第4章計算機及網絡系統的安全性

4.1計算機系統的安全保護機制

4.2計算機系統的安全等級

4.3計算機的開機口令驗證機制

4.4Windows95/98/ME的安全保護機制

4.5利用注冊表提高Windows95/98/ME的安全性

4.6Windows98系統安全策略編輯器

4.7Windows95/98/ME的缺陷和防范措施

4.8計算機文檔的保密問題

4.9本章小結

練習題

?計算機和網絡工作站是目前應用最廣泛的設備，計

算機網絡的安全在很大程度上依賴于網絡終端和客

戶工作站的安全。目前的計算機系統安全級別特別

低，幾乎沒有進行特別有力的防范措施。在未聯網

的單機時代，安全問題造成的損失較少，并未引起

人們的注意。處于網絡時代的今天，未加保護的計

算機系統聯入網絡，由于非法用戶的入侵、計算機

數據的破壞和泄密，將會給人們造成無法估量的損

失。因此，了解和掌握計算機及網絡系統的安全保

護機制，加強安全防范措施，使計算機系統變得更

加安全，已變得非常必要。

?本章主要討論有關計算機系統安全方面的內容，包

括：

?計算機系統的安全保護機制；

?評估計算機系統的安全等級；

?計算機BIOS程序的安全設置和保護機制；

?計算機BIOS程序密碼的破解和防范措施；

?Windows95/98/ME的有關安全保護機制；

?非法用戶入侵Windows95/98/ME的方法和防范措

施；

?Windows95/98/ME對等網絡中權限和安全機制；

?計算機Word文檔的保密問題。

4.1計算機系統的安全保護機制

?隨著計算機技術的發展，計算機系統的安全越來越被人

們所關注。非授權用戶常常對計算機系統進行非法訪問,

這種非法訪問使系統中存儲信息的完整性受到威脅，導

致信息被修改或破壞而不能繼續使用，更為嚴重的是系

統中有價值的信息泄密和被非法篡改、偽造、竊取或刪

除而不留任何痕跡。要保護計算機系統，必須從技術上

了解計算機系統安全訪問控制的保護機制。

?為了防止非法用戶使用計算機系統或者合法用戶對系統

資源的非法訪問，需要對計算機實體進行訪問控制。例

如，銀行信息系統的自動提款機為合法用戶提供現款，

但它必須對提款的用戶身份進行識別和驗證，對提款的

行為進行監督控制，以防止非法用戶的欺詐行為。

?存取控制主要包括授權、確定存取權限和實施權限

3個內容。一個計算機系統的存取控制僅指本系統

內的主體對客體的存取控制，不包括外界對系統的

存取（其中主體指使用網絡系統的用戶和用戶組，

客體指網絡系統中系統資源，如文件、打印機等資

源）。因此，實施存取控制是維護系統運行安全、

保護系統資源的重要技術手段。

?存取控制是對處理狀態下的信息進行保護，是保證

對所有的直接存取活動進行授權的重要手段；同時,

存取控制要對程序執行期間訪問資源的合法性進行

檢查。它控制著對數據和程序的讀、寫、修改、刪

除、執行等操作，防止因事故和有意破壞對信息的

威脅。存取控制必須對訪問者的身份和行為實施一

定的限制，這是保證系統安全所必須的。

高畛學出版社0

?要解決上述問題，需要采取兩種措施：

?識別與驗證訪問系統的用戶；

■決定用戶對某一系統資源可進行何種訪問（讀、寫、

修改、運行等）。

4.1.1用戶的識別和驗證

?要求用戶在使用計算機以前，首先向計算機輸入自

己的用戶名和身份鑒別數據（如口令、標識卡、指

紋等），以便進行用戶的識別與驗證，防止冒名頂

替和非法入侵。

?所謂“識別”，就是要明確訪問者是誰，即識別訪

問者的身份。必須對系統中的每個合法用戶都有識

別—一

清華尤學園物社T-畛裾品JjJ脫裝期思斯

能力，要保證識別的有效性，必須保證任意兩個

