计算机及网络系统的安全性二

第4章计算机及网络系统的安全性4.1计算机系统的安全保护机制4.2计算机系统的安全等级4.3计算机的开机口令验证机制4.4Windows95/98/ME的安全保护机制4.5利用注册表提高Windows95/98/ME的安全性4.6Windows98系统安全策略编辑器4.7Windows95/98/ME的缺陷和防范措施4.8计算机文档的保密问题4.9本章小结练习题计算机和网络工作站是目前应用最广泛的设备，计算机网络的安全在很大程度上依赖于网络终端和客户工作站的安全。目前的计算机系统安全级别特别低，几乎没有进行特别有力的防范措施。在未联网的单机时代，安全问题造成的损失较少，并未引起人们的注意。处于网络时代的今天，未加保护的计算机系统联入网络，由于非法用户的入侵、计算机数据的破坏和泄密，将会给人们造成无法估量的损失。因此，了解和掌握计算机及网络系统的安全保护机制，加强安全防范措施，使计算机系统变得更加安全，已变得非常必要。本章主要讨论有关计算机系统安全方面的内容，包括：计算机系统的安全保护机制；评估计算机系统的安全等级；计算机BIOS程序的安全设置和保护机制；计算机BIOS程序密码的破解和防范措施；Windows95/98/ME的有关安全保护机制；非法用户入侵Windows95/98/ME的方法和防范措施；Windows95/98/ME对等网络中权限和安全机制；计算机Word文档的保密问题。4.1计算机系统的安全保护机制随着计算机技术的发展，计算机系统的安全越来越被人们所关注。非授权用户常常对计算机系统进行非法访问，这种非法访问使系统中存储信息的完整性受到威胁，导致信息被修改或破坏而不能继续使用，更为严重的是系统中有价值的信息泄密和被非法篡改、伪造、窃取或删除而不留任何痕迹。要保护计算机系统，必须从技术上了解计算机系统安全访问控制的保护机制。为了防止非法用户使用计算机系统或者合法用户对系统资源的非法访问，需要对计算机实体进行访问控制。例如，银行信息系统的自动提款机为合法用户提供现款，但它必须对提款的用户身份进行识别和验证，对提款的行为进行监督控制，以防止非法用户的欺诈行为。存取控制主要包括授权、确定存取权限和实施权限3个内容。一个计算机系统的存取控制仅指本系统内的主体对客体的存取控制，不包括外界对系统的存取(其中主体指使用网络系统的用户和用户组，客体指网络系统中系统资源，如文件、打印机等资源)。因此，实施存取控制是维护系统运行安全、保护系统资源的重要技术手段。存取控制是对处理状态下的信息进行保护，是保证对所有的直接存取活动进行授权的重要手段；同时，存取控制要对程序执行期间访问资源的合法性进行检查。它控制着对数据和程序的读、写、修改、删除、执行等操作，防止因事故和有意破坏对信息的威胁。存取控制必须对访问者的身份和行为实施一定的限制，这是保证系统安全所必须的。要解决上述问题，需要采取两种措施：识别与验证访问系统的用户；决定用户对某一系统资源可进行何种访问(读、写、修改、运行等)。4.1.1用户的识别和验证要求用户在使用计算机以前，首先向计算机输入自己的用户名和身份鉴别数据(如口令、标识卡、指纹等)，以便进行用户的识别与验证，防止冒名顶替和非法入侵。所谓“识别”，就是要明确访问者是谁，即识别访问者的身份。必须对系统中的每个合法用户都有识别能力，要保证识别的有效性，必须保证任意两个不同的用户都不能具有相同的标识符。通过惟一标识符(1D)，系统可以识别出访问系统的每一个用户。所谓“验证”，是指在访问者声明自己的身份(向系统输入它的标识符)后，系统必须对它所声明的身份进行验证，以防假冒，实际上就是证实用户的身份。验证过程总是需要用户出具能够证明他身份的特殊信息，这个信息是秘密的，任何其他用户都不能拥有它。识别与验证是涉及到系统和用户的一个全过程。只有识别与验证过程都正确后，系统才能允许用户访问系统资源。利用物理锁可以对一些重要的资源实施控制。只要把需要保护的系统资源用锁锁上，而钥匙由自己掌握，那么没有钥匙的人是不能访问受到保护的资源的。在这里，ID相当于钥匙，系统根据不同的ID可对其分配相应的不同的可使用资源。但拥有钥匙的用户不一定是合法拥有者，所以需采用验证技术证实用户的合法身份，这种技术可以有效地防止由于ID的非法泄露所产生的安全问题。口令机制是一种简便的验证手段，但比较脆弱。生物技术，如利用指纹、视网膜技术等，是一种比较有前途的方法。目前计算机系统最常用的验证手段仍是口令机制，它通过下述各种方法来加强其可靠性。口令需加密后存放在系统数据库中，一般采用单向加密算法对口令进行加密。要使输入口令的次数尽量减少，以防意外泄露。当用户离开系统所属的组织时，要及时更换他的口令。不要将口令存放在文件或程序中，以防其他用户读取该文件或程序时发现口令。用户要经常更换口令，使自己的口令不易被猜测出来。4.1.2决定用户访问权限对于一个已被系统识别与验证了的用户，还要对其访问操作实施一定的限制。可以把用户分为具有如下几种属性的用户类。特殊的用户：这种用户是系统的管理员，具有最高级别的特权，可以对系统任何资源进行访问，并具有所有类型的访问、操作能力。一般的用户：即系统的一般用户，他们的访问操作要受到一定的限制，通常需要由系统管理员对这类用户分配不同的访问操作权力。审计的用户：这类用户负责整个系统范围的安全控制与资源使用情况的审计。作废的用户：这是一类被拒绝访问系统的用户，也可能是非法用户。4.2计计算机系统的的安全等级为了对一个计计算机系统进进行安全评估估，美国国防防部按处理信信息的等级和和应采用的相相应措施，将将计算机安全全分为：A、、B、C、D4等8个个级别，共27条评估准准则。从最低低等级D等开开始，到A等等。随着安全全等级的提高高，系统的可可信度随之增增加，风险逐逐渐减少。下面，对每个个安全等级的的内容和要求求作简要说明明。4.2.1非非保护级级D等是最低保保护等级，即即非保护级。。