Windows 2000的系统安全设置
#1 操作人员的设置
Windows 95/98系统是一个多用户操作系统,但它在用户管理方面却非常混乱,非法入侵者甚至可以在启动时通过密码确认对话框直接添加新用户,这给我们控制系统带来了很大不便,不过Windows 2000对此进行了改进,它提供了用户名的选择性登录功能,我们可事先将所有用户全部添加在系统中,然后由系统在启动时将这些用户列表显示出来,不同用户从中选择自己的用户名并输入相应的密码之后即可以自己的名义启动系统,而非法用户则无法通过密码确认直接创建新用户,他们只能通过单击“取消”按钮或按ESC键进入系统.我们可以据此分别对他们的权限进行限制。
#1 对超级用户权限的设置
对超级用户而言,其操作权限一般不用做太多限制,不过仍须对屏幕保护等功能设置必要的密码,以维护自己离机时系统的安全。
#2 1.屏幕保护密码
通过在桌面右击鼠标,进入“属性→显示属性→屏幕保护程序选项卡→密码保护”进行密码设置。运行屏幕保护,除了设置时间外,还可以在桌面上建立它的快捷方式(找到“WINDOWS\SYSTEM”目录下的.scr文件即可),还可以让它启动后自动运行(通过“启动”组实现并不安全)。
⑴启动注册表编辑器regedit;
⑵展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分支;
⑶在Run主键中新建一个名为“密码确认”的字符串值;
⑷双击新建的“密码确认”的字符串,打开“编辑字符串”对话框;
⑸在“编辑字符串”对话框的“键值”栏中输入相应的屏保程序名及所在路径。
通过这样的设置每次启动系统时屏保都会自动运行,按Ctrl键试图跳过和按“Ctrl+Alt+Del”试图关闭都无能为力,从而确保系统安全。
#2 2.禁止光盘的自动运行功能
Windows 2000的光盘的自动运行功能也是系统安全的隐患,光盘中只要存在autorun.inf文件,则系统会自动试图执行文件中[open]字段后的文件路径(市场上已经出现了破解屏保密码的光盘,如果不禁止光盘的自动运行功能,以上所做的设置都将是白费),步骤为:
⑴展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer子键分支;
⑵在Explorer主键中新建DWORD值NoDriveTypeAutoRun,改值为1。
#1 对普通用户权限的设置
对普通用户,我们一方面应根据工作需要赋予他们适当的权限,如启动计算机,打开相应的应用程序对自己的数据文件进行拷贝、删除与操作,以保证工作的正常开展;另一方面,为了防止他们对系统进行修改而破坏整个系统,必须对他们的权限进行必要的限制.对普通用户的权限进行限制的措施主要包括以下几项:
#2 1.删除“开始”菜单中有关命令和项目
(1)对“开始”菜单中“收藏夹”选项的操作步骤如下:
①启动注册表编辑器regedit;
②展开HKEY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer分支;
③在Explorer下新建一个名为NoFavoritesMenu的DWORD值,将值改为1,则“开始”菜单中“收藏夹”选项就会消失。
(2)对“开始”菜单中“文档”选项的操作步骤如下:
利用上述方法在Explorer主键下新建NoRecentDocsHistory的DWORD值,将值改为1,则文档中的内容不能被修改。
在Explorer主键下新建ClearRecentDocsOnExit的DWORD值,将值改为1,则每次退出系统时,将自动清除文档中的历史记录。
在Explorer主键下新建NoRecentDocsMenu的二进制值,将值改为01 00 00 00,则文档菜单消失。
(3)和上面相似,在Explorer主键下新建不同的值可以达到相应的效果,对应如下(括号内为值的类型):
NoRun(DWORD)=1→“运行”选项消失
NoSetFolders(二进制)=01 00 00 00→“设置”选项消失NoSetTaskbar(二进制)=01 00 00 00→禁止设置“任务栏”属性NoFind(DWORD)=1→“查找”选项消失NoClose(DWORD)=1→“关闭系统”选项消失NoLogOff(二进制)=01 00 00 00→“注销”选项消失NoSaveSettings(二进制)=01 00 00 00→退出系统时不保存用户对环境所做的设置NoSetFolders(DWORD)=1→“设置”菜单中“控制面板”和“打印机”选项消失。
#2 2.删除“网上邻居”等系统图标
基于某些特殊需要,我们可能需要禁止普通用户使用桌面上的图标而又无法采用常规方式删除,为此,可采用如下方式:
