第4章計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的安全性

4.1計(jì)算機(jī)系統(tǒng)的安全保護(hù)機(jī)制

4.2計(jì)算機(jī)系統(tǒng)的安全等級(jí)

4.3計(jì)算機(jī)的開機(jī)口令驗(yàn)證機(jī)制

4.4Windows95/98/ME的安全保護(hù)機(jī)制

4.5利用注冊(cè)表提高Windows95/98/ME的安全性

4.6Windows98系統(tǒng)安全策略編輯器

4.7Windows95/98/ME的缺陷和防范措施

4.8計(jì)算機(jī)文檔的保密問題

4.9本章小結(jié)

練習(xí)題

?計(jì)算機(jī)和網(wǎng)絡(luò)工作站是目前應(yīng)用最廣泛的設(shè)備，計(jì)

算機(jī)網(wǎng)絡(luò)的安全在很大程度上依賴于網(wǎng)絡(luò)終端和客

戶工作站的安全。目前的計(jì)算機(jī)系統(tǒng)安全級(jí)別特別

低，幾乎沒有進(jìn)行特別有力的防范措施。在未聯(lián)網(wǎng)

的單機(jī)時(shí)代，安全問題造成的損失較少，并未引起

人們的注意。處于網(wǎng)絡(luò)時(shí)代的今天，未加保護(hù)的計(jì)

算機(jī)系統(tǒng)聯(lián)入網(wǎng)絡(luò)，由于非法用戶的入侵、計(jì)算機(jī)

數(shù)據(jù)的破壞和泄密，將會(huì)給人們?cè)斐蔁o法估量的損

失。因此，了解和掌握計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的安全保

護(hù)機(jī)制，加強(qiáng)安全防范措施，使計(jì)算機(jī)系統(tǒng)變得更

加安全，已變得非常必要。

?本章主要討論有關(guān)計(jì)算機(jī)系統(tǒng)安全方面的內(nèi)容，包

括：

?計(jì)算機(jī)系統(tǒng)的安全保護(hù)機(jī)制；

?評(píng)估計(jì)算機(jī)系統(tǒng)的安全等級(jí)；

?計(jì)算機(jī)BIOS程序的安全設(shè)置和保護(hù)機(jī)制；

?計(jì)算機(jī)BIOS程序密碼的破解和防范措施；

?Windows95/98/ME的有關(guān)安全保護(hù)機(jī)制；

?非法用戶入侵Windows95/98/ME的方法和防范措

施；

?Windows95/98/ME對(duì)等網(wǎng)絡(luò)中權(quán)限和安全機(jī)制；

?計(jì)算機(jī)Word文檔的保密問題。

4.1計(jì)算機(jī)系統(tǒng)的安全保護(hù)機(jī)制

?隨著計(jì)算機(jī)技術(shù)的發(fā)展，計(jì)算機(jī)系統(tǒng)的安全越來越被人

們所關(guān)注。非授權(quán)用戶常常對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行非法訪問,

這種非法訪問使系統(tǒng)中存儲(chǔ)信息的完整性受到威脅，導(dǎo)

致信息被修改或破壞而不能繼續(xù)使用，更為嚴(yán)重的是系

統(tǒng)中有價(jià)值的信息泄密和被非法篡改、偽造、竊取或刪

除而不留任何痕跡。要保護(hù)計(jì)算機(jī)系統(tǒng)，必須從技術(shù)上

了解計(jì)算機(jī)系統(tǒng)安全訪問控制的保護(hù)機(jī)制。

?為了防止非法用戶使用計(jì)算機(jī)系統(tǒng)或者合法用戶對(duì)系統(tǒng)

資源的非法訪問，需要對(duì)計(jì)算機(jī)實(shí)體進(jìn)行訪問控制。例

如，銀行信息系統(tǒng)的自動(dòng)提款機(jī)為合法用戶提供現(xiàn)款，

但它必須對(duì)提款的用戶身份進(jìn)行識(shí)別和驗(yàn)證，對(duì)提款的

行為進(jìn)行監(jiān)督控制，以防止非法用戶的欺詐行為。

?存取控制主要包括授權(quán)、確定存取權(quán)限和實(shí)施權(quán)限

3個(gè)內(nèi)容。一個(gè)計(jì)算機(jī)系統(tǒng)的存取控制僅指本系統(tǒng)

內(nèi)的主體對(duì)客體的存取控制，不包括外界對(duì)系統(tǒng)的

存?。ㄆ渲兄黧w指使用網(wǎng)絡(luò)系統(tǒng)的用戶和用戶組，

客體指網(wǎng)絡(luò)系統(tǒng)中系統(tǒng)資源，如文件、打印機(jī)等資

源）。因此，實(shí)施存取控制是維護(hù)系統(tǒng)運(yùn)行安全、

保護(hù)系統(tǒng)資源的重要技術(shù)手段。

?存取控制是對(duì)處理狀態(tài)下的信息進(jìn)行保護(hù)，是保證

對(duì)所有的直接存取活動(dòng)進(jìn)行授權(quán)的重要手段；同時(shí),

存取控制要對(duì)程序執(zhí)行期間訪問資源的合法性進(jìn)行

檢查。它控制著對(duì)數(shù)據(jù)和程序的讀、寫、修改、刪

除、執(zhí)行等操作，防止因事故和有意破壞對(duì)信息的

威脅。存取控制必須對(duì)訪問者的身份和行為實(shí)施一

定的限制，這是保證系統(tǒng)安全所必須的。

高畛學(xué)出版社0

?要解決上述問題，需要采取兩種措施：

?識(shí)別與驗(yàn)證訪問系統(tǒng)的用戶；

■決定用戶對(duì)某一系統(tǒng)資源可進(jìn)行何種訪問（讀、寫、

修改、運(yùn)行等）。

4.1.1用戶的識(shí)別和驗(yàn)證

?要求用戶在使用計(jì)算機(jī)以前，首先向計(jì)算機(jī)輸入自

己的用戶名和身份鑒別數(shù)據(jù)（如口令、標(biāo)識(shí)卡、指

紋等），以便進(jìn)行用戶的識(shí)別與驗(yàn)證，防止冒名頂

替和非法入侵。

?所謂“識(shí)別”，就是要明確訪問者是誰，即識(shí)別訪

問者的身份。必須對(duì)系統(tǒng)中的每個(gè)合法用戶都有識(shí)

別—一

清華尤學(xué)園物社T-畛裾品JjJ脫裝期思斯

能力，要保證識(shí)別的有效性，必須保證任意兩個(gè)

不同的用戶都不能具有相同的標(biāo)識(shí)符。通過惟一標(biāo)