不同的用戶都不能具有相同的標識符。通過惟一標

識符(1D),系統可以識別出訪問系統的每一個用戶。

?所謂“驗證”，是指在訪問者聲明自己的身份(向

系統輸入它的標識符)后，系統必須對它所聲明的

身份進行驗證，以防假冒，實際上就是證實用戶的

身份。驗證過程總是需要用戶出具能夠證明他身份

的特殊信息，這個信息是秘密的，任何其他用戶都

不能擁有它。識別與驗證是涉及到系統和用戶的一

個全過程。只有識別與驗證過程都正確后，系統才

能允許用戶訪問系統資源。

?利用物理鎖可以對一些重要的資源實施控制。只要

膏結關學圉膽強巧=^布局，鬣期嵐房會”?MMMH

把需要保護的系統資源用鎖鎖上，而鑰匙由自己

掌握，那么沒有鑰匙的人是不能訪問受到保護的資

源的。在這里，ID相當于鑰匙，系統根據不同的

ID可對其分配相應的不同的可使用資源。但擁有鑰

匙的用戶不一定是合法擁有者，所以需采用驗證技

術證實用戶的合法身份，這種技術可以有效地防止

由于ID的非法泄露所產生的安全問題。口令機制是

一種簡便的驗證手段，但比較脆弱。生物技術，如

利用指紋、視網膜技術等，是一種比較有前途的方

法。

?目前計算機系統最常用的驗證手段仍是口令機制，

它通過下述各種方法來加強其可靠性。

?口令需加密后存放在系統數據庫中，一般采用單向

加密算法對口令進行加密。

清華;>1學:H旃干

-要使輸入口令的次數盡量減少，以防意外泄露。

?當用戶離開系統所屬的組織時，要及時更換他的口

令。

?不要將口令存放在文件或程序中，以防其他用戶讀

取該文件或程序時發現口令。

?用戶要經常更換口令，使自己的口令不易被猜測出

來。

4.1.2決定用戶訪問權限

?對于一個已被系統識別與驗證了的用戶，還要對其

訪問操作實施一定的限制。可以把用戶分為具有如

下幾種屬性的用戶類。

j?-J?ji-'j，，'j./-''-，1.」..?r?*?i*?~~*

?特殊的用戶：這種用戶是系統的管理員，具有最

高級別的特權，可以對系統任何資源進行訪問，并

具有所有類型的訪問、操作能力。

?一般的用戶：即系統的一般用戶，他們的訪問操

作要受到一定的限制，通常需要由系統管理員對這

類用戶分配不同的訪問操作權力。

?審計的用戶：這類用戶負責整個系統范圍的安全

控制與資源使用情況的審計。

?作廢的用戶：這是一類被拒絕訪問系統的用戶，

也可能是非法用戶。

信絡亍:學出頒社占鼎驚撕刪總噴息撕曼im

)JTJ?：/產］.j/j*.-*>"，yi八4.",^J-匚，二

4.2計算機系統的安全等級

?為了對一個計算機系統進行安全評估，美國國防部按

處理信息的等級和應采用的相應措施，將計算機安全

分為：A、B、C、D4等8個級別，共27條評估準則。

從最低等級D等開始，到A等。隨著安全等級的提高，

系統的可信度隨之增加，風險逐漸減少。

?下面，對每個安全等級的內容和要求作簡要說明。

4.2.1非保護級

?D等是最低保護等級，即非保護級。它是為那些經過評

估，但不滿足較高評估等級要求的系統設計的，只具

有一個級別。該等是指不符合要求的那些系統。因此，

這種系統不能在多用戶環境下處理敏感信息。D級并非

沒有安全保護功能，只是保護功能太弱。

4.2.2自主保護級

?C等為自主保護級，具有一定的保護功能，采用的

措施是自主訪問控制和審計跟蹤。它一般只適用于

具有一定等級的多用戶環境，并具有對主體責任和

對他們的初始動作審計的能力。它的各級提供無條

件的安全保護，并通過審計追蹤，對主體及其產生

的動作負責。這一等級分為C1和C2兩個級別。

1.自主安全保護級（C1級）

?其存取控制的基礎是以指名道姓的方式，提供了各

用戶與數據的隔離，以符合自主安全要求。它包含

