发信人: seak (江海客), 信区: Virus  标　题: 第二章、95/98系统的安全与密码的原则  发信站: 紫 丁 香 (Fri Nov 12 19:57:13 1999) WWW-POST    第二章、95/98系统的安全与密码的原则               文/江海客（seak@163.net）     ___________________________________________________________________   声明：   1、您所看到的是《个人网络用户的安全与维护指南》一文的文本稿，本文   已经在《计算机应用文摘》增刊《网络之门》发表，传统媒体如欲转载请同   该杂志社联系，获得许可方可转载。   2、本文作者seak（哈工大紫丁香站ID）许可本文可转载于任何非商业BBS、   新闻组和WEB站点。但严禁改动、删节或添加或局部抄袭、改头换面用于任   何正式出版物。转载必须完整，包括本声明和原文紫丁香BBS信头 (即：发   信人、标题、发信站三行)。   3、由于《计算机应用文摘》编辑同志对本文的修改、和作者对文章的再次   扩充，等因素，你看到的电子版本部分章节与刊发文章并不一致。同时，   作者本人也保留对文章再次扩充修改和网上重新发布的权利。   4、本文是一篇科普文章，是作者考虑到一般网络用户的接受能力而写的，   对本领域的专家本文并无价值。作者力图能给广大用户做准确的描述，但由   于作者时间和水平的限制，作者不能保证本文的涉及的观点、处理方法等绝   对正确。欢迎大家就各种问题与我探讨，seak@163.net。   ____________________________________________________________________       windows95/98系统是国内个人用户的主要OS平台，而这个系统   的确是一个非常易用又非常不安全的系统，我认为对95/98来说，最   大的威胁来源于本机而不是网上，因为毕竟95/98能对外开放的服务   十分有限，又不会担当重要服务器的角色，可以说黑客即缺乏攻击的   兴趣，也缺少不借助后门工具的有效手段。但95/98分级设置权限的   能力比较弱，可谓是一旦别人用上你的机器，你根本没有秘密可言。   当你的机器被他人使用时，你面临的安全威胁主要包括：   1、 你的所有文件信息都将暴露在使用者面前，他可以很容易的   查看、COPY、删除你的一切文件、做掉你的硬盘等等，95/98   为用户保存桌面和个性设置也是根本没有安全性可言的。   2、 你的各种密码可以很容易的被使用者查看到，有些密码本身   就是明文的，比如ICQ的密码，你的拨号密码、MAIL、FTP   密码如果保存在相应工具的密码栏中，以*显示的，但使用者   可以依靠一些小工具轻松看到。另外，你与服务器的连接密码   也可以被轻松查到。 你CMOS密码也可以被查到，或者被解   除。   3、 你的COOKIE和Temporary Internet Files目录可能会暴露你   某些网上资源的密码，文档、查找、运行、浏览器等的历史记   录会暴露你的一些近期行为。   4、 使用者可能在你机器上安置如BO、NETBUS的后门工具，以   便从远程控制你的系统、监视你的行为。   因此可以看出，95/98系统保证安全的最大可能是作到专机专用，   1、 锁好你的门，关好你的机箱：谁都明白被盗可能最严重的损失，   更没有任何一种窃取信息的方法比直接偷走你的硬盘更有效。同   时，你的开机密码可以轻松的被通过改变主板上的跳线或者DIP   开关解除。这使你的一切防范都没有意义。对有锁的机箱，你应   当充分利用，对于一般螺丝固定的机箱，你可以在机箱接缝处上   加一小块不干胶条，即使你无法防止你的机箱被他人打开，至少   你要保证你能随时发现蛛丝马迹，   2、 设置好你的开机密码：这可能是最有效的防线，只要非法使用者   无法猜出你的密码就没有办法，特别注意的是，有些版本的BIOS   是有通用密码的，比如早期AWORD的BIOS。这种情况下你一定   注意对你的BIOS升级。   3、 WINDOWS开机密码与权限设置：有人说WINDOWS密码没有任   何意义，这是不对的，事实上，WINDOWS可以通过修改注册表实   现一些用户分级的能力。