識(shí)符(1D),系統(tǒng)可以識(shí)別出訪問系統(tǒng)的每一個(gè)用戶。

?所謂“驗(yàn)證”，是指在訪問者聲明自己的身份(向

系統(tǒng)輸入它的標(biāo)識(shí)符)后，系統(tǒng)必須對(duì)它所聲明的

身份進(jìn)行驗(yàn)證，以防假冒，實(shí)際上就是證實(shí)用戶的

身份。驗(yàn)證過程總是需要用戶出具能夠證明他身份

的特殊信息，這個(gè)信息是秘密的，任何其他用戶都

不能擁有它。識(shí)別與驗(yàn)證是涉及到系統(tǒng)和用戶的一

個(gè)全過程。只有識(shí)別與驗(yàn)證過程都正確后，系統(tǒng)才

能允許用戶訪問系統(tǒng)資源。

?利用物理鎖可以對(duì)一些重要的資源實(shí)施控制。只要

膏結(jié)關(guān)學(xué)圉膽強(qiáng)巧=^布局，鬣期嵐房會(huì)”?MMMH

把需要保護(hù)的系統(tǒng)資源用鎖鎖上，而鑰匙由自己

掌握，那么沒有鑰匙的人是不能訪問受到保護(hù)的資

源的。在這里，ID相當(dāng)于鑰匙，系統(tǒng)根據(jù)不同的

ID可對(duì)其分配相應(yīng)的不同的可使用資源。但擁有鑰

匙的用戶不一定是合法擁有者，所以需采用驗(yàn)證技

術(shù)證實(shí)用戶的合法身份，這種技術(shù)可以有效地防止

由于ID的非法泄露所產(chǎn)生的安全問題?？诹顧C(jī)制是

一種簡便的驗(yàn)證手段，但比較脆弱。生物技術(shù)，如

利用指紋、視網(wǎng)膜技術(shù)等，是一種比較有前途的方

法。

?目前計(jì)算機(jī)系統(tǒng)最常用的驗(yàn)證手段仍是口令機(jī)制，

它通過下述各種方法來加強(qiáng)其可靠性。

?口令需加密后存放在系統(tǒng)數(shù)據(jù)庫中，一般采用單向

加密算法對(duì)口令進(jìn)行加密。

清華;>1學(xué):H旃干

-要使輸入口令的次數(shù)盡量減少，以防意外泄露。

?當(dāng)用戶離開系統(tǒng)所屬的組織時(shí)，要及時(shí)更換他的口

令。

?不要將口令存放在文件或程序中，以防其他用戶讀

取該文件或程序時(shí)發(fā)現(xiàn)口令。

?用戶要經(jīng)常更換口令，使自己的口令不易被猜測出

來。

4.1.2決定用戶訪問權(quán)限

?對(duì)于一個(gè)已被系統(tǒng)識(shí)別與驗(yàn)證了的用戶，還要對(duì)其

訪問操作實(shí)施一定的限制?？梢园延脩舴譃榫哂腥?/p>

下幾種屬性的用戶類。

j?-J?ji-'j，，'j./-''-，1.」..?r?*?i*?~~*

?特殊的用戶：這種用戶是系統(tǒng)的管理員，具有最

高級(jí)別的特權(quán)，可以對(duì)系統(tǒng)任何資源進(jìn)行訪問，并

具有所有類型的訪問、操作能力。

?一般的用戶：即系統(tǒng)的一般用戶，他們的訪問操

作要受到一定的限制，通常需要由系統(tǒng)管理員對(duì)這

類用戶分配不同的訪問操作權(quán)力。

?審計(jì)的用戶：這類用戶負(fù)責(zé)整個(gè)系統(tǒng)范圍的安全

控制與資源使用情況的審計(jì)。

?作廢的用戶：這是一類被拒絕訪問系統(tǒng)的用戶，

也可能是非法用戶。

信絡(luò)亍:學(xué)出頒社占鼎驚撕刪總噴息撕曼im

)JTJ?：/產(chǎn)］.j/j*.-*>"，yi八4.",^J-匚，二

4.2計(jì)算機(jī)系統(tǒng)的安全等級(jí)

?為了對(duì)一個(gè)計(jì)算機(jī)系統(tǒng)進(jìn)行安全評(píng)估，美國國防部按

處理信息的等級(jí)和應(yīng)采用的相應(yīng)措施，將計(jì)算機(jī)安全

分為：A、B、C、D4等8個(gè)級(jí)別，共27條評(píng)估準(zhǔn)則。

從最低等級(jí)D等開始，到A等。隨著安全等級(jí)的提高，

系統(tǒng)的可信度隨之增加，風(fēng)險(xiǎn)逐漸減少。

?下面，對(duì)每個(gè)安全等級(jí)的內(nèi)容和要求作簡要說明。

4.2.1非保護(hù)級(jí)

?D等是最低保護(hù)等級(jí)，即非保護(hù)級(jí)。它是為那些經(jīng)過評(píng)

估，但不滿足較高評(píng)估等級(jí)要求的系統(tǒng)設(shè)計(jì)的，只具

有一個(gè)級(jí)別。該等是指不符合要求的那些系統(tǒng)。因此，

這種系統(tǒng)不能在多用戶環(huán)境下處理敏感信息。D級(jí)并非

沒有安全保護(hù)功能，只是保護(hù)功能太弱。

4.2.2自主保護(hù)級(jí)

?C等為自主保護(hù)級(jí)，具有一定的保護(hù)功能，采用的

措施是自主訪問控制和審計(jì)跟蹤。它一般只適用于

具有一定等級(jí)的多用戶環(huán)境，并具有對(duì)主體責(zé)任和

對(duì)他們的初始動(dòng)作審計(jì)的能力。它的各級(jí)提供無條

件的安全保護(hù)，并通過審計(jì)追蹤，對(duì)主體及其產(chǎn)生

的動(dòng)作負(fù)責(zé)。這一等級(jí)分為C1和C2兩個(gè)級(jí)別。

1.自主安全保護(hù)級(jí)（C1級(jí)）

?其存取控制的基礎(chǔ)是以指名道姓的方式，提供了各

用戶與數(shù)據(jù)的隔離，以符合自主安全要求。它包含

了若干可信控制方式，能在個(gè)體基礎(chǔ)上實(shí)施存取限

制，即允許用戶保護(hù)他自己的項(xiàng)目和隱私信息，防

止他的數(shù)據(jù)被別的用戶無意讀取或破壞。

?ci級(jí)通過提供用戶與數(shù)據(jù)隔離，就能夠滿足市場可

信計(jì)算機(jī)（TCB,trustedcomputingbase）自動(dòng)安全

要求。所謂可信計(jì)算機(jī)是一個(gè)安全計(jì)算機(jī)系統(tǒng)的參

考校驗(yàn)機(jī)制。它包括所有負(fù)責(zé)實(shí)施安全策略，以及

對(duì)保護(hù)系統(tǒng)所依賴的客體實(shí)施隔離操作的系統(tǒng)單元,

簡單地說，即所有與系統(tǒng)安全有關(guān)的功能均包含在

TCB中。

?在這一級(jí)，TCB應(yīng)在命名用戶和命名的客體之間定

義和進(jìn)行訪問控制。它用的機(jī)理（如個(gè)人/組/公

共控制、訪問控制表）應(yīng)允許客體擁有者指定和控

制客體是由自己使用，還是由用戶組或公共使用。

該級(jí)需要在進(jìn)行任何活動(dòng)之前，TCB去確認(rèn)用戶身

份（如采用口令），并保護(hù)確認(rèn)數(shù)據(jù)，以免未經(jīng)授權(quán)

對(duì)確認(rèn)數(shù)據(jù)的訪問和修改。通過用戶擁有者的自

主定義和控制，可以防止自己的數(shù)據(jù)被別的用戶有

意或無意地讀出、篡改、干涉和破壞。同時(shí)提供軟

件和硬件特性，并定期檢查其運(yùn)行的正確性。系統(tǒng)

的完整性要求硬件和軟件能提供保證TCB連續(xù)有效

操作特性。

?目前生產(chǎn)的大多數(shù)計(jì)算機(jī)系統(tǒng)都能達(dá)到這一等級(jí)，

但這級(jí)系統(tǒng)不一定要經(jīng)過嚴(yán)格的評(píng)價(jià)。評(píng)價(jià)為C1級(jí)

多是依據(jù)系統(tǒng)的某些特點(diǎn)。

2.可控安全保護(hù)級(jí)（C2級(jí)）

?在C2級(jí)，計(jì)算機(jī)系統(tǒng)比C1級(jí)有更具體的自主訪問

控制。通過注冊(cè)過程，同與安全有關(guān)的事件和資源

隔離，使得用戶的操作有可查性。在安全方面，除

具備Cl級(jí)所有功能外，還提供授權(quán)服務(wù)。并且可

提供控制，以防止存取權(quán)力的擴(kuò)散。應(yīng)確定用戶的

動(dòng)作或默認(rèn)客體提供的保護(hù)，避免非授權(quán)存取。它

可指定哪些用戶可以訪問哪些客體，未經(jīng)授權(quán)用戶

不得訪問已指定訪問權(quán)的客體。同時(shí)還提供了客體

再用功能，即對(duì)于一個(gè)未使用的存儲(chǔ)客體，TCB應(yīng)

該能夠保證該客體不包含未授權(quán)主體的數(shù)據(jù)。

?在這一方面，除具有C1級(jí)全部功能外，還提供惟一

的識(shí)別自動(dòng)數(shù)據(jù)處理系統(tǒng)中各個(gè)用戶的能力；提供

將這種身份與該客體用戶發(fā)生的所有審計(jì)動(dòng)作相聯(lián)

系的能力。C2級(jí)系統(tǒng)能與該識(shí)別符合，可審計(jì)所

有主體進(jìn)行的各種活動(dòng)；能對(duì)可信計(jì)算機(jī)(TCB)進(jìn)

行建立和維護(hù)，對(duì)客體存取的審計(jì)進(jìn)行跟蹤，并保

護(hù)審計(jì)信息，防止被修改、毀壞或未經(jīng)授權(quán)訪問。

清華關(guān)淳圜版社壕:金

?TCB還能記錄下列類型的事件：確認(rèn)和識(shí)別安全機(jī)

理的使用，將客體引入一用戶地址空間，客體的刪

除，操作人員、系統(tǒng)管理人員和安全管理人員進(jìn)行

的各種與安全相關(guān)的活動(dòng)。

?對(duì)每個(gè)審計(jì)事件，審計(jì)記錄應(yīng)包括：用戶名、事件

發(fā)生時(shí)間、事件類型、事件的成功或失敗等。

?對(duì)于確認(rèn)事件，請(qǐng)求源（如終端ID）也應(yīng)包括在審計(jì)

記錄中。

?對(duì)于客體進(jìn)行訪問的事件，審計(jì)記錄應(yīng)包括客體名。

?自動(dòng)數(shù)據(jù)處理系統(tǒng)管理人員應(yīng)能通過識(shí)別符，有選

擇地審計(jì)任一用戶或多個(gè)用戶的活動(dòng)。

?除C1級(jí)的要求外，TCB還必須保留一特定區(qū)域，以

防外部人員的篡改。由于TCB控制的資源是以主體

有始為學(xué)出施卷盟工【Ml魄力

和客體定義的子集，TCB應(yīng)與被保護(hù)的資源隔離，

以使存取控制更容易，從而達(dá)到審計(jì)的目的。DEC

公司的VAX/VMS操作系統(tǒng)、Novell公司的

NetWare系統(tǒng)和Microsoft公司的WindowsNT/2000

都被確認(rèn)為C2級(jí)。

4.2.3強(qiáng)制安全保護(hù)級(jí)

?B等為強(qiáng)制保護(hù)級(jí)，這一等級(jí)比C等級(jí)的安全功能

有很大增強(qiáng)。它要求對(duì)客體實(shí)施強(qiáng)制訪問控制，并

要求客體必須帶有敏感標(biāo)志，可信計(jì)算機(jī)利用它去

施加強(qiáng)制訪問控制。這一部分可分為Bl、B2、B3

共3級(jí)。

清華:文學(xué)出瓶「泡

J■T)J/.(?一1,產(chǎn)5廣.，，J)yI，?F，尸Vi4?料ZZT尸I--:-，?

