Virus 版 (精华区)

发信人: seak (江海客), 信区: Virus
标  题: 第二章、95/98系统的安全与密码的原则
发信站: 紫 丁 香 (Fri Nov 12 19:57:13 1999) WWW-POST

第二章、95/98系统的安全与密码的原则
            文/江海客（seak@163.net）

___________________________________________________________________
声明：
1、您所看到的是《个人网络用户的安全与维护指南》一文的文本稿，本文
已经在《计算机应用文摘》增刊《网络之门》发表，传统媒体如欲转载请同
该杂志社联系，获得许可方可转载。
2、本文作者seak（哈工大紫丁香站ID）许可本文可转载于任何非商业BBS、
新闻组和WEB站点。但严禁改动、删节或添加或局部抄袭、改头换面用于任
何正式出版物。转载必须完整，包括本声明和原文紫丁香BBS信头 (即：发
信人、标题、发信站三行)。
3、由于《计算机应用文摘》编辑同志对本文的修改、和作者对文章的再次
扩充，等因素，你看到的电子版本部分章节与刊发文章并不一致。同时，
作者本人也保留对文章再次扩充修改和网上重新发布的权利。
4、本文是一篇科普文章，是作者考虑到一般网络用户的接受能力而写的，
对本领域的专家本文并无价值。作者力图能给广大用户做准确的描述，但由
于作者时间和水平的限制，作者不能保证本文的涉及的观点、处理方法等绝
对正确。欢迎大家就各种问题与我探讨，seak@163.net。
____________________________________________________________________