①展开HKEY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Desktop\NameSpace分支;
②此时我们可以从NameSpace主键中看到“网上邻居”、“我的文档”、“回收站”等分支,只须删除这些分支即可。
#2 3.在图形界面下隐藏某个驱动器图标
为防止普通用户无意之中的破坏,我们可能希望将保存系统文件的磁盘分区以及光驱、软驱隐藏起来,不允许他们对这些磁盘分区进行访问,为此我们可以进行如下设置:
①展开HKEY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer分支;
②新建二进制值NoDrives,该二进制值就是用于设置是否隐藏某个驱动器的,它由4个二进制字节构成,每个字节的每一位都分别对应一个磁盘驱动器盘符,当某位为1时,资源管理器及我的电脑中的相应驱动器图标即会隐藏起来.驱动器的值是这样确定的,A~Z的值依次为2的0~25次方,把要禁止的驱动器的值相加,转换成十六进制就是NoDrives的键值,如要禁止A、D、E则值为1+8+16=25,转换成十六进制为19,修改NoDrives的键值为19 00 00 00即可。
#2 4.禁止使用MS-DOS方式
采用上述方法隐藏某个磁盘分区的作用仅限于图形界面,但在字符界面如MS-DOS方式无效,因此我们必须采用适当的方法禁止普通用户使用MS-DOS方式。方法为:
①展开HKEY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies分支;
②在Policies主键下新建一个名为WinOldApp的主键,在WinOldApp主键下新建一个名为Disabled的DWORD值,改值为1(这项用于禁止用户进入Windows 2000的MS-DOS方式)。
③在WinOldApp主键下新建一个名为NoRealMode的DWORD值,将值改为1(这项用于禁止用户在关闭系统时选择切换至MS-DOS方式)。
#2 5.禁止使用控制面板中的特殊功能
前面我们介绍了通过“NoSetFolders”二进制值可禁止“开始”中的“设置”选项,不过有时我们并不希望关闭“控制面板”,而只是希望禁止普通用户使用其中的部分功能,我们可以利用Windows 2000目录下的CONTROL.INI文件达到目的。
打开CONTROL.INI,在[don’t load]小节中加上“*.CPL=NO”命令,则相应的系统控制项目就会从“控制面板”中消失。如加上“SYSDM.CPL=NO”则“系统”项目就会消失,有关CPL文件与控制面板中项目的对应关系如下:
ACCESS.CPL→辅助选项
APPWIZ.CPL→添加/删除应用程序
DESK.CPL→显示器
INETCPL.CPL→Internet属性
INTL.CPL→区域
JOY.CPL→游戏控制器
MAIN.CPL→鼠标、打印机、键盘、输入法、字体
MMSYS.CPL→多媒体、声音
MODEM.CPL→调制解调器
NETCPL.CPL→网络
PASSWORD.CPL→密码
POWERCFG.CPL→电源管理
STICPL.CPL→扫描仪与数码相机
SYSDM.CPL→系统、添加新硬件
TIMEDA TE.CPL→日期时间
ODBCCP32.CPL→ODBC数据源管理器
TELEPHON.CPL→电话
THEMES.CPL→桌面主题
MLCFG32.CPL→电子邮件
FINDFA ST.CPL→文件检索
TOGMOUSE.CPL→Toggle MOUSE
TWEA KUI.CPL→TWEAK UI设置软件
注:如加上“.CPL=NO”则隐藏“控制面板”中所有项目。
经上述设置后“控制面板”中的相应项目就不会出现,不过,只要上述文件还存在于计算机中,我们仍然可以运行,如系统托盘中的时间、声音等,我们可通过注册表修改来达到禁用。方法为:
展开HKEY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System分支;在System主键下新建名为NoVirt MenuPage的DWORD值,改值为1,则“控制面板/系统”中“虚拟内存”选项卡失效;
和上面相似,在System主键下新建不同的值可以达到相应的效果,对应如下(括号内为值的类型):
NoFile SysPage(DWORD)=1→“系统”中“文件系统”选项卡失效
NoConfig Page(DWORD)=1→“系统”中“硬件配置文件”选项卡失效
NoDev MgrPage(DWORD)=1→“系统”中“设备管理”选项卡失效