1.標(biāo)記安全保護(hù)級(jí)(Bl)

?從本級(jí)開始，不但有自主存取控制，還增加了強(qiáng)制

存取控制，組織統(tǒng)一干預(yù)每個(gè)用戶的存取權(quán)限。本

級(jí)具有C2級(jí)的全部安全特性，并增加了數(shù)據(jù)標(biāo)記，

以標(biāo)記決定已命名主體對(duì)該客體的存取控制。本級(jí)

還規(guī)定在測試過程中發(fā)現(xiàn)的缺陷應(yīng)當(dāng)已全部排除。

2.結(jié)構(gòu)化保護(hù)級(jí)(B2)

?從本級(jí)開始，按最小特權(quán)原則取消權(quán)力無限大的

“特權(quán)用戶”。任何一個(gè)人都不能享有操縱和管理

計(jì)算機(jī)的全部權(quán)力。本級(jí)將系統(tǒng)管理員與系統(tǒng)操作

員的職能隔離，系統(tǒng)管理員對(duì)系統(tǒng)的配置和可信設(shè)

施進(jìn)行強(qiáng)有力的管理，系統(tǒng)操作員操縱計(jì)算機(jī)正常

運(yùn)行。本級(jí)將強(qiáng)制存取控制擴(kuò)展到計(jì)算機(jī)的全部主

體

蒲單文學(xué)出版社蘇陶UH藐密!凰

和全部客體，并且要發(fā)現(xiàn)和消除能造成信息泄漏

的隱蔽存儲(chǔ)信道。為此，本級(jí)計(jì)算機(jī)安全級(jí)的結(jié)構(gòu),

將被自行劃分為與安全保護(hù)有關(guān)的關(guān)鍵部分和非關(guān)

鍵部分。

3.安全域級(jí)(B3)

?本級(jí)在計(jì)算機(jī)安全方面已達(dá)到目前能達(dá)到的最完備

等級(jí)。按照最小特權(quán)的原則，本級(jí)增加了安全管理

員，將系統(tǒng)管理員、系統(tǒng)操作員和安全管理員的職

能隔離，使其各司其職，將人為因素對(duì)計(jì)算機(jī)安全

的威脅減至最小。本級(jí)要求在計(jì)算機(jī)安全級(jí)的結(jié)構(gòu)

中，沒有為實(shí)現(xiàn)安全策略所不必要的代碼。它的所

有部分都是與保護(hù)有關(guān)的關(guān)鍵部件，并且它是用系

統(tǒng)工程方法實(shí)現(xiàn)的，其結(jié)構(gòu)的復(fù)雜性最小，易于分

析和測試。本級(jí)的審計(jì)功能有很大的增加，不但

能記錄違反安全的事件，而且能發(fā)出報(bào)警信號(hào)。本

級(jí)還要求具有使系統(tǒng)恢復(fù)運(yùn)行的程序。

4.2.4驗(yàn)證安全保護(hù)級(jí)

?A等是驗(yàn)證保護(hù)級(jí)。它的顯著特征是從形式設(shè)計(jì)規(guī)

范說明和驗(yàn)證技術(shù)導(dǎo)出分析，并高度地保證正確地

實(shí)現(xiàn)TCB。其特點(diǎn)是使用形式化驗(yàn)證方法，以保證

系統(tǒng)的自主訪問和強(qiáng)制訪問，控制機(jī)理能有效地使

該系統(tǒng)存儲(chǔ)和處理秘密信息或其他敏感信息。該等

級(jí)分為A1和超A1兩個(gè)級(jí)別。

1.驗(yàn)證設(shè)計(jì)級(jí)（A1級(jí)）

?本級(jí)的安全功能與B3級(jí)基本相同，但最明顯的不

清監(jiān)大學(xué)出掘鈍U置f布防/費(fèi)赧出方馬彗I-H

同是本級(jí)必須對(duì)相同的設(shè)計(jì)，運(yùn)用數(shù)學(xué)形式化證

明方法加以驗(yàn)證，以證明安全功能的正確性。本級(jí)

還規(guī)定了將安全計(jì)算機(jī)系統(tǒng)運(yùn)送到現(xiàn)場安裝所必須

的程序。

2.超A1級(jí)

?由于超A1級(jí)超出目前的技術(shù)發(fā)展，有些具體要求很

難提出，僅提供了一些設(shè)想。它為今后研究提供指

導(dǎo)。

?綜上所述，對(duì)可信計(jì)算機(jī)而言，D級(jí)是不具備最低

限度安全的等級(jí)；C1和C2級(jí)是具備最低安全限度

的等級(jí)；B1和B2級(jí)是具有中等安全保護(hù)能力的等

級(jí)，與C級(jí)相比是較高安全等級(jí)，對(duì)于一般的重要

應(yīng)用基本上可以滿足安全要求；B3級(jí)和A1級(jí)是最

清華文學(xué)出版社-一谷港1，時(shí)觥淺就導(dǎo)空

高安全等級(jí)，其成本高，只有極重要的應(yīng)用才需

使用這種安全等級(jí)的設(shè)備。

4.3計(jì)算機(jī)的開機(jī)口令驗(yàn)證機(jī)制

?目前PC機(jī)是世界上使用最多的計(jì)算機(jī)，PC機(jī)上運(yùn)

行的操作系統(tǒng)多為MSDOS或Windows95/98/ME等,

而Windows95/98/ME等系統(tǒng)簡單易學(xué)，且具有友

好的界面、豐富的應(yīng)用軟件成為個(gè)人用戶的首選。

然而，由于Windows95/98/ME本身就不是為網(wǎng)絡(luò)

應(yīng)用設(shè)計(jì)的，因此它存在許多安全性方面的問題，

是十分容易被攻擊的。

?根據(jù)美國計(jì)算機(jī)安全中心(NCSC)公布的可信計(jì)算

機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)則(TCSEC,trustedcomputer

systemevaluationcriteria),Windows95/98/ME只

能達(dá)到D級(jí)，基本上相當(dāng)于未加安全措施的個(gè)人計(jì)

算機(jī)系統(tǒng)。

?而在另一方面，因?yàn)閃indows95/98/ME的流行，

許多黑客工具在設(shè)計(jì)時(shí)就考慮了Windows

95/98/ME的兼容性，許多黑客也利用它來攻擊網(wǎng)絡(luò)

系統(tǒng)。因此，對(duì)于個(gè)人計(jì)算機(jī)系統(tǒng)，用啟動(dòng)開機(jī)口

令的開機(jī)驗(yàn)證機(jī)制防止非法用戶使用計(jì)算機(jī)，是非

常必要的。開機(jī)口令的開機(jī)驗(yàn)證機(jī)制是由計(jì)算機(jī)的

BIOS(BaseInput/OutputSystem)程序來管理的,

下面將介紹這方面的￡容。

4.3.1BIOS的口令機(jī)制

?BIOS的口令機(jī)帶I］俗稱CMOS口令設(shè)置，CMOS口

令是保證計(jì)算機(jī)信息安全的第一道屏障。

CMOS（本意是指互補(bǔ)金屬氧化物半導(dǎo)體存儲(chǔ)器，

應(yīng)用于集成電路芯片制造）是電腦主板上的一塊可

讀寫的RAM芯片，主要用來保存當(dāng)前系統(tǒng)的硬件

配置，CMOSRAM芯片由系統(tǒng)通過一塊后備電池

供電，所以無論是開或關(guān)機(jī)狀態(tài)中，CMOS的信息

都不會(huì)丟失。CMOS口令分為CMOS開機(jī)口令和

BIOS設(shè)置口令。如設(shè)置了CMOS開機(jī)口令，則計(jì)

算機(jī)在開機(jī)完成硬件自檢后將要求操作者輸入密碼,

如密碼不正確，將不能進(jìn)入CMOS參數(shù)設(shè)置，亦無

法繼續(xù)啟動(dòng)操作系統(tǒng)，更無從談起運(yùn)行其他軟件了。

如計(jì)算機(jī)僅設(shè)置了BIOS設(shè)置口令，則雖然在啟動(dòng)