了若干可信控制方式，能在個體基礎上實施存取限

制，即允許用戶保護他自己的項目和隱私信息，防

止他的數據被別的用戶無意讀取或破壞。

?ci級通過提供用戶與數據隔離，就能夠滿足市場可

信計算機（TCB,trustedcomputingbase）自動安全

要求。所謂可信計算機是一個安全計算機系統的參

考校驗機制。它包括所有負責實施安全策略，以及

對保護系統所依賴的客體實施隔離操作的系統單元,

簡單地說，即所有與系統安全有關的功能均包含在

TCB中。

?在這一級，TCB應在命名用戶和命名的客體之間定

義和進行訪問控制。它用的機理（如個人/組/公

共控制、訪問控制表）應允許客體擁有者指定和控

制客體是由自己使用，還是由用戶組或公共使用。

該級需要在進行任何活動之前，TCB去確認用戶身

份（如采用口令），并保護確認數據，以免未經授權

對確認數據的訪問和修改。通過用戶擁有者的自

主定義和控制，可以防止自己的數據被別的用戶有

意或無意地讀出、篡改、干涉和破壞。同時提供軟

件和硬件特性，并定期檢查其運行的正確性。系統

的完整性要求硬件和軟件能提供保證TCB連續有效

操作特性。

?目前生產的大多數計算機系統都能達到這一等級，

但這級系統不一定要經過嚴格的評價。評價為C1級

多是依據系統的某些特點。

2.可控安全保護級（C2級）

?在C2級，計算機系統比C1級有更具體的自主訪問

控制。通過注冊過程，同與安全有關的事件和資源

隔離，使得用戶的操作有可查性。在安全方面，除

具備Cl級所有功能外，還提供授權服務。并且可

提供控制，以防止存取權力的擴散。應確定用戶的

動作或默認客體提供的保護，避免非授權存取。它

可指定哪些用戶可以訪問哪些客體，未經授權用戶

不得訪問已指定訪問權的客體。同時還提供了客體

再用功能，即對于一個未使用的存儲客體，TCB應

該能夠保證該客體不包含未授權主體的數據。

?在這一方面，除具有C1級全部功能外，還提供惟一

的識別自動數據處理系統中各個用戶的能力；提供

將這種身份與該客體用戶發生的所有審計動作相聯

系的能力。C2級系統能與該識別符合，可審計所

有主體進行的各種活動；能對可信計算機(TCB)進

行建立和維護，對客體存取的審計進行跟蹤，并保

護審計信息，防止被修改、毀壞或未經授權訪問。

清華關淳圜版社壕:金

?TCB還能記錄下列類型的事件：確認和識別安全機

理的使用，將客體引入一用戶地址空間，客體的刪

除，操作人員、系統管理人員和安全管理人員進行

的各種與安全相關的活動。

?對每個審計事件，審計記錄應包括：用戶名、事件

發生時間、事件類型、事件的成功或失敗等。

?對于確認事件，請求源（如終端ID）也應包括在審計

記錄中。

?對于客體進行訪問的事件，審計記錄應包括客體名。

?自動數據處理系統管理人員應能通過識別符，有選

擇地審計任一用戶或多個用戶的活動。

?除C1級的要求外，TCB還必須保留一特定區域，以

防外部人員的篡改。由于TCB控制的資源是以主體

有始為學出施卷盟工【Ml魄力

和客體定義的子集，TCB應與被保護的資源隔離，

以使存取控制更容易，從而達到審計的目的。DEC

公司的VAX/VMS操作系統、Novell公司的

NetWare系統和Microsoft公司的WindowsNT/2000

都被確認為C2級。

4.2.3強制安全保護級

?B等為強制保護級，這一等級比C等級的安全功能

有很大增強。它要求對客體實施強制訪問控制，并

要求客體必須帶有敏感標志，可信計算機利用它去

施加強制訪問控制。這一部分可分為Bl、B2、B3

共3級。

清華:文學出瓶「泡

J■T)J/.(?一1,產5廣.，，J)yI，?F，尸Vi4?料ZZT尸I--:-，?