它是为那些些经过评估，，但不满足较较高评估等级级要求的系统统设计的，只只具有一个级级别。该等是是指不符合要要求的那些系系统。因此，，这种系统不不能在多用户户环境下处理理敏感信息。。D级并非没没有安全保护护功能，只是是保护功能太太弱。4.2.2自自主保护护级C等为自主保保护级，具有有一定的保护护功能，采用用的措施是自自主访问控制制和审计跟踪踪。它一般只只适用于具有有一定等级的的多用户环境境，并具有对对主体责任和和对他们的初初始动作审计计的能力。它它的各级提供供无条件的安安全保护，并并通过审计追追踪，对主体体及其产生的的动作负责。。这一等级分分为Cl和C2两个级别别。1.自主主安全保护级级(C1级)其存取控制的的基础是以指指名道姓的方方式，提供了了各用户与数数据的隔离，，以符合自主主安全要求。。它包含了若若干可信控制制方式，能在在个体基础上上实施存取限限制，即允许许用户保护他他自己的项目目和隐私信息息，防止他的的数据被别的的用户无意读读取或破坏。。Cl级通过提提供用户与数数据隔离，就就能够满足市市场可信计算算机(TCB，trustedcomputingbase)自自动安全要求求。所谓可信信计算机是一一个安全计算算机系统的参参考校验机制制。它包括所所有负责实施施安全策略，，以及对保护护系统所依赖赖的客体实施施隔离操作的的系统单元，，简单地说，，即所有与系系统安全有关关的功能均包包含在TCB中。在这一级，TCB应在命命名用户和命命名的客体之之间定义和进进行访问控制制。它用的机机理(如个人人／组／公共共控制、访问问控制表)应应允许客体拥拥有者指定和和控制客体是是由自己使用用，还是由用用户组或公共共使用。该级级需要在进行行任何活动之之前，TCB去确认用户户身份(如采采用口令)，，并保护确认认数据，以免免未经授权对确认数据的的访问和修改改。通过用户户拥有者的自自主定义和控控制，可以防防止自己的数数据被别的用用户有意或无无意地读出、、篡改、干涉涉和破坏。同同时提供软件件和硬件特性性，并定期检检查其运行的的正确性。系系统的完整性性要求硬件和和软件能提供供保证TCB连续有效操操作特性。目前生产的大大多数计算机机系统都能达达到这一等级级，但这级系系统不一定要要经过严格的的评价。评价价为Cl级多多是依据系统统的某些特点点。2.可控控安全保护级级(C2级)在C2级，计计算机系统比比C1级有更更具体的自主主访问控制。。通过注册过过程，同与安安全有关的事事件和资源隔隔离，使得用用户的操作有有可查性。在在安全方面，，除具备Cl级所所有功能外，，还提供授权权服务。并且且可提供控制制，以防止存存取权力的扩扩散。应确定定用户的动作作或默认客体体提供的保护护，避免非授授权存取。它它可指定哪些些用户可以访访问哪些客体体，未经授权权用户不得访访问已指定访访问权的客体体。同时还提提供了客体再再用功能，即即对于一个未未使用的存储储客体，TCB应该能够够保证该客体体不包含未授授权主体的数数据。在这一方面，，除具有Cl级全部功能能外，还提供供惟一的识别别自动数据处处理系统中各各个用户的能能力；提供将将这种身份与与该客体用户户发生的所有有审计动作相相联系的能力力。C2级系系统能与该识识别符合，可可审计所有主主体进行的各各种活动；能能对可信计算算机(TCB)进行建立立和维护，对对客体存取的的审计进行跟跟踪，并保护护审计信息，，防止被修改改、毁坏或未未经授权访问问。TCB还能记记录下列类型型的事件：确确认和识别安安全机理的使使用，将客体体引入一用户户地址空间，，客体的删除除，操作人员员、系统管理理人员和安全全管理人员进进行的各种与与安全相关的的活动。对每个审计事事件，审计记记录应包括：：用户名、事事件发生时间间、事件类型型、事件的成成功或失败等等。对于确认事件件，请求源(如终端ID)也应包括括在审计记录录中。对于客体进行行访问的事件件，审计记录录应包括客体体名。自动数据处理理系统管理人人员应能通过过识别符，有有选择地审计计任一用户或或多个用户的的活动。除Cl级的要要求外，TCB还必须保保留一特定区区域，以防外外部人员的篡篡改。由于TCB控制的的资源是以主主体和客体定义的的子集，TCB应与被保保护的资源隔隔离，以使存存取控制更容容易，从而达达到审计的目目的。DEC公司的VAX／VMS操作系统、、Novell公司的NetWare系统和Microsoft公司司的WindowsNT/2000都被确认认为C2级。。4.2.3强强制安全全保护级B等为强制保保护级，这一一等级比C等等级的安全功功能有很大增增强。它要求求对客体实施施强制访问控控制，并要求求客体必须带带有敏感标志志，可信计算算机利用它去去施加强制访访问控制。这这一部分可分分为Bl、B2、B3共共3级。1.标记记安全保护级级(B1)从本级开始，，不但有自主主存取控制，，还增加了强强制存取控制制，组织统一一干预每个用用户的存取权权限。本级具具有C2级的的全部安全特特性，并增加加了数据标记记，以标记决决定已命名主主体对该客体体的存取控制制。本级还规规定在测试过过程中发现的的缺陷应当已已全部排除。。2.结构构化保护级(B2)从本级开始，，按最小特权权原则取消权权力无限大的的“特权用户户”。任何一一个人都不能能享有操纵和和管理计算机机的全部权力力。本级将系系统管理员与与系统操作员员的职能隔离离，系统管理理员对系统的的配置和可信信设施进行强强有力的管理理，系统操作作员操纵计算算机正常运行行。本级将强强制存取控制制扩展到计算算机的全部主主体和全部客体，，并且要发现现和消除能造造成信息泄漏漏的隐蔽存储储信道。为此此，本级计算算机安全级的的结构，将被被自行划分为为与安全保护护有关的关键键部分和非关关键部分。3.安全全域级(B3)本级在计算机机安全方面已已达到目前能能达到的最完完备等级。按按照最小特权权的原则，本本级增加了安安全管理员，，将系统管理理员、系统操操作员和安全全管理员的职职能隔离，使使其各司其职职，将人为因因素对计算机机安全的威胁胁减至最小。。