操作系統(tǒng)和運(yùn)行各種軟件時(shí)不受限制，但如要進(jìn)入

BIOS設(shè)置程序必須輸入預(yù)設(shè)的口令，否則無法改

變CMOS參數(shù)。因此，根據(jù)實(shí)際需要，合理地設(shè)置

CMOS口令，是做好計(jì)算機(jī)信息安全工作的重要途

徑。

?計(jì)算機(jī)有很多種不同的BIOS程序，最有名的是

AWARDBIOS和AMIBIOS程序。下面以AWARD

BIOS為例討論BIOS中CMOS的開機(jī)密碼的設(shè)置，

設(shè)置方法如下。

(1)啟動(dòng)計(jì)算機(jī)，在計(jì)算機(jī)正在啟動(dòng)時(shí)不停地按

DEL鍵(注意，是不停地按動(dòng)，而不是按住不放)，

直到出現(xiàn)如圖4.1所示的CMOSSETUP設(shè)置界面時(shí)

清華大學(xué)出朧他巧W3茄*譙娜廿次比1amMH

為止（有的計(jì)算機(jī)進(jìn)入CMOS的快捷鍵不是DEL,

例如康柏計(jì)算機(jī)的CMOS設(shè)置是按F2鍵，需要看具

體情況而定），其中的加框的選項(xiàng)與開機(jī)的CMOS

密碼的有關(guān)。

（2）用鍵盤上的光標(biāo)鍵選擇SUPERVISOR

PASSWORD項(xiàng)，然后回車，出現(xiàn)ENTER

PASSWORD后，輸入密碼再回車，這時(shí)又出現(xiàn)

CONFIRMPASSWORD,在其后再次輸入同一密

碼（注：該項(xiàng)原意是對(duì)剛才輸入的密碼進(jìn)行校驗(yàn)，

如果兩次輸入的密碼不一致，則會(huì)要求重新輸入）。

SUPERVISORPASSWORD選項(xiàng)是用來設(shè)置計(jì)算

機(jī)管理員的密碼，擁有該密碼，就可以設(shè)置計(jì)算機(jī)

的CMOS參數(shù)和使用計(jì)算機(jī)。

清華充學(xué)出版艇"宣彘:金施旗冠武堂里MMMHH

(3)用光標(biāo)鍵選擇USERPASSWORD項(xiàng)后回車，同

上面一樣，密碼需輸入兩次才能生效。以上設(shè)置的

兩個(gè)密碼分別為設(shè)置密碼和修改CMOSSETUP密

碼，建議兩個(gè)均取同一密碼，以便記憶。USER

PASSWORD選項(xiàng)是用來設(shè)置使用計(jì)算機(jī)的用戶密

碼，擁有該密碼，就可以使用計(jì)算機(jī)。

(4)選擇BIOSFEATURESSETUP項(xiàng)回車，出現(xiàn)

BIOSFEATURESSETUP設(shè)置界面，用光標(biāo)鍵選

擇SECURITYOPION選項(xiàng)后，用鍵盤上的PAGE

UP/PAGEDOWN鍵把選項(xiàng)改為SYSTEM(設(shè)定為

SYSTEM的目的是讓計(jì)算機(jī)在任何時(shí)候都要檢測密

碼，包括啟動(dòng)機(jī)器，SECURITYOPION選項(xiàng)還有

一個(gè)參數(shù)SETUP,設(shè)定為該參數(shù)表示計(jì)算機(jī)在設(shè)

置CMOS參數(shù)時(shí)要檢測密碼)，然后按ESC鍵退出。

信絡(luò)為學(xué)出版社巧晶石?皮刊BSMBEESMMM

?(5)選擇SAVE&EXITSETUP項(xiàng)回車，出現(xiàn)提示

后按Y鍵再回車，以上設(shè)置的密碼即可生效。

?

—JSINGHUAUN/VEBSJTYPHESS___

ROMPCVISABIOS(2A59IJ1Z)

CMOSSETUPUTILITY

AWARDSOFTWAREINC.

STANDARDCMOSSETUPINTEGEGRATEDPERIPHERALS

BIOSFEATURESSETUPSUPERVISORPASSWORD

CHIPSETFEAURESSETUPUSERPASSWORD

POWERMANAGEMENTSETUPIDEHDDAUTODETECTION

PNIVPCICONFIGURATIONHDDLOWLEVELFORMAT

LOADBIOSDEFAULTSSAVE&EXITSETUP

LOADSETUPDEFAULTSEXITWITHOUTSAVING

Esc：Quitf*-：SelectItem

F10：Sme&ExitSetiq)(Shift)F2：ChangeColor

Change/SetDisablePassword

圖4.1

意單文學(xué)出腦言

?通過以上步驟設(shè)置以后，在計(jì)算機(jī)啟動(dòng)和設(shè)置

CMOS參數(shù)時(shí)都要檢測密碼。

4.3.2BIOS的口令破解與防范措施

1.幾種常見密碼破解方法

?在日常的工作中，常碰到一些用戶由于遺忘了

CMOS口令或無意中設(shè)置了CMOS口令，致使計(jì)算

機(jī)無法啟動(dòng)操作系統(tǒng)或無法進(jìn)行CMOS參數(shù)設(shè)置的

情況，很多用戶對(duì)此束手無策，只能送計(jì)算機(jī)公司

修理，耽誤了很多時(shí)間。

?其實(shí)，根據(jù)CMOS口令的設(shè)置情況，可以有很多方

法來破解，其原則是：如果設(shè)置了CMOS開機(jī)口令,

清揚(yáng)美:學(xué)出版蜒

必須采用硬件或CMOS萬能密碼法破解；如果僅

設(shè)置了BIOS設(shè)置口令，破解這種口令簡直易如反

掌！下面給出破解CMOS口令的各種方法。注意：

這些方法當(dāng)然也有可能會(huì)被黑客們利用，因此亦應(yīng)

針對(duì)這些破解方法，做好自己計(jì)算機(jī)的CMOS口令

保護(hù)。

2.硬件法破解CMOS口令

?忘記了電腦的BIOS密碼是一件不幸的事，如果將

BIOS設(shè)置中的SEURITYOPTION（密碼屬性）設(shè)為

ALWAYS/SETUP或SYSTEM則更是不幸中的不幸,

因?yàn)榇藭r(shí)既無法進(jìn)入CMOS設(shè)置程序更改口令，也

無法啟動(dòng)操作系統(tǒng)用其他方法破解，只能采取在硬

件上進(jìn)行CMOS掉電處理和使用萬能密碼這兩類方

法解決。

?下面介紹CMOS掉電處理的方法。這里首先需要提

及的是，硬件破解的各種方法均需在計(jì)算機(jī)關(guān)機(jī)的

狀態(tài)下進(jìn)行（最好將電源線拔掉，對(duì)于ATX電源尤

應(yīng)如此），先清除人身上的靜電，再打開計(jì)算機(jī)機(jī)

箱進(jìn)行，否則可能導(dǎo)致計(jì)算機(jī)硬件的損壞。

⑴跳線/開關(guān)放電破解法

?計(jì)算機(jī)主板上一般都有CMOSCLEAR（CMOS清除）

跳線位置，可參照主板說明書或主板上印制的跳線

說明，用一跳線在該位置上跳接一下，CMOSn4

就被清除了，然后將跳線恢復(fù)原狀，開機(jī)后即能進(jìn)

入CMOS設(shè)置。

（2）導(dǎo)線劃芯片放電破解法

?硬件破解CMOS口令的本質(zhì)是讓CMOSRAM芯片

高華尤學(xué)出版社谷點(diǎn)剛屋|姍慳—|

掉電，使其中保存的設(shè)置信息丟失，從而達(dá)到清

除CMOS口令的目的（上面跳線法的實(shí)質(zhì)也是這樣）,

抓住了這一點(diǎn)，在解決此類問題時(shí)，可先將CMOS

電池卸下，然后用一根導(dǎo)線，將其一端接到CMOS

電池插座的地線端，用另一端往CMOSRAM片的

兩排腳上輕輕地一掃而過（如不能確認(rèn)哪塊是

CMOS芯片，則可多掃幾塊芯片，掃時(shí)注意別損傷

了芯片引腳），CMOS密碼便會(huì)被清除。此方法適

用于計(jì)算機(jī)主板上沒有設(shè)計(jì)CMOSCLEAR跳線的

情況。

（3）卸電池等待法

?這是一種麻煩和消極的方法。我們知道，CMOS是

靠主板上的一塊電池及相應(yīng)的附屬電路來提供電源

清華關(guān)淳圜版社￡看￡布：:，筋娩粉比模里MMMH

以保持設(shè)置信息的，因此，如果將CMOS電池取

下，再將電池接口的正負(fù)極（注意不是電池的正負(fù)