1.標記安全保護級(Bl)

?從本級開始，不但有自主存取控制，還增加了強制

存取控制，組織統一干預每個用戶的存取權限。本

級具有C2級的全部安全特性，并增加了數據標記，

以標記決定已命名主體對該客體的存取控制。本級

還規定在測試過程中發現的缺陷應當已全部排除。

2.結構化保護級(B2)

?從本級開始，按最小特權原則取消權力無限大的

“特權用戶”。任何一個人都不能享有操縱和管理

計算機的全部權力。本級將系統管理員與系統操作

員的職能隔離，系統管理員對系統的配置和可信設

施進行強有力的管理，系統操作員操縱計算機正常

運行。本級將強制存取控制擴展到計算機的全部主

體

蒲單文學出版社蘇陶UH藐密!凰

和全部客體，并且要發現和消除能造成信息泄漏

的隱蔽存儲信道。為此，本級計算機安全級的結構,

將被自行劃分為與安全保護有關的關鍵部分和非關

鍵部分。

3.安全域級(B3)

?本級在計算機安全方面已達到目前能達到的最完備

等級。按照最小特權的原則，本級增加了安全管理

員，將系統管理員、系統操作員和安全管理員的職

能隔離，使其各司其職，將人為因素對計算機安全

的威脅減至最小。本級要求在計算機安全級的結構

中，沒有為實現安全策略所不必要的代碼。它的所

有部分都是與保護有關的關鍵部件，并且它是用系

統工程方法實現的，其結構的復雜性最小，易于分

析和測試。本級的審計功能有很大的增加，不但

能記錄違反安全的事件，而且能發出報警信號。本

級還要求具有使系統恢復運行的程序。

4.2.4驗證安全保護級

?A等是驗證保護級。它的顯著特征是從形式設計規

范說明和驗證技術導出分析，并高度地保證正確地

實現TCB。其特點是使用形式化驗證方法，以保證

系統的自主訪問和強制訪問，控制機理能有效地使

該系統存儲和處理秘密信息或其他敏感信息。該等

級分為A1和超A1兩個級別。

1.驗證設計級（A1級）

?本級的安全功能與B3級基本相同，但最明顯的不

清監大學出掘鈍U置f布防/費赧出方馬彗I-H

同是本級必須對相同的設計，運用數學形式化證

明方法加以驗證，以證明安全功能的正確性。本級

還規定了將安全計算機系統運送到現場安裝所必須

的程序。

2.超A1級

?由于超A1級超出目前的技術發展，有些具體要求很

難提出，僅提供了一些設想。它為今后研究提供指

導。

?綜上所述，對可信計算機而言，D級是不具備最低

限度安全的等級；C1和C2級是具備最低安全限度

的等級；B1和B2級是具有中等安全保護能力的等

級，與C級相比是較高安全等級，對于一般的重要

應用基本上可以滿足安全要求；B3級和A1級是最

清華文學出版社-一谷港1，時觥淺就導空

高安全等級，其成本高，只有極重要的應用才需

使用這種安全等級的設備。

4.3計算機的開機口令驗證機制

?目前PC機是世界上使用最多的計算機，PC機上運

行的操作系統多為MSDOS或Windows95/98/ME等,

而Windows95/98/ME等系統簡單易學，且具有友

好的界面、豐富的應用軟件成為個人用戶的首選。

然而，由于Windows95/98/ME本身就不是為網絡

應用設計的，因此它存在許多安全性方面的問題，

是十分容易被攻擊的。

?根據美國計算機安全中心(NCSC)公布的可信計算

機系統評價準則(TCSEC,trustedcomputer

systemevaluationcriteria),Windows95/98/ME只

能達到D級，基本上相當于未加安全措施的個人計

算機系統。

?而在另一方面，因為Windows95/98/ME的流行，

許多黑客工具在設計時就考慮了Windows

95/98/ME的兼容性，許多黑客也利用它來攻擊網絡