通过分级你可以达到以下目的，你自己   可以使用一切资源，但非法用户用ESC跳过登录或者起新用户名   登录时，可以无法使用计算机的一些资源，不能查看任何驱动器   上的文件目录列表、程序菜单中没有任何东西、桌面上空空如也、   他不能执行任何操作包括打开MS-DOS的窗口也不能关机到MS-   DOS状态等等。关于对注册表的具体设置，《电脑商情报》家庭版   98年4月7日，《谈谈win95系统安全的实现》一文，论述的十分   具体，我这里如果具体论述，难免雷同。如果你对注册表不熟，   你可以借助WIN98光盘上的系统策略编辑器。另外，如果你的环   境中有NT或者NOVELL的SERVER，你可以把默认登录方式改为   登录到它们。   4、 屏幕保护：实际上屏保是非常重要的一级防护，为你的屏保设上   可靠的密码和把屏保激活时间设为很短都有助于保护你的机器。   你可以把你的屏保建立一个快捷方式，当你暂时离开机器时，你   可以点击一下就进入屏保状态。屏保是扩展名为scr的文件，在   windows\system目录下，你在桌面或者工具条上拖出一个快捷方   式就可以了。我特别提醒大家的是，把你的光盘自动运行的特性   关闭，破解屏保的办法除了猜到密码外，就是通过一个AUTORUN   的光盘，AUTORUN指向的程序可以破解你的屏保密码，禁止自动   运行的操作在系统/设备管理器/你CRROM型号设备/属性/设置   中，你将自动插入通告的选项去掉就可以了。   可以看出一点，整个的保护要充分依赖于你的密码不被猜出，注   意，讨论的密码不单单指你的开机、95和屏保密码，更包括你的上   网、MAIL、CHATROOM、BBS中的密码。很难说怎样的密码就是安   全的密码，但以下的情形一定是不安全的。   1、 纯数字的密码，特别是123456、或者888888这样的数字，过   短的密码显然是不安全的。   2、 以你或者有关人的相关信息构成的密码，比如生日、电话、   姓名的拼音或者缩写、单位的拼音或者英文简称等等。   3、 长时间不变的密码，非法用户有足够的时间试探密码或通过   窥视你击键动作来猜测密码。   4、 多个资源共用一个密码，这是一种把所有鸡蛋都放在一个篮   子里的情况，一旦你的一个密码泄露，你所有的资源都受到威   胁。   当然有时对于个人应用来说，由于信息的含金量往往有限，往往   简便要比安全更重要，每周更换一次的，长度与WIN98序列号一样   的密码可能是安全的，但也是非常不方便的。我建议大家选择一些安   全或者好用的方法，比如用一句话的拼音字头作为你的密码，比如   wmdsjhjc，是什么意思？是“外面的世界很精彩”，再插入一些特殊   字符构成比如$wmdsj!hjc，这样的密码应当是比较安全的，又是容易   记忆的。   另外一点不要怪我没有提醒你，就是小心WIN95/98系统的共享   目录，你要知道你共享的内容暴露给所有网内用户，比如说，一个169   用户的共享目录可以被所有169网内用户访问，而如果你的机器独占   一个真实的IP地址，那么你的共享目录暴露给所有的internet用户   了，另外，win95/98的共享目录密码有重大缺陷，可以被远程用户   轻松破解，这个BUG是由很有名气的网络高手，海信集团的程序员   袁哥发现的。     ___________________________________________________________________  --  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   )|)             ●   |江海客     seak@163.net  \-----/               |之天涯看台 http://seak.163.net(163)  ぺべぺべぺべぺ                    http://personal.yn.cninfo.net/seak(169)                     问人间沧桑几许；看书生胆气如何  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~    ※ 来源:·紫 丁 香 bbs.hit.edu.cn·[FROM: 202.97.232.107]