極）短路，然后等待一段時(shí)間后，CMOS供電電路

中殘存的電能將會(huì)消耗完，CMOS口令就會(huì)被清

除了。

?如果CMOS電池是焊接在主板上的，則需先焊下來

再試用上述的第（2）、（3）方法。所以只有在確認(rèn)主

板上確實(shí)沒有設(shè)計(jì)CMOSCLEAR跳線的情況下，

才可采用后兩種方法。

3.用CMOS萬能密碼破解開機(jī)口令

?如果計(jì)算機(jī)機(jī)箱加鎖（比如眾多的進(jìn)口原裝計(jì)算機(jī)）

或因?yàn)槠渌驘o法打開機(jī)箱，自然也就無法進(jìn)行

上述的硬件破解法，那么是否還有方法能破解

CMOS開機(jī)口令呢？答案是肯定的，下面向讀者

介紹一種不用拆機(jī)箱的軟方法—萬能密碼。

?原理：在BIOS的密碼中也有像WPS那樣的萬能密

碼，但不同的BIOS廠家有不同的密碼。

(1)用CMOSPWD獲取CMOS萬能密碼

?計(jì)算機(jī)BIOS的版本太多，不同版本的萬能密碼也

不一樣，想用上述的幾個(gè)密碼“通行”于所有版本

的BIOS顯然是不可能的。那么如何獲得更多的萬

能密碼呢？在Inernet網(wǎng)上有一個(gè)運(yùn)行在DOS環(huán)境

下的CMOSPWD.EXE軟件可以做到這一點(diǎn)。圖4.2

是CMOSPWD.EXE程序的一個(gè)運(yùn)行結(jié)果報(bào)告。

?由此運(yùn)行結(jié)果可以看出，CMOSPWD工具可以獲

取多種BIOS類型的CMOS萬能密碼。因此，當(dāng)忘

清監(jiān)大學(xué)出版社防空匍痂為

?記了計(jì)算機(jī)的CMOS密碼時(shí)，可找一臺(tái)相同的計(jì)算

機(jī)，給其設(shè)置上CMOS開機(jī)口令，然后運(yùn)行

CMOSPWD找到“萬能鑰匙”，再用到自己的計(jì)

算機(jī)上即可。

(2)用UNAWARD獲取AWARDBIOS萬能密碼

?UNAWARD.EXE可以幫你輕松地獲得Award

BIOS的萬能密碼，而且還有三個(gè)：純數(shù)字密碼、

小寫字母密碼和大寫字母密碼。假如你愿意，還可

以用該軟件DISABLE(禁用)這些萬能密碼，甚至刪

除這些密碼。執(zhí)行UNAWARD.EXE程序，顯示如

圖4.3所示。

猾華大學(xué)出版社

CnusPivd-BIOSCncker15a,May20199ftCopyri^it1996-99

GRENIERChristophegrenier@esiea.fr

http://www.esfeafr小ii)lic_html/Christophe.GRENIER/

Acer/IBM[S7SS]

AMIBIOS[UI]

AMIWinBIOSa2ZL5y93)[N]

AMIWinBIOS2.5[N]

Avard4.5xSupeivisor/Ul/U2[21312121)(200022][000033]

Conpaq(1992)(6]

Conpaq(Tiy")[6??]

DeHversi)nAOS,1993[][]

IBM(PS/2,Activa-)[4X][6]

IBMThinkpadbootp\vd[6]

IBM300GLE4X]

PackardBellSq)eivisor/UserBadBad

PhoenixL00.09.AC0Q994)CRCpivderr

Phoenix104[][4幻

PhoenixL10A03/DeUGXiCRCpwderr

ZenithAMISiq)ervisor/User[???????][???????]

圖4.2

清華大學(xué)出版社

信零困朧鈍二餐新工：,此版蜀力信FMMMH

?通常同型號(hào)主機(jī)的AWARDBIOS萬能密碼是一致

的。因此當(dāng)忘記了AWARDBIOS密碼時(shí)，不用著

急，試著在身邊找找或打電話問問朋友們的主板型

號(hào)、廠商是否與自己的這臺(tái)主機(jī)主板相同，假如有

的話，用UNAWARD.EXE將那臺(tái)機(jī)子上的密碼獲

取后再傳回來，一切就大功告成了。

UNAWARD.EXE在Internet上可以下載。

?注意：若需BIOS的萬能密碼，必須先在超級(jí)用戶

密碼(SUPERVISORPASSWORD)中設(shè)置密碼，如

沒有超級(jí)用戶密碼選項(xiàng)，則必須在用戶密碼(USER

PASSWORD)中設(shè)置密碼，否則該軟件不能用作

BIOS的萬能密碼。

清華十字出版社-

(3)使用通用CMOS密碼

?目前大部分主板使用AWARD公司的BIOS程序，

部分主板使用AMI公司的BIOS程序，某些廠家在

生產(chǎn)主板時(shí)為自己的BIOS預(yù)留了通用CMOS密碼，

以解一時(shí)之需。其中AWARDBIOS只有4.51版以

前的才有通用密碼。據(jù)目前所知，有以下通用密碼

(按成功概率排序)。

AWARDBIOS：wantgirlSyxzdirrideBBBh996

wnatgirlAward

AMIBIOS：Sysg

?以上通用密碼在386、486或奔騰主板上破解CMOS

幾乎百發(fā)百中，但在PH級(jí)以上的主板存在通用密

碼的可能性就較少了。

J^///i二）尸3,jz>.-'匕】Z/J,^PY^J.rirn.-.rJ^_rS,二

4.用萬能密碼程序準(zhǔn)確破解BIOS設(shè)置口令

?如果在微機(jī)的BIOSSETUP程序中設(shè)置了CMOS口

令，但在PASSWORDOPTION（密碼選項(xiàng)）中選擇

為SETUP時(shí)，不必打開機(jī)箱，只要簡單地利用上

面介紹的萬能密碼程序在當(dāng)前計(jì)算機(jī)上運(yùn)行一下，

即可輕松和準(zhǔn)確地獲得這臺(tái)計(jì)算機(jī)的CMOS萬能密

碼，然后用此萬能密碼即可進(jìn)入BIOSSETUP程序

中更改各種CMOS參數(shù)了。

（1）用DEBUG破解SETUP設(shè)置口令

?在微機(jī)的BIOSSETUP程序中設(shè)置了口令，但在

PASSWORDOPTION（密碼選項(xiàng)）中選擇為SETUP

時(shí)，可簡單地利用DOS中的DEBUG程序清除

CMOS口令。

高子玄學(xué)出版社Ja嬲?捌巍嬲SB整IWW

?當(dāng)計(jì)算機(jī)接通電源時(shí)，首先執(zhí)行的是BIOS加電自

檢程序，對(duì)整個(gè)系統(tǒng)進(jìn)行全面的檢測，其中也要對(duì)

CMOSRAM中的配置信息有關(guān)單元作累加和測試，

并與原來的存儲(chǔ)結(jié)果進(jìn)行比較，當(dāng)兩者相吻合時(shí)，

則CMOSRAM中的配置有效，程序繼續(xù)進(jìn)行其他

測試；當(dāng)發(fā)現(xiàn)累加和與原值不相等時(shí)，則要求重新

配置，并能自動(dòng)地按實(shí)際情況進(jìn)行最小配置的設(shè)定,

此時(shí)原來的CMOS口令也會(huì)被自動(dòng)消除。

?利用這一點(diǎn)，只要往CMOSRAM中的80口

10H?2DH（配置信息存放單元）中的任一單元寫入一

個(gè)數(shù)，即可清除CMOSSETUP口令。具體操作如

下：

?從A：或C：啟動(dòng)，然后運(yùn)行DEBUG程序（從DOS

目錄中拷貝或運(yùn)行），輸入：

高華：學(xué)字出頒社

Odebug（回車）

-O7010（回車）

-O7110（回車）

-q（回車）

?然后重新啟動(dòng)系統(tǒng)，密碼即被清除，系統(tǒng)將要求重

新配置CMOS參數(shù)，這樣便可以重新進(jìn)入BIOS

SETUP接口去設(shè)計(jì)系統(tǒng)配置了。

（2）輸入代碼破解SETUP設(shè)置口令

?使用本方法生成的可執(zhí)行文件能夠清除CMOS密碼。

本方法的最大特點(diǎn)是不需使用任何工具軟件，而只

需簡單地使用DOS內(nèi)部的COPY命令，從鍵盤上輸

入所需代碼，并生成所需的破解程序。

A：\>copycon

179,55,136,216,230,112,176,32,230,113,

254,195,128,251,64,117,241,195Az回車

?注意：輸入上述數(shù)字時(shí)必須用鍵盤上的Alt鍵加小

鍵盤上的數(shù)字鍵來輸入，其中的逗號(hào)表示輸入到該

處時(shí)松一下雙手再繼續(xù)輸入，而非真的輸入逗號(hào)；

人Z代表按Ctrl+Z鍵（也可按F6鍵）結(jié)束文件輸入，

最后回車在當(dāng)前目錄下生成可執(zhí)行文件。

?運(yùn)行生成的可執(zhí)行文件em,再重新冷啟動(dòng)

計(jì)算機(jī)，會(huì)發(fā)現(xiàn)原來的CMOS設(shè)置口令已經(jīng)被清除

了。同樣需注意的是，該方法在某些計(jì)算機(jī)上可能

會(huì)不起作用。

j4j](一，尸，/；yIy*rrryF,yJ.,*r^'?F?___??，二/?