本级要求在在计算机安全全级的结构中中，没有为实实现安全策略略所不必要的的代码。它的的所有部分都都是与保护有有关的关键部部件，并且它它是用系统工工程方法实现现的，其结构构的复杂性最最小，易于分分析和测试。本本级的审计功功能有很大的的增加，不但但能记录违反反安全的事件件，而且能发发出报警信号号。本级还要要求具有使系系统恢复运行行的程序。4.2.4验验证安全全保护级A等是验证保保护级。它的的显著特征是是从形式设计计规范说明和和验证技术导导出分析，并并高度地保证证正确地实现现TCB。其其特点是使用用形式化验证证方法，以保保证系统的自自主访问和强强制访问，控控制机理能有有效地使该系系统存储和处处理秘密信息息或其他敏感感信息。该等等级分为A1和超A1两两个级别。1.验证证设计级(A1级)本级的安全功功能与B3级级基本相同，，但最明显的的不同是本级必须须对相同的设设计，运用数数学形式化证证明方法加以以验证，以证证明安全功能能的正确性。。本级还规定定了将安全计计算机系统运运送到现场安安装所必须的的程序。2.超A1级由于超Al级级超出目前的的技术发展，，有些具体要要求很难提出出，仅提供了了一些设想。。它为今后研研究提供指导导。综上所述，对对可信计算机机而言，D级级是不具备最最低限度安全全的等级；C1和C2级级是具备最低低安全限度的的等级；B1和B2级是是具有中等安安全保护能力力的等级，与与C级相比是是较高安全等等级，对于一一般的重要应应用基本上可可以满足安全全要求；B3级和A1级级是最高安全等级，，其成本高，，只有极重要要的应用才需需使用这种安安全等级的设设备。4.3计计算机的开机机口令验证机机制目前PC机是是世界上使用用最多的计算算机，PC机机上运行的操操作系统多为为MSDOS或Windows95/98/ME等，而而Windows95/98/ME等系统简简单易学，且且具有友好的的界面、丰富富的应用软件件成为个人用用户的首选。。然而，由于于Windows95/98/ME本身就不不是为网络应应用设计的，，因此它存在在许多安全性性方面的问题题，是十分容容易被攻击的的。根据美国计算算机安全中心心(NCSC)公布的可可信计算机系系统评价准则则(TCSEC，trustedcomputersystemevaluationcriteria)，Windows95/98/ME只能能达到D级，，基本上相当当于未加安全全措施的个人人计算机系统统。而在另一方面面，因为Windows95/98/ME的的流行，许多多黑客工具在在设计时就考考虑了Windows95/98/ME的兼兼容性，许多多黑客也利用用它来攻击网网络系统。因因此，对于个个人计算机系系统，用启动动开机口令的的开机验证机机制防止非法法用户使用计计算机，是非非常必要的。。开机口令的的开机验证机机制是由计算算机的BIOS(BaseInput/OutputSystem)程序来来管理的，下下面将介绍这这方面的内容容。4.3.1BIOS的口令机机制BIOS的口口令机制俗称称CMOS口口令设置，CMOS口令令是保证计算算机信息安全全的第一道屏屏障。CMOS(本意是是指互补金属属氧化物半导导体存储器，，应用于集成成电路芯片制制造)是电脑脑主板上的一一块可读写的的RAM芯片片，主要用来来保存当前系系统的硬件配配置，CMOSRAM芯片由系统统通过一块后后备电池供电电，所以无论论是开或关机机状态中，CMOS的信信息都不会丢丢失。CMOS口令分为为CMOS开开机口令和BIOS设置置口令。如设设置了CMOS开机口令令，则计算机机在开机完成成硬件自检后后将要求操作作者输入密码码，如密码不不正确，将不不能进入CMOS参数设设置，亦无法法继续启动操操作系统，更更无从谈起运运行其他软件件了。如计计算算机机仅仅设设置置了了BIOS设设置置口口令令，，则则虽虽然然在在启启动动操操作作系系统统和和运运行行各各种种软软件件时时不不受受限限制制，，但但如如要要进进入入BIOS设设置置程程序序必必须须输输入入预预设设的的口口令令，，否否则则无无法法改改变变CMOS参参数数。。因因此此，，根根据据实实际际需需要要，，合合理理地地设设置置CMOS口口令令，，是是做做好好计计算算机机信信息息安安全全工工作作的的重重要要途途径径。。计算算机机有有很很多多种种不不同同的的BIOS程程序序，，最最有有名名的的是是AWARDBIOS和和AMIBIOS程程序序。。下下面面以以AWARDBIOS为为例例讨讨论论BIOS中中CMOS的的开开机机密密码码的的设设置置，，设设置置方方法法如如下下。。(1)启启动动计计算算机机，，在在计计算算机机正正在在启启动动时时不不停停地地按按DEL键键(注注意意，，是是不不停停地地按按动动，，而而不不是是按按住住不不放放)，，直直到到出出现现如如图图4.1所所示示的的CMOSSETUP设设置置界界面面时时为止止(有有的的计计算算机机进进入入CMOS的的快快捷捷键键不不是是DEL，，例例如如康康柏柏计计算算机机的的CMOS设设置置是是按按F2键键，，需需要要看看具具体体情情况况而而定定)，，其其中中的的加加框框的的选选项项与与开开机机的的CMOS密密码码的的有有关关。。(2)用用键键盘盘上上的的光光标标键键选选择择SUPERVISORPASSWORD项项，，然然后后回回车车，，出出现现ENTERPASSWORD后后，，输输入入密密码码再再回回车车，，这这时时又又出出现现CONFIRMPASSWORD，，在在其其后后再再次次输输入入同同一一密密码码(注注：：该该项项原原意意是是对对刚刚才才输输入入的的密密码码进进行行校校验验，，如如果果两两次次输输入入的的密密码码不不一一致致，，则则会会要要求求重重新新输输入入)。。SUPERVISORPASSWORD选选项项是是用用来来设设置置计计算算机机管管理理员员的的密密码码，，拥拥有有该该密密码码，，就就可可以以设设置置计计算算机机的的CMOS参参数数和和使使用用计计算算机机。。