系統。因此，對于個人計算機系統，用啟動開機口

令的開機驗證機制防止非法用戶使用計算機，是非

常必要的。開機口令的開機驗證機制是由計算機的

BIOS(BaseInput/OutputSystem)程序來管理的,

下面將介紹這方面的￡容。

4.3.1BIOS的口令機制

?BIOS的口令機帶I］俗稱CMOS口令設置，CMOS口

令是保證計算機信息安全的第一道屏障。

CMOS（本意是指互補金屬氧化物半導體存儲器，

應用于集成電路芯片制造）是電腦主板上的一塊可

讀寫的RAM芯片，主要用來保存當前系統的硬件

配置，CMOSRAM芯片由系統通過一塊后備電池

供電，所以無論是開或關機狀態中，CMOS的信息

都不會丟失。CMOS口令分為CMOS開機口令和

BIOS設置口令。如設置了CMOS開機口令，則計

算機在開機完成硬件自檢后將要求操作者輸入密碼,

如密碼不正確，將不能進入CMOS參數設置，亦無

法繼續啟動操作系統，更無從談起運行其他軟件了。

如計算機僅設置了BIOS設置口令，則雖然在啟動

操作系統和運行各種軟件時不受限制，但如要進入

BIOS設置程序必須輸入預設的口令，否則無法改

變CMOS參數。因此，根據實際需要，合理地設置

CMOS口令，是做好計算機信息安全工作的重要途

徑。

?計算機有很多種不同的BIOS程序，最有名的是

AWARDBIOS和AMIBIOS程序。下面以AWARD

BIOS為例討論BIOS中CMOS的開機密碼的設置，

設置方法如下。

(1)啟動計算機，在計算機正在啟動時不停地按

DEL鍵(注意，是不停地按動，而不是按住不放)，

直到出現如圖4.1所示的CMOSSETUP設置界面時

清華大學出朧他巧W3茄*譙娜廿次比1amMH

為止（有的計算機進入CMOS的快捷鍵不是DEL,

例如康柏計算機的CMOS設置是按F2鍵，需要看具

體情況而定），其中的加框的選項與開機的CMOS

密碼的有關。

（2）用鍵盤上的光標鍵選擇SUPERVISOR

PASSWORD項，然后回車，出現ENTER

PASSWORD后，輸入密碼再回車，這時又出現

CONFIRMPASSWORD,在其后再次輸入同一密

碼（注：該項原意是對剛才輸入的密碼進行校驗，

如果兩次輸入的密碼不一致，則會要求重新輸入）。

SUPERVISORPASSWORD選項是用來設置計算

機管理員的密碼，擁有該密碼，就可以設置計算機

的CMOS參數和使用計算機。

清華充學出版艇"宣彘:金施旗冠武堂里MMMHH

(3)用光標鍵選擇USERPASSWORD項后回車，同

上面一樣，密碼需輸入兩次才能生效。以上設置的

兩個密碼分別為設置密碼和修改CMOSSETUP密

碼，建議兩個均取同一密碼，以便記憶。USER

PASSWORD選項是用來設置使用計算機的用戶密

碼，擁有該密碼，就可以使用計算機。

(4)選擇BIOSFEATURESSETUP項回車，出現

BIOSFEATURESSETUP設置界面，用光標鍵選

擇SECURITYOPION選項后，用鍵盤上的PAGE

UP/PAGEDOWN鍵把選項改為SYSTEM(設定為

SYSTEM的目的是讓計算機在任何時候都要檢測密

碼，包括啟動機器，SECURITYOPION選項還有

一個參數SETUP,設定為該參數表示計算機在設

置CMOS參數時要檢測密碼)，然后按ESC鍵退出。

信絡為學出版社巧晶石?皮刊BSMBEESMMM

?(5)選擇SAVE&EXITSETUP項回車，出現提示

后按Y鍵再回車，以上設置的密碼即可生效。

?

—JSINGHUAUN/VEBSJTYPHESS___

ROMPCVISABIOS(2A59IJ1Z)

CMOSSETUPUTILITY

AWARDSOFTWAREINC.