5.防范CMOS密碼的破解

?通過對(duì)幾種常見CMOS密碼破解方法的介紹，可以

了解到要破解CMOS密碼的前提條件。采用硬件破

解法必須能夠打開機(jī)箱，因此防止硬件破解法的主

要措施是給主機(jī)機(jī)箱加上物理鎖。

?對(duì)于采用萬能密碼，目前沒有好的防范措施，如果

非法用戶持有萬能密碼，這開機(jī)密碼的安全保護(hù)措

施已失去效用，只能靠其他的安全措施，如通過操

作系統(tǒng)的安全機(jī)制。另外市場上有些硬盤保護(hù)卡和

防毒卡也有開機(jī)保護(hù)機(jī)制和密碼機(jī)制，也能起到

CMOS密碼的功能，且破解的可能性要比CMOS密

碼機(jī)制更難些。

清華無學(xué)出版神國，斯赧61旖廿f卅

?要防范采用工具軟件破解CMOS密碼，最主要是不

能讓非法用戶在被保護(hù)的計(jì)算機(jī)上物理性地執(zhí)行工

具軟件，可采用如下措施。

(1)屏蔽計(jì)算機(jī)的軟驅(qū)和光驅(qū)，使之不能從軟驅(qū)和光

驅(qū)引導(dǎo)操作系統(tǒng)。

(2)使用者不能在計(jì)算機(jī)處于交互狀態(tài)(即可執(zhí)行用

戶命令的狀態(tài))時(shí)離開計(jì)算機(jī)；如若離開計(jì)算機(jī)，

應(yīng)該關(guān)機(jī)、鎖定鍵盤或使計(jì)算機(jī)處于安全保護(hù)狀態(tài)

(例如Windows98系統(tǒng)的帶密碼屏幕保護(hù)狀態(tài))。

(3)有條件的用戶可以給計(jì)算機(jī)加安全保護(hù)卡(例如

硬盤保護(hù)卡和防毒卡，也有開機(jī)保護(hù)機(jī)制和密碼機(jī)

制)。

(4)設(shè)置安全的口令，定期更新密碼。

清華文學(xué)出朧泡一二置比片:用加塞方號(hào)"iMMMi

?有關(guān)設(shè)置安全口令的措施如下。

（1）好的口令

-好的口令是那些很難猜測的口令。難猜測的原因是因

為同時(shí)有大小寫字符，不但有字符，還有數(shù)字、標(biāo)點(diǎn)

符號(hào)、控制字符和空格。另外，還要容易記憶，至少

有7到8個(gè)字符長，并且容易輸入。

（2）不安全口令

-不安全的口令往往是：任何名字（包括人名、軟件名、

計(jì)算機(jī)名甚至幻想中事物的名字），電話號(hào)碼或者某種

執(zhí)照的號(hào)碼，社會(huì)保障號(hào)，任何人的生日，其他很容

易得到的關(guān)于自己的信息，一些常用的音調(diào)，任何形

式的計(jì)算機(jī)中的用戶名，在英語字典或者外語字典中

的詞，地點(diǎn)名稱或者一些名詞，鍵盤上的一些詞，任

何形式的上述詞再加上一些數(shù)字。

清華尤學(xué)出版社々魏豳第

j?二*/j.1,一/?■?.二.,一/zij/**/r一zJ..r*'.J_1_■|二z|—I

(3)保持口令安全要注意的問題

?①不要將口令寫下來。

?②不要將口令存于終端功能鍵或調(diào)制解調(diào)器的字

符串存儲(chǔ)器中。

?③不要選取顯而易見的信息作口令。

?④不要讓別人知道。

?⑤不要交替使用兩個(gè)口令。

?⑥不要在不同系統(tǒng)上使用同一口令。

?⑦不要讓人看見自己在輸入口令。

(4)一次性口令

?減小口令危險(xiǎn)的最有效方法是根本不用常規(guī)口令。

替代的辦法是在系統(tǒng)中安裝新的軟件或硬件，使用

清華文學(xué)出版社*=三用翳協(xié)后

J?二J??-I,/'J■‘，，',/'-''-，j.'J.**r?*??J~*

一次性口令。一次性口令就是一個(gè)口令只使用一

次。一個(gè)用戶可能收到一個(gè)打印輸出的口令列表，

每次登錄使用完一個(gè)口令，就將它從列表中刪除。

用戶也可能得到一個(gè)可以攜帶的小卡，這個(gè)卡每次

將顯示一個(gè)不同的號(hào)。用戶還可以攜帶一個(gè)小的計(jì)

算器，當(dāng)?shù)卿洉r(shí)，計(jì)算機(jī)將會(huì)打印出一個(gè)不同的號(hào)

碼，用戶將這個(gè)號(hào)碼輸入這個(gè)小小的計(jì)算器中，然

后輸入自己的標(biāo)志號(hào)碼，計(jì)算器將輸出一個(gè)口令，

用戶將這個(gè)口令再輸入計(jì)算機(jī)中。

?一次性口令系統(tǒng)比傳統(tǒng)方式能提供令人驚奇的安全

性能。不幸的是，它們要求安裝一些特定的程序或

者需要購買一些硬件，因此現(xiàn)在使用得并不普遍。

清華女淳圜版社^，葡魄冊(cè)比31fMMM"

?在一個(gè)網(wǎng)絡(luò)中，當(dāng)用戶穿過Internet或者其他的網(wǎng)絡(luò)來

訪問時(shí)，管理員就應(yīng)該認(rèn)真地考慮使用一次性口令。

否則，攻擊者可以竊聽、截獲用戶口令，以后將攻擊

這些站點(diǎn)。

4.4Windows95/98/ME的安全保護(hù)機(jī)制

?如前所述，計(jì)算機(jī)的開機(jī)密碼保護(hù)機(jī)制是非常脆弱的。

因此，必須尋求其他的保護(hù)措施。例如：操作系統(tǒng)的

安全措施。

?總的來說，Windows95/98/ME只能達(dá)到D級(jí)，基本上

相當(dāng)于未加安全措施的個(gè)人計(jì)算機(jī)系統(tǒng)。雖然微軟的

系統(tǒng)加密技術(shù)有點(diǎn)讓人擔(dān)憂，可用上總比不用好。本

節(jié)將以Windows98系統(tǒng)為例介紹這方面的內(nèi)容。

膏單關(guān):學(xué)出版社

?Windows98系統(tǒng)的安全措施是由登錄機(jī)制、屏幕

保護(hù)密碼、文件夾共享密碼和遠(yuǎn)程管理密碼等部分

組成的。這些安全保護(hù)措施，Windows98系統(tǒng)都

提供了安裝和設(shè)置方法，大部分方法可以通過修改

Windows98系統(tǒng)的注冊(cè)表來實(shí)現(xiàn)。

4.4.1Windows98的登錄機(jī)制

?Windows98系統(tǒng)登錄方式有三種：Microsoft網(wǎng)絡(luò)

用戶1、Microsoft友好登錄和Windows登錄。其中

Microsoft網(wǎng)絡(luò)用戶和Microsoft友好登錄兩種選項(xiàng),

只有在Windows98系統(tǒng)安裝網(wǎng)絡(luò)適配器（如網(wǎng)卡或

撥號(hào)適配器）時(shí)才能選擇。

辰華文學(xué)出瓶社麟制巽

1.Windows98系統(tǒng)登錄

?嚴(yán)格講，Windows登錄選項(xiàng)對(duì)系統(tǒng)起不到安全保護(hù)

作用。Microsoft公司設(shè)計(jì)Windows登錄機(jī)制的用意

主要在于區(qū)分不同用戶使用Windows98系統(tǒng)有一

個(gè)個(gè)性化的桌面和菜單選項(xiàng)，而不在于保護(hù)系統(tǒng)和

防止非法用尸使用計(jì)算機(jī)。所以，用戶在Windows

98啟動(dòng)后出現(xiàn)“Windows登錄”界面時(shí)，如圖4.4

所示，如不輸入密碼，單擊“取消”選項(xiàng)也可進(jìn)入

Windows98桌面。

清華大學(xué)出版社

圖4.4

清華文學(xué)出瓶社氟麗恩糜黑翳曼

J?!-->，JI-./>*f,.▲尸一"二J*：J[-?，:,,?fi'?.'J'~?*—/

2.Microsoft網(wǎng)絡(luò)用戶和Microsoft友好登錄

?這兩種選項(xiàng)只有Windows98在網(wǎng)絡(luò)中存在才可以

選擇，當(dāng)Windows98系統(tǒng)作為網(wǎng)絡(luò)中的一個(gè)主機(jī)

時(shí)，這個(gè)用戶必須以“Microsoft網(wǎng)絡(luò)用戶”的身

份登錄。如果用戶選擇了“Microsoft網(wǎng)絡(luò)用戶”

選項(xiàng)，在Windows98啟動(dòng)后出現(xiàn)“Microsoft網(wǎng)絡(luò)

用戶登錄”界面，如圖4.5所示，如不輸入密碼，

單擊“取消”選項(xiàng)也可進(jìn)入Windows98桌面，用

戶將不能使用網(wǎng)絡(luò)資源，但并不妨礙用戶使用本機(jī)