windows95/98系统是国内个人用户的主要OS平台，而这个系统
的确是一个非常易用又非常不安全的系统，我认为对95/98来说，最
大的威胁来源于本机而不是网上，因为毕竟95/98能对外开放的服务
十分有限，又不会担当重要服务器的角色，可以说黑客即缺乏攻击的
兴趣，也缺少不借助后门工具的有效手段。但95/98分级设置权限的
能力比较弱，可谓是一旦别人用上你的机器，你根本没有秘密可言。
当你的机器被他人使用时，你面临的安全威胁主要包括：
1、 你的所有文件信息都将暴露在使用者面前，他可以很容易的
查看、COPY、删除你的一切文件、做掉你的硬盘等等，95/98
为用户保存桌面和个性设置也是根本没有安全性可言的。
2、 你的各种密码可以很容易的被使用者查看到，有些密码本身
就是明文的，比如ICQ的密码，你的拨号密码、MAIL、FTP
密码如果保存在相应工具的密码栏中，以*显示的，但使用者
可以依靠一些小工具轻松看到。另外，你与服务器的连接密码
也可以被轻松查到。 你CMOS密码也可以被查到，或者被解
除。
3、 你的COOKIE和Temporary Internet Files目录可能会暴露你
某些网上资源的密码，文档、查找、运行、浏览器等的历史记
录会暴露你的一些近期行为。
4、 使用者可能在你机器上安置如BO、NETBUS的后门工具，以
便从远程控制你的系统、监视你的行为。
因此可以看出，95/98系统保证安全的最大可能是作到专机专用，
1、 锁好你的门，关好你的机箱：谁都明白被盗可能最严重的损失，
更没有任何一种窃取信息的方法比直接偷走你的硬盘更有效。同
时，你的开机密码可以轻松的被通过改变主板上的跳线或者DIP
开关解除。这使你的一切防范都没有意义。对有锁的机箱，你应
当充分利用，对于一般螺丝固定的机箱，你可以在机箱接缝处上
加一小块不干胶条，即使你无法防止你的机箱被他人打开，至少
你要保证你能随时发现蛛丝马迹，
2、 设置好你的开机密码：这可能是最有效的防线，只要非法使用者
无法猜出你的密码就没有办法，特别注意的是，有些版本的BIOS
是有通用密码的，比如早期AWORD的BIOS。这种情况下你一定
注意对你的BIOS升级。
3、 WINDOWS开机密码与权限设置：有人说WINDOWS密码没有任
何意义，这是不对的，事实上，WINDOWS可以通过修改注册表实
现一些用户分级的能力。通过分级你可以达到以下目的，你自己
可以使用一切资源，但非法用户用ESC跳过登录或者起新用户名
登录时，可以无法使用计算机的一些资源，不能查看任何驱动器
上的文件目录列表、程序菜单中没有任何东西、桌面上空空如也、
他不能执行任何操作包括打开MS-DOS的窗口也不能关机到MS-
DOS状态等等。关于对注册表的具体设置，《电脑商情报》家庭版
98年4月7日，《谈谈win95系统安全的实现》一文，论述的十分
具体，我这里如果具体论述，难免雷同。如果你对注册表不熟，
你可以借助WIN98光盘上的系统策略编辑器。另外，如果你的环
境中有NT或者NOVELL的SERVER，你可以把默认登录方式改为
登录到它们。
4、 屏幕保护：实际上屏保是非常重要的一级防护，为你的屏保设上
可靠的密码和把屏保激活时间设为很短都有助于保护你的机器。
你可以把你的屏保建立一个快捷方式，当你暂时离开机器时，你
可以点击一下就进入屏保状态。屏保是扩展名为scr的文件，在
windows\system目录下，你在桌面或者工具条上拖出一个快捷方
式就可以了。我特别提醒大家的是，把你的光盘自动运行的特性
关闭，破解屏保的办法除了猜到密码外，就是通过一个AUTORUN
的光盘，AUTORUN指向的程序可以破解你的屏保密码，禁止自动
运行的操作在系统/设备管理器/你CRROM型号设备/属性/设置
中，你将自动插入通告的选项去掉就可以了。
可以看出一点，整个的保护要充分依赖于你的密码不被猜出，注
意，讨论的密码不单单指你的开机、95和屏保密码，更包括你的上
网、MAIL、CHATROOM、BBS中的密码。很难说怎样的密码就是安
全的密码，但以下的情形一定是不安全的。
1、 纯数字的密码，特别是123456、或者888888这样的数字，过
短的密码显然是不安全的。
2、 以你或者有关人的相关信息构成的密码，比如生日、电话、
姓名的拼音或者缩写、单位的拼音或者英文简称等等。
3、 长时间不变的密码，非法用户有足够的时间试探密码或通过
窥视你击键动作来猜测密码。
4、 多个资源共用一个密码，这是一种把所有鸡蛋都放在一个篮
子里的情况，一旦你的一个密码泄露，你所有的资源都受到威
胁。
当然有时对于个人应用来说，由于信息的含金量往往有限，往往
简便要比安全更重要，每周更换一次的，长度与WIN98序列号一样
的密码可能是安全的，但也是非常不方便的。我建议大家选择一些安
全或者好用的方法，比如用一句话的拼音字头作为你的密码，比如
wmdsjhjc，是什么意思？是“外面的世界很精彩”，再插入一些特殊
字符构成比如$wmdsj!hjc，这样的密码应当是比较安全的，又是容易
记忆的。
另外一点不要怪我没有提醒你，就是小心WIN95/98系统的共享
目录，你要知道你共享的内容暴露给所有网内用户，比如说，一个169
用户的共享目录可以被所有169网内用户访问，而如果你的机器独占
一个真实的IP地址，那么你的共享目录暴露给所有的internet用户
了，另外，win95/98的共享目录密码有重大缺陷，可以被远程用户
轻松破解，这个BUG是由很有名气的网络高手，海信集团的程序员
袁哥发现的。

___________________________________________________________________
--
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
 )|)             ●   |江海客     seak@163.net
\-----/               |之天涯看台 http://seak.163.net(163)
ぺべぺべぺべぺ                    http://personal.yn.cninfo.net/seak(169)           
        问人间沧桑几许；看书生胆气如何
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

※ 来源:·紫 丁 香 bbs.hit.edu.cn·[FROM: 202.97.232.107]