(3)用用光光标标键键选选择择USERPASSWORD项项后后回回车车，，同同上上面面一一样样，，密密码码需需输输入入两两次次才才能能生生效效。。以以上上设设置置的的两两个个密密码码分分别别为为设设置置密密码码和和修修改改CMOSSETUP密密码码，，建建议议两两个个均均取取同同一一密密码码，，以以便便记记忆忆。。USERPASSWORD选选项项是是用用来来设设置置使使用用计计算算机机的的用用户户密密码码，，拥拥有有该该密密码码，，就就可可以以使使用用计计算算机机。。(4)选选择择BIOSFEATURESSETUP项项回回车车，，出出现现BIOSFEATURESSETUP设设置置界界面面，，用用光光标标键键选选择择SECURITYOPION选选项项后后，，用用键键盘盘上上的的PAGEUP/PAGEDOWN键键把把选选项项改改为为SYSTEM(设设定定为为SYSTEM的的目目的的是是让让计计算算机机在在任任何何时时候候都都要要检检测测密密码码，，包包括括启启动动机机器器，，SECURITYOPION选选项项还还有有一一个个参参数数SETUP，，设设定定为为该该参参数数表表示示计计算算机机在在设设置置CMOS参参数数时时要要检检测测密密码码)，，然然后后按按ESC键键退退出出。。(5)选选择SAVE&EXITSETUP项回回车，，出现现提示示后按按Y键键再回回车，，以上上设置置的密密码即即可生生效。。图4.1通过以以上步步骤设设置以以后，，在计计算机机启动动和设设置CMOS参参数时时都要要检测测密码码。4.3.2BIOS的口口令破破解与与防范范措施施1.几几种常常见密密码破破解方方法在日常常的工工作中中，常常碰到到一些些用户户由于于遗忘忘了CMOS口口令或或无意意中设设置了了CMOS口令令，致致使计计算机机无法法启动动操作作系统统或无无法进进行CMOS参参数设设置的的情况况，很很多用用户对对此束束手无无策，，只能能送计计算机机公司司修理理，耽耽误了了很多多时间间。其实，，根据据CMOS口令令的设设置情情况，，可以以有很很多方方法来来破解解，其其原则则是：：如果果设置置了CMOS开开机口口令，，必须采采用硬硬件或或CMOS万能能密码码法破破解；；如果果仅设设置了了BIOS设置置口令令，破破解这这种口口令简简直易易如反反掌！！下面面给出出破解解CMOS口令令的各各种方方法。。注意意：这这些方方法当当然也也有可可能会会被黑黑客们们利用用，因因此亦亦应针针对这这些破破解方方法，，做好好自己己计算算机的的CMOS口令令保护护。2.硬硬件法法破解解CMOS口令令忘记了了电脑脑的BIOS密密码是是一件件不幸幸的事事，如如果将将BIOS设置置中的的SEURITYOPTION(密密码属属性)设为为ALWAYS/SETUP或SYSTEM则则更是是不幸幸中的的不幸幸，因因为此此时既既无法法进入入CMOS设置置程序序更改改口令令，也也无法法启动动操作作系统统用其其他方方法破破解，，只能能采取取在硬硬件上上进行行CMOS掉电电处理理和使使用万万能密密码这这两类类方法法解决决。下面介介绍CMOS掉掉电处处理的的方法法。这这里首首先需需要提提及的的是，，硬件件破解解的各各种方方法均均需在在计算算机关关机的的状态态下进进行(最好好将电电源线线拔掉掉，对对于ATX电源源尤应应如此此)，，先清清除人人身上上的静静电，，再打打开计计算机机机箱箱进行行，否否则可可能导导致计计算机机硬件件的损损坏。。(1)跳跳线/开关关放电电破解解法计算机机主板板上一一般都都有CMOSCLEAR(CMOS清除除)跳跳线位位置，，可参参照主主板说说明书书或主主板上上印制制的跳跳线说说明，，用一一跳线线在该该位置置上跳跳接一一下，，CMOS口令令就被被清除除了，，然后后将跳跳线恢恢复原原状，，开机机后即即能进进入CMOS设设置。。(2)导导线线划芯芯片放放电破破解法法硬件破破解CMOS口口令的的本质质是让让CMOSRAM芯片片掉电，，使其其中保保存的的设置置信息息丢失失，从从而达达到清清除CMOS口口令的的目的的(上上面跳跳线法法的实实质也也是这这样)，抓抓住了了这一一点，，在解解决此此类问问题时时，可可先将将CMOS电池池卸下下，然然后用用一根根导线线，将将其一一端接接到CMOS电电池插插座的的地线线端，，用另另一端端往CMOSRAM片的的两排排脚上上轻轻轻地一一扫而而过(如不不能确确认哪哪块是是CMOS芯片片，则则可多多扫几几块芯芯片，，扫时时注意意别损损伤了了芯片片引脚脚)，，CMOS密码码便会会被清清除。。此方方法适适用于于计算算机主主板上上没有有设计计CMOSCLEAR跳线线的情情况。。(3)卸卸电电池等等待法法这是一一种麻麻烦和和消极极的方方法。。我们们知道道，CMOS是是靠主主板上上的一一块电电池及及相应应的附附属电电路来来提供供电源源以保持持设置置信息息的，，因此此，如如果将将CMOS电池池取下下，再再将电电池接接口的的正负负极(注意意不是是电池池的正正负极极)短短路，，然后后等待待一段段时间间后，，CMOS供电电电路路中残残存的的电能能将会会消耗耗完，，CMOS口口令就就会被被清除除了。。如果CMOS电电池是是焊接接在主主板上上的，，则需需先焊焊下来来再试试用上上述的的第(2)、(3)方法法。所所以只只有在在确认认主板板上确确实没没有设设计CMOSCLEAR跳跳线的的情况况下，，才可可采用用后两两种方方法。。3.用用CMOS万能能密码码破解解开机机口令令如果计计算机机机箱箱加锁锁(比比如众众多的的进口口原装装计算算机)或因因为其其他原原因无无法打打开机机箱，，自然然也就就无法法进行行上述述的硬硬件破破解法法，那那么是是否还还有方方法能能破解解CMOS开开机口口令呢呢？答答案是是肯定定的，，下面面向读读者介介绍一一种不不用拆拆机箱箱的软软方法法———万能能密码码。原理：：在在BIOS的密密码中中也有有像WPS那样样的万万能密密码，，但不不同的的BIOS厂家家有不不同的的密码码。