的資源。至于"Microsoft友好登錄”選項(xiàng)，它與

“Microsoft網(wǎng)絡(luò)用戶”選項(xiàng)的作用相同，如圖4.6

所示，惟一的區(qū)別是登錄界面更漂亮一點(diǎn)。

清華大學(xué)出版社

圖4.5

圖4.6

信華大學(xué)出版社

?上述3種選項(xiàng)的選擇步驟是：

?啟動(dòng)Windows98系統(tǒng)進(jìn)入系統(tǒng)桌面—用鼠標(biāo)右擊

Windows98的“網(wǎng)絡(luò)鄰居”圖標(biāo)一“屬性”，出

現(xiàn)“網(wǎng)絡(luò)”窗體一“配置”，其中“主網(wǎng)絡(luò)登錄

(L)”的設(shè)置即為“Windows98登錄”的設(shè)置選項(xiàng),

如圖4.7所示。

配置I標(biāo)識(shí)］訪問控制］

，經(jīng)安裝了下列網(wǎng)絡(luò)組件國)：

r*X/SPX兼容協(xié)議->RealtekRTLB029Ethernetjj

riPX/SPX兼容協(xié)議->撥號(hào)網(wǎng)絡(luò)適配器

TCP/IP->RealtekRTL8029EthernetAdapteran

FTCP/IP->撥號(hào)網(wǎng)絡(luò)適配器

^Microsoft網(wǎng)絡(luò)上的文件與打印機(jī)共享

11±r

添加④…刪除由屬性⑥

主網(wǎng)絡(luò)登錄&):

確定I取消I

圖4.7

清華亍:學(xué)出版社士扁W

j?土sjIm>>ri與尸7T7

4.4.2Windows98的屏幕保護(hù)機(jī)制

?Windows98可以設(shè)置屏幕保護(hù)程序，其作用是：

當(dāng)用戶要離開計(jì)算機(jī)一段時(shí)間，而又不能關(guān)閉計(jì)算

機(jī)的電源時(shí)（如計(jì)算機(jī)正在進(jìn)行運(yùn)算），為了保護(hù)計(jì)

算機(jī)，可設(shè)定計(jì)算機(jī)在一段時(shí)間后不進(jìn)行操作，計(jì)

算機(jī)將進(jìn)入屏幕保護(hù)狀態(tài)以保護(hù)計(jì)算機(jī)的顯示器和

硬盤，使其進(jìn)入節(jié)能狀態(tài)。在設(shè)置屏幕保護(hù)程序時(shí),

可選擇“密碼保護(hù)”選項(xiàng)，這樣當(dāng)計(jì)算機(jī)進(jìn)入“屏

幕保護(hù)”狀態(tài)后，如要使計(jì)算機(jī)恢復(fù)到正常狀態(tài)，

就需要密碼，否則將不能操作計(jì)算機(jī)，從而達(dá)到保

護(hù)計(jì)算機(jī)安全的目的。

?Windows98系統(tǒng)屏幕保護(hù)程序設(shè)計(jì)的步驟為：

?啟動(dòng)Windows98系統(tǒng)進(jìn)入系統(tǒng)桌面，選擇“啟動(dòng)”

信華大學(xué)出頒強(qiáng)常思層/部肥鍬震星方

J?-'?J-I,/'J.，：,/-''-」1-'J.?*1*'?'J~~*

一“設(shè)置”-“控制面板”一“顯示”，出現(xiàn)

“顯示屬性”窗體，選擇“屏幕保護(hù)程序”選項(xiàng)，

如圖在“屏幕保護(hù)程序）”位置，可選擇屏幕保護(hù)程

序，同時(shí)，選定“密碼保護(hù)”選項(xiàng)，可輸入保護(hù)密

碼，如圖4.8所示，同時(shí)輸入啟動(dòng)保護(hù)程序的時(shí)間，

按“確定”，就完成了屏幕保護(hù)程序的設(shè)置工作。

4.4.3Windows98共享資源和遠(yuǎn)程管理機(jī)制

?當(dāng)Windows98系統(tǒng)與其他計(jì)算機(jī)聯(lián)成網(wǎng)絡(luò)時(shí)，計(jì)

算機(jī)的資源可以相互共享，為了保護(hù)計(jì)算機(jī)系統(tǒng)的

安全，Windows98有簡單的權(quán)限控制，其訪問控

制方式有兩種：共享級(jí)訪問控制方式和用戶級(jí)訪問

控制方式。

清華廣學(xué)出版社

?用戶級(jí)訪問控制方式要求在網(wǎng)絡(luò)中必須有域服務(wù)器，

通過域服務(wù)器（例如WindowsNT/2000的域服務(wù)器）來管

理Windows98的資源，這種方法安全性較高，其設(shè)置

方法同WindowsNT/2000的共享資源的設(shè)置，將陸續(xù)

在WindowsNT/2000的安全性中講解。

?在沒有域服務(wù)器的對(duì)等網(wǎng)絡(luò)中，Windows98的共享資

源管理只能采用共享級(jí)訪問控制方式，選擇共享級(jí)控

制方式的權(quán)限有3種：“只讀”、“完全”和“根據(jù)密

碼訪問”。選擇“只讀”時(shí)，其他計(jì)算機(jī)用戶只能讀

取本機(jī)共享目錄下的文件和子目錄，而不能修改和刪

除該目錄下的文件和子目錄；選擇“完全”共享類型,

其他計(jì)算機(jī)用戶可完全控制（即：可以讀取也可修改或

刪除）共享目錄下的文件和子目錄；選擇“需要密碼”

時(shí)，需要輸入“只讀”和“完全”共享的密碼，其他

計(jì)算機(jī)用戶必須提供密碼來決定它使用共享目錄下的

背景屏幕保護(hù)程序|外觀［效果］Web］設(shè)置］

_47F?一

屏幕保護(hù)程序?

pis3設(shè)置3I毓?I

B密碼保護(hù)0)更改0|等待世H|10二1分鐘

監(jiān)視器的節(jié)能特征9

M由“訕魯”

贓0|

確定。消|??

圖4.8

清華交學(xué)包版苞城；,1

?Windows98系統(tǒng)共享資源的訪問控制方式設(shè)置步驟為:

⑴“Microsoft網(wǎng)絡(luò)上的文件和打印機(jī)共享”的設(shè)定

?啟動(dòng)Windows98系統(tǒng)進(jìn)入系統(tǒng)桌面一用鼠標(biāo)右擊

Windows98的“網(wǎng)絡(luò)鄰居”圖標(biāo)一“屬性”，出現(xiàn)

“網(wǎng)絡(luò)，，窗體-“配置，，一“添加”，出現(xiàn)“請(qǐng)選擇

網(wǎng)絡(luò)組件類型”窗體，在窗體中選擇“服務(wù)”，單擊

“添力口”按鈕-“選擇網(wǎng)絡(luò)服務(wù)”窗體，在“選擇網(wǎng)

絡(luò)服務(wù)”窗體中，選擇“Microsoft網(wǎng)絡(luò)上的文件和打

印機(jī)共享”，單擊“確認(rèn)”按鈕，關(guān)閉“選擇網(wǎng)絡(luò)服

務(wù)”窗體一單擊“取消”按鈕，關(guān)閉“請(qǐng)選擇網(wǎng)絡(luò)組

件類型”窗體，回到“網(wǎng)絡(luò)”窗體一在“網(wǎng)絡(luò)”窗體

中單擊“文件及打印共享”-“文件及打印共享”窗

體，將所有“允許其他用戶訪問我的文件”和“允許

其他用戶使用我的打印機(jī)”兩個(gè)選項(xiàng)選上，關(guān)閉窗口返

回到“網(wǎng)絡(luò)，，窗體中，如圖4.9所示。

_?J2￡|

配置|標(biāo)識(shí)|訪問控制］

.經(jīng)安裝了下列網(wǎng)絡(luò)網(wǎng)件QI）：

rIPX/SPX兼容協(xié)議-「RealtekRTL8029Ethernet±J

tlPX/SPX兼容協(xié)議->撥號(hào)網(wǎng)絡(luò)適配器

,FTCP/IP->RealtekRTL8029EthernetAdapter皿

rTCP/IP->撥號(hào)網(wǎng)絡(luò)適配器

^Microsoft網(wǎng)絡(luò)上的文件與打印機(jī)共享V

用I±r

硒④|||

主網(wǎng)絡(luò)登錄1）：

文件及打卬共享國）...

圖4.9

(2)設(shè)置“共享級(jí)訪問控制方式”

?在⑴中的“網(wǎng)絡(luò)”窗體中，選擇“訪問控制”，

選擇“共享級(jí)訪問控制”，如圖4.10所示，單擊

“確定”按鈕，重新啟動(dòng)Windows98系統(tǒng)。

猾華大學(xué)出版社

圖4.10

清華十字出版社_-

(3)設(shè)置晏翱!

?當(dāng)設(shè)置完步驟(1)和(2)后，如要將計(jì)算機(jī)的資源(假

設(shè)磁盤C)設(shè)置成共享權(quán)限，設(shè)置步驟如下：重新啟

動(dòng)計(jì)算機(jī)，在出現(xiàn)登錄對(duì)話框中輸入一個(gè)用戶名及

其密碼后，單擊“確定”按鈕即登錄到本機(jī)，同時(shí)

可以使用網(wǎng)絡(luò)上的共享資源。用戶名和密碼是由用

戶任意設(shè)定的第一次使用某個(gè)用戶名登錄時(shí)需要確

認(rèn)輸入的密碼。

?注意：在輸入用戶名和密碼后，必須單擊“確定”

按鈕方可訪問網(wǎng)絡(luò)中的資源，如果“取消”則僅將

該機(jī)作為單機(jī)使用，在網(wǎng)絡(luò)鄰居中將找不到其他計(jì)

算機(jī)的共享資源。

高華大學(xué)出版社"3端於拗城fllMBB霆I??

