善做Win9X的超级用户
尽管号称具有用户级安全管理能力的Windows 2000(Win2K)已经有了第一个升级包(SP1),然而,慑于Win2K较高的硬件要求以及对Win9X应用程序较差的兼容性,所以到目前为止,仍然有大量的用户在使用Windows 95/98,在这些用户中不乏有许多人想成为“超级用户”。由于Win9X本身的局限,使得使用这个操作系统的用户都要面对其脆弱的安全管理。虽然Win9X提供了多用户界面的功能,使每个用户都可以拥有与众不同的桌面环境,但这个功能对系统安全管理并没有实际意义,因为只要进入Windows目录下的Profile子目录,就能对其他用户的设置进行修改,甚至您还可以在控制面板中删除用户,这是任何了解这个系统的用户都可以做到的。微软公司也意识到了这一点,因此,在Win9X安装光盘中放置了一个系统策略编辑器(见图1),以此为高级用户提供一个可定制的系统策略。这个工具在Windows缺省的安装中没有提供,您可以在控制面板的“添加删除程序”项中安装这一工具(路径为:F:\tools\reskit\netadmin\poledit\。注:“F:”为光盘驱动器盘符,在您的计算机中可能不同)。我们可以从这个工具开始,让自己成为Windows 9X的“超级用户”,独自拥有对计算机的控制权。
图1 系统策略编辑器主界面。
什么是超级用户
我们常说的“超级用户”是指具有文件权限控制的网络操作系统的系统管理员,比如Unix、Linux的“root”用户和Windows NT或Win2K的“Admin”用户,它能控制计算机的一切。从这个意义上讲,您在Windows 9x系统安装完成后就已经成为它的“超级用户”了——您可以访问系统中可见的一切资源,使用所有已知的功能。然而,在您对系统采取有效的安全措施之前,您的计算机上的所有用户都是“超级用户”,他们拥有同您一样的控制计算机的权利。这也许是您不希望看到的,谁都是超级用户,就没有超级用户了。
系统安全的关键
Windows系统有几个至关重要的安全要素
1.控制面板
这是Windows系统的安全大门。在这里您可以对计算机硬件进行设置、修改和安装;对文件系统和图形系统进行设置、修改;对用户进行管理;进行网络设置等。只有对控制面板拥有独占控制权后,您才能成为一个超级用户。
2.注册表
这是系统的灵魂。对它进行的任何修改都将影响系统的工作,实际上,系统的安全管理都可以通过修改它来完成。如此重要的东西,您会让它被别人控制吗?
3.系统文件
非授权用户不应该拥有对系统文件访问的权利,系统文件丢失或损害就会使系统运行出现故障。
4.桌面
桌面是用户对计算机进行操作的一个界面。一个安全的系统,其非超级用户的桌面上不应当出现可能危及系统安全的因素,如“开始”菜单、“我的电脑”中的“控制面板”文件夹及“系统工具”中的“系统信息”菜单等。
5.对系统安全有危害的程序
当然包括病毒,以及那些可以用MS-DOS方式运行的、可以直接对磁盘进行操作的工具程序,如PCTool,NC等,它们可以改变文件系统。
必要的准备工作
您已经打算实施“超级用户”行动了,但不要忘记,在行动之前您还要做一些必要的工作。首先,您应该对CMOS参数进行设置,将电脑的启动设置为“c:only”(只允许从硬盘启动),并设置密码,以禁止其他用户使用软盘驱动器启动计算机、删除或修改系统文件。做完这个设置并重新启动系统,这时应该首先备份系统注册表。要知道,您接下来的行动是对系统进行“大手术”,稍有不慎,您就可能连系统都启动不了。一旦这种状况不幸发生了,您还可以使用备份还原注册表,恢复系统原貌,所以,这一步至关重要。当然,如果您还有一些其他的重要数据,您也可以在这个时候备份。如果您的硬盘够大,您甚至还可以用诺顿的Ghost做个系统分区的克隆,这样就万无一失了。
开始行动
要掌管这台电脑,您只需要一个超级用户,那就是您。另一个是系统的缺省用户,它将受到您的严格限制,其他人都将只能通过这个用户界面使用这台计算机。
1.打开“控制面板”,看看您这台电脑的用户情况,删除用户列表中的所有用户,再用您喜欢的名称添加一个新用户,设置好密码并做些用户个性化设置。最后,重新启动系统,您就可以用刚添加的新用户名称登录这台电脑了。到处看看,这台计算机所有的资源都向您开放了嘛(这么快就成为超级用户了,谁不会做,还用您来讲)!别着急,要做的事情还多着呢。