(1)用用CMOSPWD获获取CMOS万万能密密码计算机机BIOS的版版本太太多，，不同同版本本的万万能密密码也也不一一样，，想用用上述述的几几个密密码““通行行”于于所有有版本本的BIOS显显然是是不可可能的的。那那么如如何获获得更更多的的万能能密码码呢？？在Inernet网上上有一一个运运行在在DOS环环境下下的CMOSPWD.EXE软件件可以以做到到这一一点。。图4.2是CMOSPWD.EXE程序序的一一个运运行结结果报报告。。由此运运行结结果可可以看看出，，CMOSPWD工工具可可以获获取多多种BIOS类类型的的CMOS万能能密码码。因因此，，当忘忘记了计计算机机的CMOS密密码时时，可可找一一台相相同的的计算算机，，给其其设置置上CMOS开开机口口令，，然后后运行行CMOSPWD找找到““万能能钥匙匙”，，再用用到自自己的的计算算机上上即可可。(2)用用UNAWARD获获取AWARDBIOS万万能密密码UNAWARD.EXE可以以帮你你轻松松地获获得AwardBIOS的的万能能密码码，而而且还还有三三个：：纯数数字密密码、、小写写字母母密码码和大大写字字母密密码。。假如如你愿愿意，，还可可以用用该软软件DISABLE(禁禁用)这些些万能能密码码，甚甚至删删除这这些密密码。。执行行UNAWARD.EXE程程序，，显示示如图图4.3所所示。。图4.2图4.3通常同型号号主机的AWARDBIOS万能密密码是一致致的。因此此当忘记了了AWARDBIOS密码码时，不用用着急，试试着在身边边找找或打打电话问问问朋友们的的主板型号号、厂商是是否与自己己的这台主主机主板相相同，假如如有的话，，用UNAWARD.EXE将那台机机子上的密密码获取后后再传回来来，一切就就大功告成成了。UNAWARD.EXE在Internet上可可以下载。。注意：若若需BIOS的万万能密码，，必须先在在超级用户户密码(SUPERVISORPASSWORD)中中设置密码码，如没有有超级用户户密码选项项，则必须须在用户密密码(USERPASSWORD)中设置密密码，否则则该软件不不能用作BIOS的的万能密码码。(3)使使用通用CMOS密密码目前大部分分主板使用用AWARD公司的的BIOS程序，部部分主板使使用AMI公司的BIOS程程序，某些些厂家在生生产主板时时为自己的的BIOS预留了通通用CMOS密码，，以解一时时之需。其其中AWARDBIOS只只有4.51版以前前的才有通通用密码。。据目前所所知，有以以下通用密密码(按成成功概率排排序)。AWARDBIOS：wantgirlSyxzdirrideBBBh996wnatgirlAwardAMIBIOS：Sysg以上通用密密码在386、486或奔腾腾主板上破破解CMOS几乎百百发百中，，但在PⅡⅡ级以上的的主板存在在通用密码码的可能性性就较少了了。4.用用万能密码码程序准确确破解BIOS设置置口令如果在微机机的BIOSSETUP程程序中设置置了CMOS口令，，但在PASSWORDOPTION(密码码选项)中中选择为SETUP时，不必必打开机箱箱，只要简简单地利用用上面介绍绍的万能密密码程序在在当前计算算机上运行行一下，即即可轻松和和准确地获获得这台计计算机的CMOS万万能密码，，然后用此此万能密码码即可进入入BIOSSETUP程序序中更改各各种CMOS参数数了。(1)用用DEBUG破解SETUP设置口令令在微机的BIOSSETUP程序中中设置了口口令，但在在PASSWORDOPTION(密码选选项)中选选择为SETUP时时，可简单单地利用DOS中的的DEBUG程序清清除CMOS口令。。当计算机接接通电源时时，首先执执行的是BIOS加加电自检程程序，对整整个系统进进行全面的的检测，其其中也要对对CMOSRAM中的配置置信息有关关单元作累累加和测试试，并与原原来的存储储结果进行行比较，当当两者相吻吻合时，则则CMOSRAM中的配配置有效，，程序继续续进行其他他测试；当当发现累加加和与原值值不相等时时，则要求求重新配置置，并能自自动地按实实际情况进进行最小配配置的设定定，此时原原来的CMOS口令令也会被自自动消除。。利用这一点点，只要往往CMOSRAM中的80口10H~2DH(配置置信息存放放单元)中中的任一单单元写入一一个数，即即可清除CMOSSETUP口令令。具体操操作如下：：从A：或C：启动，，然后运行行DEBUG程序(从DOS目录中拷拷贝或运行行)，输入入：C>debug(回回车)–O7010(回车车)–O7110(回车车)–q(回车车)然后重新启启动系统，，密码即被被清除，系系统将要求求重新配置置CMOS参数，这这样便可以以重新进入入BIOSSETUP接口口去设计系系统配置了了。(2)输输入代码破破解SETUP设置置口令使用本方法法生成的可可执行文件件能够清除除CMOS密码。本本方法的最最大特点是是不需使用用任何工具具软件，而而只需简单单地使用DOS内部部的COPY命令，，从键盘上上输入所需需代码，并并生成所需需的破解程程序。A：\>copycon179，55，136，216，230，112，176，32，230，113，254，195，128，251，64，，117，，241，，195^Z回车车注意：输输入上述数数字时必须须用键盘上上的Alt键加小键键盘上的数数字键来输输入，其中中的逗号表表示输入到到该处时松松一下双手手再继续输输入，而非非真的输入入逗号；^Z代表按按Ctrl＋Z键(也可可按F6键键)结束文文件输入，，最后回车车在当前目目录下生成成可执行文文件。运行生成的的可执行文文件，再重重新冷启动动计算机，，会发现原原来的CMOS设置置口令已经经被清除了了。同样需需注意的是是，该方法法在某些计计算机上可可能会不起起作用。5.防防范CMOS密码的的破解通过对几种种常见CMOS密码码破解方法法的介绍，，可以了解解到要破解解CMOS密码的前前提条件。。