?當(dāng)進(jìn)入到計(jì)算機(jī)Windows98系統(tǒng)后，打開“我的

電腦”，右擊磁盤C：的圖標(biāo)，在出現(xiàn)的菜單中，

選擇“共享”，在屏幕顯示的對(duì)話框中選擇“共享

為"，輸入一個(gè)共享名(如“Win98C”)，選擇3種

共享方式中的一種：選擇“只讀”、“完全”或

“根據(jù)密碼訪問”，選擇“根據(jù)密碼訪問”時(shí)，還

需輸入“只讀”和“完全”共享的共享密碼(為了

使計(jì)算機(jī)系統(tǒng)更加安全可靠，一般設(shè)定共享資源的

權(quán)限最好采用“根據(jù)密碼訪問”)。如圖4.11所示，

這樣其他計(jì)算機(jī)用戶就可以使用設(shè)置的共享資源

Win98c了。

清華大學(xué)出版社???????

圖4.11

（4）使用Windows98的共享資源

?在網(wǎng)絡(luò)中，如有計(jì)算機(jī)使用已設(shè)置好的共享資源

（如計(jì)算機(jī)WS1的共享資源WE98C）,當(dāng)該計(jì)算機(jī)

登錄到Windows98系統(tǒng)后，打開“網(wǎng)上鄰居”，

顯示“整個(gè)網(wǎng)絡(luò)”以及同組典各計(jì)算機(jī)名，將發(fā)現(xiàn)

計(jì)算機(jī)WS1。雙擊WSL顯示共享名WE98C,雙

擊共享名Win98c可以訪問WS1的磁盤C上的文件

或目錄（如果Wi1198c資源設(shè)定的權(quán)限是“根據(jù)密

碼訪問”，則雙擊共享名Win98c后還需提供相關(guān)

的密碼）。

?另外，Windows98系統(tǒng)的資源可通過遠(yuǎn)程的計(jì)算

機(jī)來管理，這就是Windows98的遠(yuǎn)程管理機(jī)制，

啟動(dòng)Windows98遠(yuǎn)程管理機(jī)制，其他局域網(wǎng)的網(wǎng)

絡(luò)用戶可以通過網(wǎng)絡(luò)管理Windows98系統(tǒng)下的文

件和打印機(jī)(包括Windows98資源的共享訪問機(jī)制

的設(shè)置)。

?啟動(dòng)Windows98遠(yuǎn)程管理機(jī)制的步驟為：

(1)啟動(dòng)Windows98遠(yuǎn)程管理服務(wù)

?啟動(dòng)Windows98系統(tǒng)進(jìn)入系統(tǒng)桌面，選擇“開

始”—“設(shè)置”一“控制面板”一“密

碼，，一“密碼屬性”窗體，在“密碼屬性”窗體中

選擇“遠(yuǎn)程管理”一選定和激活“啟用此服務(wù)器的

遠(yuǎn)程管理”，同時(shí)，輸入遠(yuǎn)程管理密碼，輸入兩遍

密碼，如圖4.12所示，按“確定”關(guān)閉“密碼屬性”

窗體，即可完成操作。要想使“啟動(dòng)Windows98

遠(yuǎn)程管理服務(wù)”成功，還需先完成“Windows98

系統(tǒng)共享資源的訪問控制方式”設(shè)置步驟(1)和(2)。

高華十字出版社

圖4.12

清筠大學(xué)出版艇—量葡制

(2)遠(yuǎn)程管理Windows98的資源

?當(dāng)一臺(tái)計(jì)算機(jī)已設(shè)置了遠(yuǎn)程管理服務(wù)，就可以通過

局域網(wǎng)的任何一臺(tái)Windows98計(jì)算機(jī)管理該計(jì)算

機(jī)的文件和打印機(jī)了。假設(shè)計(jì)算機(jī)WS1已經(jīng)配置了

遠(yuǎn)程管理服務(wù)，現(xiàn)在通過WS2來管理WS1的資源，

其步驟如下。

?啟動(dòng)WS2以“Microsoft網(wǎng)絡(luò)用戶”的身份登錄到

本機(jī)的Windows98桌面上，打開“網(wǎng)上鄰居”，

顯示“整個(gè)網(wǎng)絡(luò)”以及同組的各計(jì)算機(jī)名，將發(fā)現(xiàn)

計(jì)算機(jī)WS1一用鼠標(biāo)右擊“WS1”圖標(biāo)一“屬

性，，一出現(xiàn)“WS1屬性”窗體，單擊“工具”欄，

窗體中顯示3個(gè)配置按鈕：“網(wǎng)絡(luò)監(jiān)視器”、“系

統(tǒng)監(jiān)視器”和“管理程序”，其中通過“網(wǎng)絡(luò)監(jiān)視

器”允許查看WS1上的

清華亍:學(xué)出施袍氟淵昌翱昌網(wǎng)思

J?-J?J./"——J?'J，，'JI-''-，1.J,?^1*'?'J*~^^Z*~~'

共享目錄和通過網(wǎng)絡(luò)正在使用該目錄的用戶，

“系統(tǒng)監(jiān)視器”允許查看WS1上的磁盤訪問與網(wǎng)絡(luò)

的使用情況，而“管理程序”則是遠(yuǎn)程管理WS1的

文件和打印機(jī)的共享設(shè)置，3個(gè)配置選項(xiàng)都需要提

供WS1的遠(yuǎn)程管理密碼?，F(xiàn)在單擊“管理程

序”-“輸入網(wǎng)絡(luò)密碼”窗體，如圖4.13所示，輸

入WS1的遠(yuǎn)程管理密碼，出現(xiàn)“計(jì)算機(jī)WS1所有資

源”的窗體，其中C$、D$等是WS1的磁盤C、D

的代號(hào)，不帶$符號(hào)的目錄為已設(shè)置好的共享目錄,

可以像設(shè)置本地計(jì)算機(jī)的資源那樣設(shè)置WS1的C$

及口$及其子目錄等資源的共享，同時(shí)也可以改變

不帶$符號(hào)的共享目錄的訪問控制方式，如圖4.14

所示。

上］兇

越絡(luò)陰視蹌QP

位控計(jì)邕機(jī)

香臚機(jī)器允許泰看匕1上的磁叁訪問考網(wǎng)絡(luò)使用

樂妹愈迷弱@

智理文件察茨

管理使您可以更改m的模置.

管理程序Q)

圖4.13

三

a

圖4.14

清華交學(xué)出版社酬胡耀懶

｝少產(chǎn)，??，*少￡力/土5冗迫"Lf」二rZ>Zz

4.4.4Windows98注冊(cè)表的機(jī)制

?注冊(cè)表是Windows98系統(tǒng)的核心，在注冊(cè)表中存

儲(chǔ)看系統(tǒng)的所有硬件和軟件信息，通過它可以控制

操作系統(tǒng)的行為。因此，它的安全直接關(guān)系到

Windows98系統(tǒng)的安全，黑客的進(jìn)攻往往以它為

主要目標(biāo)。下面詳細(xì)介紹注冊(cè)表的作用和保護(hù)措施。

?注冊(cè)表是一個(gè)包含有Windows98系統(tǒng)和應(yīng)用程序

以及硬件信息的中央數(shù)據(jù)庫，是Windows98系統(tǒng)

的核心之一。它存儲(chǔ)在Windows98目錄下的

system.dat文件中，這是一個(gè)只讀的、隱臧的文件。

Windows98每次啟動(dòng)時(shí)都要用到它，并把它備份

至Usystem.dOO至Usystem.d04共5個(gè)文件中。當(dāng)啟動(dòng)后

加載的system.dat文件受損后，Windows98自動(dòng)按

照備份時(shí)間順序由新到舊調(diào)用備份注冊(cè)表文件覆蓋

現(xiàn)在使用的system.dat文件，以恢復(fù)操作系統(tǒng)的穩(wěn)

定性?？梢娮?cè)表在Windows98中是多么重要。

通過它幾乎可以修改Windows系統(tǒng)的任何一個(gè)設(shè)置,

包括開始程序的設(shè)置、硬件參數(shù)的修改、桌面的修

改、實(shí)現(xiàn)系統(tǒng)的優(yōu)化等等，因此，它對(duì)于整個(gè)

Windows系統(tǒng)的安全起著重要的作用。

?注冊(cè)表是以樹型結(jié)構(gòu)存在的，就像資源管理器一樣,

不過它的目錄項(xiàng)的含義與其不同，一共有5種不同

的類型，包括：

?根鍵：注冊(cè)表的根目錄，相當(dāng)于磁盤上的根目錄

如：C:\；

?鍵和子鍵：相當(dāng)于磁盤上的子目錄，在鍵下是子

鍵，就像目錄可以包括子目錄一樣。

-鍵值項(xiàng)：相當(dāng)于磁盤