STANDARDCMOSSETUPINTEGEGRATEDPERIPHERALS

BIOSFEATURESSETUPSUPERVISORPASSWORD

CHIPSETFEAURESSETUPUSERPASSWORD

POWERMANAGEMENTSETUPIDEHDDAUTODETECTION

PNIVPCICONFIGURATIONHDDLOWLEVELFORMAT

LOADBIOSDEFAULTSSAVE&EXITSETUP

LOADSETUPDEFAULTSEXITWITHOUTSAVING

Esc：Quitf*-：SelectItem

F10：Sme&ExitSetiq)(Shift)F2：ChangeColor

Change/SetDisablePassword

圖4.1

意單文學出腦言

?通過以上步驟設置以后，在計算機啟動和設置

CMOS參數時都要檢測密碼。

4.3.2BIOS的口令破解與防范措施

1.幾種常見密碼破解方法

?在日常的工作中，常碰到一些用戶由于遺忘了

CMOS口令或無意中設置了CMOS口令，致使計算

機無法啟動操作系統或無法進行CMOS參數設置的

情況，很多用戶對此束手無策，只能送計算機公司

修理，耽誤了很多時間。

?其實，根據CMOS口令的設置情況，可以有很多方

法來破解，其原則是：如果設置了CMOS開機口令,

清揚美:學出版蜒

必須采用硬件或CMOS萬能密碼法破解；如果僅

設置了BIOS設置口令，破解這種口令簡直易如反

掌！下面給出破解CMOS口令的各種方法。注意：

這些方法當然也有可能會被黑客們利用，因此亦應

針對這些破解方法，做好自己計算機的CMOS口令

保護。

2.硬件法破解CMOS口令

?忘記了電腦的BIOS密碼是一件不幸的事，如果將

BIOS設置中的SEURITYOPTION（密碼屬性）設為

ALWAYS/SETUP或SYSTEM則更是不幸中的不幸,

因為此時既無法進入CMOS設置程序更改口令，也

無法啟動操作系統用其他方法破解，只能采取在硬

件上進行CMOS掉電處理和使用萬能密碼這兩類方

法解決。

?下面介紹CMOS掉電處理的方法。這里首先需要提

及的是，硬件破解的各種方法均需在計算機關機的

狀態下進行（最好將電源線拔掉，對于ATX電源尤

應如此），先清除人身上的靜電，再打開計算機機

箱進行，否則可能導致計算機硬件的損壞。

⑴跳線/開關放電破解法

?計算機主板上一般都有CMOSCLEAR（CMOS清除）

跳線位置，可參照主板說明書或主板上印制的跳線

說明，用一跳線在該位置上跳接一下，CMOSn4

就被清除了，然后將跳線恢復原狀，開機后即能進

入CMOS設置。

（2）導線劃芯片放電破解法

?硬件破解CMOS口令的本質是讓CMOSRAM芯片

高華尤學出版社谷點剛屋|姍慳—|

掉電，使其中保存的設置信息丟失，從而達到清

除CMOS口令的目的（上面跳線法的實質也是這樣）,

抓住了這一點，在解決此類問題時，可先將CMOS

電池卸下，然后用一根導線，將其一端接到CMOS

電池插座的地線端，用另一端往CMOSRAM片的

兩排腳上輕輕地一掃而過（如不能確認哪塊是

CMOS芯片，則可多掃幾塊芯片，掃時注意別損傷

了芯片引腳），CMOS密碼便會被清除。此方法適

用于計算機主板上沒有設計CMOSCLEAR跳線的

情況。

（3）卸電池等待法

?這是一種麻煩和消極的方法。我們知道，CMOS是

靠主板上的一塊電池及相應的附屬電路來提供電源

清華關淳圜版社￡看￡布：:，筋娩粉比模里MMMH

以保持設置信息的，因此，如果將CMOS電池取

下，再將電池接口的正負極（注意不是電池的正負

極）短路，然后等待一段時間后，CMOS供電電路

中殘存的電能將會消耗完，CMOS口令就會被清

除了。

?如果CMOS電池是焊接在主板上的，則需先焊下來

再試用上述的第（2）、（3）方法。所以只有在確認主

板上確實沒有設計CMOSCLEAR跳線的情況下，

才可采用后兩種方法。

3.用CMOS萬能密碼破解開機口令

?如果計算機機箱加鎖（比如眾多的進口原裝計算機）

或因為其他原因無法打開機箱，自然也就無法進行

上述的硬件破解法，那么是否還有方法能破解

CMOS開機口令呢？答案是肯定的，下面向讀者