采用硬件件破解法必必须能够打打开机箱，，因此防止止硬件破解解法的主要要措施是给给主机机箱箱加上物理理锁。对于采用万万能密码，，目前没有有好的防范范措施，如如果非法用用户持有万万能密码，，这开机密密码的安全全保护措施施已失去效效用，只能能靠其他的的安全措施施，如通过过操作系统统的安全机机制。另外外市场上有有些硬盘保保护卡和防防毒卡也有有开机保护护机制和密密码机制，，也能起到到CMOS密码的功功能，且破破解的可能能性要比CMOS密密码机制更更难些。要防范采用用工具软件件破解CMOS密码码，最主要要是不能让让非法用户户在被保护护的计算机机上物理性性地执行工工具软件，，可采用如如下措施。。(1)屏屏蔽计算算机的软驱驱和光驱，，使之不能能从软驱和和光驱引导导操作系统统。(2)使使用者不不能在计算算机处于交交互状态(即可执行行用户命令令的状态)时离开计计算机；如如若离开计计算机，应应该关机、、锁定键盘盘或使计算算机处于安安全保护状状态(例如如Windows98系统统的带密码码屏幕保护护状态)。。(3)有有条件的的用户可以以给计算机机加安全保保护卡(例例如硬盘保保护卡和防防毒卡，也也有开机保保护机制和和密码机制制)。(4)设设置安全全的口令，，定期更新新密码。有关设置安安全口令的的措施如下下。(1)好好的口令令好的口令是是那些很难难猜测的口口令。难猜猜测的原因因是因为同同时有大小小写字符，，不但有字字符，还有有数字、标标点符号、、控制字符符和空格。。另外，还还要容易记记忆，至少少有7到8个字符长长，并且容容易输入。。(2)不不安全口口令不安全的口口令往往是是：任何何名字(包包括人名、、软件名、、计算机名名甚至幻想想中事物的的名字)，，电话号码码或者某种种执照的号号码，社会会保障号，，任何人的的生日，其其他很容易易得到的关关于自己的的信息，一一些常用的的音调，任任何形式的的计算机中中的用户名名，在英语语字典或者者外语字典典中的词，，地点名称称或者一些些名词，键键盘上的一一些词，任任何形式的的上述词再再加上一些些数字。(3)保保持口令令安全要注注意的问题题①不要将将口令写下下来。②不要将将口令存于于终端功能能键或调制制解调器的的字符串存存储器中。。③不要选选取显而易易见的信息息作口令。。④不要让让别人知道道。⑤不要交交替使用两两个口令。。⑥不要在在不同系统统上使用同同一口令。。⑦不要让让人看见自自己在输入入口令。(4)一一次性口口令减小口令危危险的最有有效方法是是根本不用用常规口令令。替代的的办法是在在系统中安安装新的软软件或硬件件，使用一次性口令令。一次性性口令就是是一个口令令只使用一一次。一个个用户可能能收到一个个打印输出出的口令列列表，每次次登录使用用完一个口口令，就将将它从列表表中删除。。用户也可可能得到一一个可以携携带的小卡卡，这个卡卡每次将显显示一个不不同的号。。用户还可可以携带一一个小的计计算器，当当登录时，，计算机将将会打印出出一个不同同的号码，，用户将这这个号码输输入这个小小小的计算算器中，然然后输入自自己的标志志号码，计计算器将输输出一个口口令，用户户将这个口口令再输入入计算机中中。一次性口令令系统比传传统方式能能提供令人人惊奇的安安全性能。。不幸的是是，它们要要求安装一一些特定的的程序或者者需要购买买一些硬件件，因此现现在使用得得并不普遍遍。在一个网络络中，当用用户穿过Internet或或者其他的的网络来访访问时，管管理员就应应该认真地地考虑使用用一次性口口令。否则则，攻击者者可以窃听听、截获用用户口令，，以后将攻攻击这些站站点。4.4Windows95/98/ME的安全全保护机制制如前所述，，计算机的的开机密码码保护机制制是非常脆脆弱的。因因此，必须须寻求其他他的保护措措施。例如如：操作系系统的安全全措施。总的来说，，Windows95/98/ME只能达到到D级，基基本上相当当于未加安安全措施的的个人计算算机系统。。虽然微软软的系统加加密技术有有点让人担担忧，可用用上总比不不用好。本本节将以Windows98系统为为例介绍这这方面的内内容。Windows98系统的的安全措施施是由登录录机制、屏屏幕保护密密码、文件件夹共享密密码和远程程管理密码码等部分组组成的。这这些安全保保护措施，，Windows98系统统都提供了了安装和设设置方法，，大部分方方法可以通通过修改Windows98系统的的注册表来来实现。4.4.1Windows98的登录录机制Windows98系统登登录方式有有三种：Microsoft网络络用户、Microsoft友好登登录和Windows登录录。其中Microsoft网络用用户和Microsoft友友好登录录两种选项项，只有在在Windows98系统统安装网络络适配器(如网卡或或拨号适配配器)时才才能选择。。1.Windows98系统登登录严格讲，Windows登录录选项对系系统起不到到安全保护护作用。Microsoft公司设计计Windows登登录机制的的用意主要要在于区分分不同用户户使用Windows98系统有一一个个性化化的桌面和和菜单选项项，而不在在于保护系系统和防止止非法用户户使用计算算机。所以以，用户在在Windows98启动动后出现““Windows登登录”界面面时，如图图4.4所所示，如不不输入密码码，单击““取消”选选项也可进进入Windows98桌桌面。图4.42.Microsoft网络络用户和Microsoft友好登登录这两种选项项只有Windows98在网络中中存在才可可以选择，，当Windows98系系统作为网网络中的一一个主机时时，这个用用户必须以以“Microsoft网网络用户””的身份登登录。如果果用户选择择了“Microsoft网网络用户户”选项，，在Windows98启启动后出现现“Microsoft网网络用户登登录”界面面，如图4.5所示示，如不输输入密码，，单击“取取消”选项项也可进入入Windows98桌面面，用户将将不能使用用网络资源源，但并不不妨碍用户户使用本机机的资源。。