NoDisp Background Page(DWORD)=1→“显示”中“背景”选项卡失效
NoDisp Scrsav Page(DWORD)=1→“显示”中“屏保”选项卡失效
NoDisp Appearance Page(DWORD)=1→“显示”中“外观”选项卡失效
NoDisp Settings Page(DWORD)=1→“显示”中“设置、外观、Web页”选项卡失效
NoDispCPL(DWORD)=1→“显示”设置项将被禁止
#2 6.删除“自建”子菜单中的命令
一般来说,单击鼠标右键都会从弹出的快捷菜单发现一个“新建”子菜单,不过有时为了安全起见,我们可能需要删除普通用户“新建”子菜单中的某些新建命令,对此可采用:
①展开HKEY_CLASSES_ROOT主键;
②在HKEY_CLASSES_ROOT主键下找到要删除的新建文件类型的次级主键(如“.zip”次级主键);
③展开该次级主键下的“ShellNew”分支,将ShellNew分支下除“默认”项外的所有键值全部删除。
#2 7.清除“运行”等对话框中的历史记录
①展开HKEY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer分支;
②该主键的RunMru分支用于显示“运行”的历史记录;
③该主键的DocFindSpecMRU分支用于显示“查找”的历史记录;
④HKEY_LOCAL_USER\Network\Recent分支;
⑤Recent主键用于显示“文档”的历史记录。
#2 8.禁止使用注册表编辑器
我们在上述所做的一切工作都是基于注册表修改的,倘若用户非常熟悉注册表的构成,那么他们完全可以通过修改它来恢复被隐藏的项目,所以一定要在完成上述修改工作后把注册表禁用。方法为:
展开HKEY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System分支;在System主键下新建一个名为DisableRegistryTools的DWORD值,改值为1。经过上述步骤后,我们就达到了对相应普通用户的权限进行设置的目的,重复上述操作,可对所有普通用户的权限逐一进行设置,设置完毕后我们应将不同用户的开机密码、电源管理、屏幕保护等初始密码分别告知,并指导他们用“控制面板”中的“密码”设置进行修改。
#1 对非法用户的权限进行限制
对于他们的权限,我们实施最大限度的限制,最好是让他们什么也做不成!为此,我们可重新启动计算机,并在系统弹出用户名登录框时按下ESC,以非法用户身份进入系统,然后进行设置。
#2 1.隐藏桌面所有图标
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer子键分支;在Explorer主键下新建Nodesktop的DWORD值,将值改为1。
#2 2.删除“开始”菜单中所有命令
#2 3.禁止使用任何程序
有了前面的两项限制措施,我们即可达到对一般非法入侵者进行控制的目的.不过对那些高级别的入侵者,上面两项控制是远远不够的,他们仍可通过种种方式对系统进行破坏。而真正彻底的控制则是不允许运行任何程序。方法为:
①展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer子键分支;
②在Explorer主键下新建RestrctRun的DWORD值,将值改为1。
不过你也可以发一下善心,给他几个Windows 2000自带的游戏玩一玩,方法为:
在Explorer主键下新建名为RestrctRun的主键,在其下分别新建名为1、2、3、4的字符串值,将值分别改为MSHEARTS.EXE、FREECELL.EXE、WINMINE.EXE、SOL.EXE(只需程序名,无需路径),则系统只能运行网上红心大战、空当接龙、扫雷、纸牌.无法执行其它任何程序。
#1 关键性的系统控制措施
看完前面的介绍,有些读者可能认为系统已经万无一失了,不过事实并非如此,还有很多“后门”可以为入侵者提供方便,如软盘启动网络及电子邮件等,我们必须将后门一一关闭(注:这些功能的关闭将对所有用户起到限制作用)。
1.禁止采用软盘及光盘启动计算机。即CMOS设置为C only;
2.防治网络及电子邮件入侵。
随着网络的流行,各种黑客程序也越来越多,非法入侵者完全可以通过网络的形式在你的计算机中安上一个“后门”,然后入侵系统,这就需要使用专门的杀毒软件及防火墙软件来保护系统。
至此,我们对Windows 2000的系统设置完毕,这可以使广大的新接触Windows 2000的用户有一个更安全的操作环境。也给有经验的网管一个方便管理的环境。