本篇文章共4页,此页为首页 下一页
现在打开“开始”菜单,将您的用户注销,重新启动系统,在系统登录对话框出现后,点击“取消”,进入Windows的缺省桌面。瞧吧,它也是超级用户!这可不好,我可是只希望小张只能用这台电脑打打文件(最多允许他听听MP3而已)。那就接着干吧!您只要将Windows缺省用户控制计算机的能力进行最大程度的限制,您的目的就达到了。
2.在Windows的缺省桌面中安装系统策略编辑器,安装好后,运行它,您的“超级用户”之路才真正开始。点击这个程序“文件”菜单下的“打开注册表”选项,然后选中窗口中的“本地计算机”(见图2),开始系统策略编辑。
图2 打开注册表后的策略编辑器窗口。
“本地计算机”的系统策略只有“网络”和“系统”两大项,如果您的电脑还未联入局域网,您要做的就是勾选“系统”下的“启用用户配置文件”,按“确定”按钮后返回程序窗口(其他可以暂时不管),以保证系统能按照您制定的安全策略重新布置桌面环境。接下来选中“本地用户”(即Windows的缺省用户,以后的操作都是针对这个用户的),在“本地用户”的属性中有“控制面板”、“desktop”、“外壳”、“网络”和“系统“五大项,对它们一一进行设置,勾选您希望予以限制的项目(见图3)。
图3 当前用户系统策略编辑窗口。
控制面板(文中重点)
在这个大项中,您可以控制是否在当前用户的控制面板中出现“显示器”、“网络”、“口令”、“打印机”、“系统”5个控制项目,建议您除了“打印机”选项外,全部予以限制。这样,当前用户就不能够通过控制面板访问显示器、网络、系统的属性了,也不能更改密码及用户设置。
计算机教程善做Win9X的超级用户来自www.itwen.comIT WEN计算机教程网
Desktop(文中重点)
这个项目是关于桌面墙纸及配色方案的,可以不用管它。
外壳(文中重点)
这个项目很重要,是关于文件夹设置及限制方面的内容。在“自定义文件夹”中包括“开始菜单”、“桌面图标”及开始菜单中的“程序”文件夹等方面内容,都可以不选。如果您要求很苛刻,可以在这里隐藏“开始菜单”,只允许用户访问桌面上的项目(当然,您应当预先将允许其他人访问的程序快捷方式放到Windows缺省桌面上)。您要认真对待的是在“限制”项下面的各选项(见图4),在这里,您应该选中“删除‘运行’命令”、“从‘开始’菜单的‘设置’中删除文件夹”、“从‘开始’菜单的‘设置’中删除任务栏”、“删除‘查找’命令”,以保证其他用户不能通过“运行”和“查找”功能运行未经您许可的程序,并隐藏“开始”菜单中的“设置”文件夹,以保证用户不能设置任务栏和开始菜单。
图4 对系统外壳进行限制。
注意:请不要在这个时候选中“在‘我的电脑’中隐藏驱动器”,否则在系统策略生效后,您将不能在Windows的缺省桌面中访问驱动器资源了,许多后期的设置工作将无法开展,建议您在所有的设置都完成后,再选中这一项。
网络(文中重点)
是关于文件及打印共享控制的,可以不用限制。如果不太放心,您可以限制文件共享(对单机环境来说,这没有实际的意义)。
系统(文中重点)
在系统限制中,您应该选中“禁用MS-DOS方式”、“禁止运行单一模式的MS-DOS应用程序”,以禁止PCTOOLS等可以对磁盘进行直接操作的程序运行。建议您现在不选择“禁用注册表编辑工具”(请继续读下文,我们将提供另一个途径来达到这一目的)。如果您有足够的耐心,那么您可以在这里定制只允许其他用户运行的Windows程序。
现在,请仔细检查一遍您对系统所做的修改,看看还有什么忘记做了。一切确定无疑后,请单击“文件”菜单中的“保存”,以保存策略,系统重新启动后将读取这个策略文件,并按照策略要求,定制用户桌面。重启动后,分别以缺省用户和您自己的用户登录,看看发生了什么变化(见图5)。
本篇文章共4页,此页为第2 页 上一页 下一页
图5 定制后的缺省用户的开始菜单。
您已经尝到了“超级用户”的好滋味了,不过,离我们想像中的目标还有很大的差距。当然了,Microsoft的程序员们实在是太忙了(或者他们根本就不想让咱们随便更改他们千辛万苦修建起来的“窗口”),“策略编辑器”在禁止系统的功能上不会再帮我们什么忙了。我们得想想其他的办法了。
更进一步的修改
使用