至于“Microsoft友好登登录”选项项，它与““Microsoft网络络用户”选选项的作用用相同，如如图4.6所示，惟惟一的区别别是登录界界面更漂亮亮一点。图4.5图4.6上述3种选选项的选择择步骤是：：启动Windows98系系统进入系系统桌面→→用鼠标右右击Windows98的的“网络邻邻居”图标标→“属性性”，出现现“网络””窗体→““配置”，，其中“主主网络登录录(L)””的设置即即为“Windows98登录”的的设置选项项，如图4.7所示示。图4.74.4.2Windows98的屏幕幕保护机制制Windows98可以设设置屏幕保保护程序，，其作用是是：当用户户要离开计计算机一段段时间，而而又不能关关闭计算机机的电源时时(如计算算机正在进进行运算)，为了保保护计算机机，可设定定计算机在在一段时间间后不进行行操作，计计算机将进进入屏幕保保护状态以以保护计算算机的显示示器和硬盘盘，使其进进入节能状状态。在设设置屏幕保保护程序时时，可选择择“密码保保护”选项项，这样当当计算机进进入“屏幕幕保护”状状态后，如如要使计算算机恢复到到正常状态态，就需要要密码，否否则将不能能操作计算算机，从而而达到保护护计算机安安全的目的的。Windows98系统屏屏幕保护程程序设计的的步骤为：：启动Windows98系系统进入系系统桌面，，选择“启启动”→“设置””→“控制制面板”→→“显示””，出现““显示属性性”窗体，，选择“屏屏幕保护程程序”选项项，如图在在“屏幕保保护程序)”位置，，可选择屏屏幕保护程程序，同时时，选定““密码保护护”选项，，可输入保保护密码，，如图4.8所示，，同时输入入启动保护护程序的时时间，按““确定”，，就完成了了屏幕保护护程序的设设置工作。。4.4.3Windows98共享资源源和远程管管理机制当Windows98系统统与其他计计算机联成成网络时，，计算机的的资源可以以相互共享享，为了保保护计算机机系统的安安全，Windows98有简单的的权限控制制，其访问问控制方式式有两种：：共享级访访问控制方方式和用户户级访问控控制方式。。用户级访问问控制方式式要求在网网络中必须须有域服务务器，通过过域服务器器(例如WindowsNT/2000的域域服务器)来管理Windows98的资源源，这种方方法安全性性较高，其其设置方法法同WindowsNT/2000的共享资资源的设置置，将陆续续在WindowsNT/2000的安全性性中讲解。。在没有域服务务器的对等网网络中，Windows98的共共享资源管理理只能采用共共享级访问控控制方式，选选择共享级控控制方式的权权限有3种：：“只读”、、“完全”和和“根据密码码访问”。选选择“只读””时，其他计计算机用户只只能读取本机机共享目录下下的文件和子子目录，而不不能修改和删删除该目录下下的文件和子子目录；选择择“完全”共共享类型，其其他计算机用用户可完全控控制(即：可可以读取也可可修改或删除除)共享目录录下的文件和和子目录；选选择“需要密密码”时，需需要输入“只只读”和“完完全”共享的的密码，其他他计算机用户户必须提供密密码来决定它它使用共享目目录下的文件件和子目录。。图4.8Windows98系系统共享资源源的访问控制制方式设置步步骤为：(1)““Microsoft网网络上的文文件和打印机机共享”的设设定启动Windows98系统进入入系统桌面→→用鼠标右击击Windows98的“网络邻邻居”图标→→“属性”，，出现“网络络”窗体→““配置”→““添加”，出出现“请选择择网络组件类类型”窗体，，在窗体中选选择“服务””，单击“添添加”按钮→→“选择网络络服务”窗体体，在“选择择网络服务””窗体中，选选择“Microsoft网络上上的文件和打打印机共享””，单击“确确认”按钮，，关闭“选择择网络服务””窗体→单击击“取消”按按钮，关闭““请选择网络络组件类型””窗体，回到到“网络”窗窗体→在“网网络”窗体中中单击“文件件及打印共享享”→“文件件及打印共享享”窗体，将将所有“允许许其他用户访访问我的文件件”和“允许许其他用户使使用我的打印印机”两个选选项选上,关关闭窗口返回回到“网络””窗体中，如如图4.9所所示。图4.9(2)设置置“共享级访访问控制方式式”在(1)中的的“网络”窗窗体中，选择择“访问控制制”，选择““共享级访问问控制”，如如图4.10所示，单击击“确定”按按钮，重新启启动Windows98系统。图4.10(3)设设置共享权限限当设置完步骤骤(1)和(2)后，如如要将计算机机的资源(假假设磁盘C)设置成共享享权限，设置置步骤如下：：重新启动计计算机，在出出现登录对话话框中输入一一个用户名及及其密码后，，单击“确定定”按钮即登登录到本机，，同时可以使使用网络上的的共享资源。。用户名和密密码是由用户户任意设定的的第一次使用用某个用户名名登录时需要要确认输入的的密码。注意：在输输入用户名和和密码后，必必须单击“确确定”按钮方方可访问网络络中的资源，，如果“取消消”则仅将该该机作为单机机使用，在网网络邻居中将将找不到其他他计算机的共共享资源。当进入到计算算机Windows98系统后，，打开“我的的电脑”，右右击磁盘C：：的图标，在在出现的菜单单中，选择““共享”，在在屏幕显示的的对话框中选选择“共享为为”，输入一一个共享名(如“Win98C””)，选择3种共享方式式中的一种：：选择“只读读”、“完全全”或“根据据密码访问””，选择“根根据密码访问问”时，还需需输入“只读读”和“完全全”共享的共共享密码(为为了使计算机机系统更加安安全可靠，一一般设定共享享资源的权限限最好采用““根据密码访访问”)。如如图4.11所示，这样样其他计算机机用户就可以以使用设置的的共享资源Win98C了。图4.11(4)使使用Windows98的共享资资源在网络中，如如有计算机使使用已设置好好的共享资源源(如计算机机WS1的共共享资源Win98C)，当该计计算机登录到到Windows98系统后，打打开“网上邻邻居”，显示示“整个网络络”以及同组组的各计算机机名，将发现现计算机WS1。