换至MS-DOS方式)。
5.禁止使用控制面板中的特殊功能
前面我们介绍了通过“NoSetFolders”二进制值可禁止“开始”中的“设置”选项,不过有时我们并不希望关闭“控制面板”,而只是希望禁止普通用户使用其中的部分功能,我们可以利用Windows 2000目录下的CONTROL.INI文件达到目的。
打开CONTROL.INI,在don’tload小节中加上“.CPL=NO”命令,则相应的系统控制项目就会从“控制面板”中消失。如加上“SYSDM.CPL=NO”则“系统”项目就会消失,有关CPL文件与控制面板中项目的对应关系如下:
ACCESS.CPL→辅助选项
APPWIZ.CPL→添加/删除应用程序
DESK.CPL→显示器
INETCPL.CPL→Internet属性
INTL.CPL→区域
JOY.CPL→游戏控制器
MAIN.CPL→鼠标、打印机、键盘、输入法、字体
MMSYS.CPL→多媒体、声音
MODEM.CPL→调制解调器
NETCPL.CPL→网络
PASSWORD.CPL→密码
POWERCFG.CPL→电源管理
STICPL.CPL→扫描仪与数码相机
SYSDM.CPL→系统、添加新硬件
TIMEDATE.CPL→日期时间
ODBCCP32.CPL→ODBC数据源管理器
TELEPHON.CPL→电话
THEMES.CPL→桌面主题
MLCFG32.CPL→电子邮件
FINDFAST.CPL→文件检索
TOGMOUSE.CPL→Toggle MOUSE
TWEAKUI.CPL→TWEAK UI设置软件
注:如加上“.CPL=NO”则隐藏“控制面板”中所有项目。
经上述设置后“控制面板”中的相应项目就不会出现,不过,只要上述文件还存在于计算机中,我们仍然可以运行,如系统托盘中的时间、声音等,我们可通过注册表修改来达到禁用。方法为:
展开HKEY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System分支;在System主键下新建名为NoVirt MenuPage的DWORD值,改值为1,则“控制面板/系统”中“虚拟内存”选项卡失效;
和上面相似,在System主键下新建不同的值可以达到相应的效果,对应如下(括号内为值的类型):
NoFile SysPage(DWORD)=1→“系统”中“文件系统”选项卡失效
NoConfig Page(DWORD)=1→“系统”中“硬件配置文件”选项卡失效
NoDev MgrPage(DWORD)=1→“系统”中“设备管理”选项卡失效
NoDisp Background Page(DWORD)=1→“显示”中“背景”选项卡失效
NoDisp Scrsav Page(DWORD)=1→“显示”中“屏保”选项卡失效
NoDisp Appearance Page(DWORD)=1→“显示”中“外观”选项卡失效
NoDisp Settings Page(DWORD)=1→“显示”中“设置、外观、Web页”选项卡失效
NoDispCPL(DWORD)=1→“显示”设置项将被禁止
6.删除“自建”子菜单中的命令
一般来说,单击鼠标右键都会从弹出的快捷菜单发现一个“新建”子菜单,不过有时为了安全起见,我们可能需要删除普通用户“新建”子菜单中的某些新建命令,对此可采用:
①展开HKEY_CLASSES_ROOT主键;
②在HKEY_CLASSES_ROOT主键下找到要删除的新建文件类型的次级主键(如“.zip”次级主键);
③展开该次级主键下的“ShellNew”分支,将ShellNew分支下除“默认”项外的所有键值全部删除。
7.清除“运行”等对话框中的历史记录
①展开HKEY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer分支;
②该主键的RunMru分支用于显示“运行”的历史记录;
③该主键的DocFindSp