利用Windows 95的系统工具实现系统安全
那么如何实现多人共享,且每个人有自己的口令。口令输入如果不正确,就只有退出而不能进行其它操作呢?下面就介绍一下如何实现上述功能。
要实现上述功能就需要为每个用户建立Windows 95用户配置文件(User Profile)。Windows 95的配置文件包含了每个用户自己的配置参数和可选信息。用户配置文件包括了Windows 95注册表中Hkey-Current-User段中的所有信息。包括有:
●控制面板的参数和设置信息。如桌面、背景、字体、颜色、快捷方式及开始菜单等。
●网络连接信息、网上邻居查找结果、打印机端口信息。
●应用软件注册信息。
每个用户相应地在Windows 95目录下的Profiles目录里都有一个子目录,子目录又包含了以下内容:
●一个USER.DAT文件。是注册表中关于用户配置的信息。
●一个USER.DA0文件。是USER.DAT的备份文件。
●一个桌面目录(Desktop folder)。包含了桌面上的各个图标的快捷键。
●一个文件目录(Recent folder)。包含了开始菜单中文档中的内容。
●一个开始菜单目录(Start Menu folder)。包含了开始菜单中的各个子菜单。
●一个在开始菜单目录下的程序目录(Programs folder)。
当用户配置文件状态是“允许”的时候,用户每次登录的时候Windows 95就会根据配置文件的信息来定制桌面、开始菜单等内容。所有网络安全的实现手段就是令每个合法的用户有各自的配置文件。配置文件是由Windows 95的策略编辑器(Policy editor)来作这项工作的。策略编辑器可以:
●限制对控制面板中的某些选项的操作;
●设置桌面的部分选项;
●配置网络参数。
系统策略编辑器设定的策略存放在Config.pol文件中,当用户登录的时候会在读取缺省的USER.DAT和SYSTEM.DAT后再读取策略文件。根据该文件来确定用户最后的桌面及程序菜单。下面介绍详细的配置过程。
#3 1.安装系统策略编辑器
系统策略编辑器只有光盘版的Windows 95中有,文件名为Poledit.exe。用Windows 95的查找功能找到后在Poledit.inf文件上单击鼠标右键,选择安装即可。如果是配置工作组策略,则再找到Grouuppol.inf并安装上。
#3 2.打开用户配置文件
打开控制面板,选择口令,然后选择用户配置文件,再选中子定义桌面和系统,另外底下的两个选项也要选中。进入Windows 95目录下的\inf目录,把Admin.adm文件拷到这个目录下,然后重新启动机器。
#3 3.生成超级用户策略
这次登录的时候用一个超级用户的用户名登录。如果系统询问是否保存配置信息,回答“是”。启动Poledit.exe。用“文件”中的“新建文件”生成一个新策略文件。这个策略文件中有一个缺省用户和一个缺省机器。然后用添加命令加入几个用户,至少有一个是超级用户的名字。
双击缺省用户打开一个窗口,单击“外壳”,再单击其下的“限制”修改“退出时不保存设置”为选中(打√),修改“禁用”‘关闭系统’命令不选。如果选择框暗淡表示不考虑此项。然后将它存盘为Windows目录下的Config.pol文件。
#3 4.生成普通用户策略
接下来可以对普通用户的各项权限进行检查,以确保权限的正确性。根据上文所述的用户配置文件含义。在各个用户的策略里选中“外壳”中的“自定义文件夹”,然后把每一项路径中都输入正确的值。
#3 5.启动策略配置
用户配置完成后,双击“默认计算机”,选中“网络”中的“更新”中的“远程更新”,调整“更新方式”为“手动更新”,在“用于更新的路径”中输入完整的Config.pol文件的路径。
至此,重新启动机器的话应该能够如愿以偿了,每个合法用户的口令控制着这个用户的桌面、菜单和权限。不过还有一点,就是篇首所提到的:非法用户只要在启动时按ESC键或“取消”则照样进入了系统?!所以最后的工作是:
#3 6.令非法用户无法使用机器
由于Windows 95对于任何一个新的用户名总认为是合法的,所以无法阻止非法用户登录。根据上文分析,我们可以让非法用户进入机器后除了退出什么也做不成。
首先用资源管理器在Windows 95目录下创建一个空目录,里面什么都没有。然后用策略编辑器把缺省用户的自定义文件夹中的所有路径均改为这个缺省空的路径,此外还要对缺省用户作尽量大的限制,包括“删除‘运行’命令”、“删除‘查找’命令”、“隐藏‘我的电脑’等等。策略编辑器编辑完后再用资源管理器把Windows 95目录下的\startmenu、\desktop等目录全部清空。至此达到目的。