双击WS1，显示示共享名Win98C，双击共享享名Win98C可以以访问WS1的磁盘C上上的文件或目目录(如果Win98C资源设设定的权限是是“根据密码码访问”，则则双击共享名名Win98C后还需需提供相关的的密码)。另外，Windows98系统的的资源可通过过远程的计算算机来管理，，这就是Windows98的远远程管理机制制，启动Windows98远程程管理机制，，其他局域网网的网络用户可以通通过网络管理理Windows98系统下的文文件和打印机机(包括Windows98资源源的共享访问问机制的设置置)。启动Windows98远程管理理机制的步骤骤为：(1)启启动Windows98远程管管理服务启动Windows98系统进入入系统桌面，，选择“开始始”→“设置置”→“控控制面板”→→“密码””→“密码属属性”窗体，，在“密码属属性”窗体中中选择“远程程管理”→选选定和激活““启用此服务务器的远程管管理”，同时时，输入远程程管理密码，，输入两遍密密码，如图4.12所示示，按“确定定”关闭“密密码属性”窗窗体，即可完完成操作。要要想使“启动动Windows98远程管理服服务”成功，，还需先完成成“Windows98系统共享享资源的访问问控制方式””设置步骤(1)和(2)。图4.12(2)远程程管理Windows98的资源源当一台计算机机已设置了远远程管理服务务，就可以通通过局域网的的任何一台Windows98计计算机管理该该计算机的文文件和打印机机了。假设计计算机WS1已经配置了了远程管理服服务，现在通通过WS2来来管理WS1的资源，其其步骤如下。。启动WS2以以“Microsoft网络用户户”的身份登登录到本机的的Windows98桌面上，打打开“网上邻邻居”，显示示“整个网络络”以及同组组的各计算机机名，将发现现计算机WS1→用鼠标标右击“WS1”图标→→“属性”→→出现“WS1属性”窗窗体，单击““工具”栏，，窗体中显示示3个配置按按钮：“网络络监视器”、、“系统监视视器”和“管管理程序”，，其中通过““网络监视器器”允许查看看WS1上的的共享目录和通通过网络正在在使用该目录录的用户，““系统监视器器”允许查看看WS1上的的磁盘访问与与网络的使用用情况，而““管理程序””则是远程管管理WS1的的文件和打印印机的共享设设置，3个配配置选项都需需要提供WS1的远程管管理密码。现现在单击“管管理程序”→→“输入网络络密码”窗体体，如图4.13所示，，输入WS1的远程管理理密码，出现现“计算机WS1所有资资源”的窗体体，其中C＄＄、D＄等是是WS1的磁磁盘C、D的的代号，不带带＄符号的目目录为已设置置好的共享目目录，可以像像设置本地计计算机的资源源那样设置WS1的C＄＄及D＄及其其子目录等资资源的共享，，同时也可以以改变不带＄＄符号的共享享目录的访问问控制方式，，如图4.14所示。图4.13图4.144.4.4Windows98注册表表的机制注册表是Windows98系统统的核心，在在注册表中存存储着系统的的所有硬件和和软件信息，，通过它可以以控制操作系系统的行为。。因此，它的的安全直接关关系到Windows98系统的的安全，黑客客的进攻往往往以它为主要要目标。下面面详细介绍注注册表的作用用和保护措施施。注册表是一个个包含有Windows98系统统和应用程序序以及硬件信信息的中央数数据库，是Windows98系系统的核心之之一。它存储储在Windows98目录下的的system.dat文件中，这这是一个只读读的、隐藏的的文件。Windows98每次次启动时都要要用到它，并并把它备份到到system.d00到system.d04共5个文文件中。当启启动后加载的system.dat文件受受损后，Windows98自动动按照备份时时间顺序由新新到旧调用备备份注册表文文件覆盖现在在使用的system.dat文件件，以恢复操操作系统的稳稳定性。可见见注册表在Windows98中中是多么重要要。通过它几几乎可以修改改Windows系统的的任何一个设设置，包括开开始程序的设设置、硬件参参数的修改、、桌面的修改改、实现系统统的优化等等等，因此，它它对于整个Windows系统的安安全起着重要要的作用。注册表是以树树型结构存在在的，就像资资源管理器一一样，不过它它的目录项的的含义与其不不同，一共有有5种不同的的类型，包括括：根键：注册册表的根目录录，相当于磁磁盘上的根目目录如：C:\；键和子键：相相当于磁盘盘上的子目录录，在键下是是子键，就像像目录可以包包括子目录一一样。键值项：相相当于磁盘上上的文件，在在一个键或子子键下可以包包含一个或多多个键值项。。键值项由键键值名、数据据类型和键值值3个部分组组成，格式为为“键值名：：数据类型：：键值”。键值类型：注注册表有3种键值类型型：(1)DWORD：1~8位的的十六进制数数据作为双字字；(2)字符符串值：存存储的字符串串；(3)二进进制：是一一个十六进制制数，作为一一个字节解释释。如前所述，Windows98的的注册表是包包括由应用程程序、硬件设设备、设备驱驱动程序配置置、网络协议议和网络适配卡设置置等信息的数数据库。注册册表的数据结结构由六个根根键构成，均均以HKEY_为前缀，，解释如下。。①HKEY_CLASS_ROOT：含有有与对象的连连接与嵌套(OLE)和和文件级相关关联的信息，，即存储应用用程序的扩展展名，指明不不同扩展名与与不同应用软软件之间的相相互关系，双双击某个文件件时，相对应应的那个程序序启动它。②HKEY_CURRENT_USER：含含有正在登登录上网用户户信息。包括括用户所属的的组、环境变变量、桌面设设置、网络连连接、打印机机和应用程序序等。③HKEY_LOCAL_MACHINE：：含有本地地计算机的部部分系统信息息。这些信