介紹一種不用拆機箱的軟方法—萬能密碼。

?原理：在BIOS的密碼中也有像WPS那樣的萬能密

碼，但不同的BIOS廠家有不同的密碼。

(1)用CMOSPWD獲取CMOS萬能密碼

?計算機BIOS的版本太多，不同版本的萬能密碼也

不一樣，想用上述的幾個密碼“通行”于所有版本

的BIOS顯然是不可能的。那么如何獲得更多的萬

能密碼呢？在Inernet網上有一個運行在DOS環境

下的CMOSPWD.EXE軟件可以做到這一點。圖4.2

是CMOSPWD.EXE程序的一個運行結果報告。

?由此運行結果可以看出，CMOSPWD工具可以獲

取多種BIOS類型的CMOS萬能密碼。因此，當忘

清監大學出版社防空匍痂為

?記了計算機的CMOS密碼時，可找一臺相同的計算

機，給其設置上CMOS開機口令，然后運行

CMOSPWD找到“萬能鑰匙”，再用到自己的計

算機上即可。

(2)用UNAWARD獲取AWARDBIOS萬能密碼

?UNAWARD.EXE可以幫你輕松地獲得Award

BIOS的萬能密碼，而且還有三個：純數字密碼、

小寫字母密碼和大寫字母密碼。假如你愿意，還可

以用該軟件DISABLE(禁用)這些萬能密碼，甚至刪

除這些密碼。執行UNAWARD.EXE程序，顯示如

圖4.3所示。

猾華大學出版社

CnusPivd-BIOSCncker15a,May20199ftCopyri^it1996-99

GRENIERChristophegrenier@esiea.fr

http://www.esfeafr小ii)lic_html/Christophe.GRENIER/

Acer/IBM[S7SS]

AMIBIOS[UI]

AMIWinBIOSa2ZL5y93)[N]

AMIWinBIOS2.5[N]

Avard4.5xSupeivisor/Ul/U2[21312121)(200022][000033]

Conpaq(1992)(6]

Conpaq(Tiy")[6??]

DeHversi)nAOS,1993[][]

IBM(PS/2,Activa-)[4X][6]

IBMThinkpadbootp\vd[6]

IBM300GLE4X]

PackardBellSq)eivisor/UserBadBad

PhoenixL00.09.AC0Q994)CRCpivderr

Phoenix104[][4幻

PhoenixL10A03/DeUGXiCRCpwderr

ZenithAMISiq)ervisor/User[???????][???????]

圖4.2

清華大學出版社

信零困朧鈍二餐新工：,此版蜀力信FMMMH

?通常同型號主機的AWARDBIOS萬能密碼是一致

的。因此當忘記了AWARDBIOS密碼時，不用著

急，試著在身邊找找或打電話問問朋友們的主板型

號、廠商是否與自己的這臺主機主板相同，假如有

的話，用UNAWARD.EXE將那臺機子上的密碼獲

取后再傳回來，一切就大功告成了。

UNAWARD.EXE在Internet上可以下載。

?注意：若需BIOS的萬能密碼，必須先在超級用戶

密碼(SUPERVISORPASSWORD)中設置密碼，如

沒有超級用戶密碼選項，則必須在用戶密碼(USER

PASSWORD)中設置密碼，否則該軟件不能用作

BIOS的萬能密碼。

清華十字出版社-

(3)使用通用CMOS密碼

?目前大部分主板使用AWARD公司的BIOS程序，

部分主板使用AMI公司的BIOS程序，某些廠家在

生產主板時為自己的BIOS預留了通用CMOS密碼，

以解一時之需。其中AWARDBIOS只有4.51版以

前的才有通用密碼。據目前所知，有以下通用密碼

(按成功概率排序)。

AWARDBIOS：wantgirlSyxzdirrideBBBh996

wnatgirlAward

AMIBIOS：Sysg

?以上通用密碼在386、486或奔騰主板上破解CMOS

幾乎百發百中，但在PH級以上的主板存在通用密

碼的可能性就較少了。

J^///i二）尸3,jz>.-'匕】Z/J,^PY^J.rirn.-.rJ^_rS,二

4.用萬能密碼程序準確破解BIOS設置口令

?如果在微機的BIOSSETUP程序中設置了CMOS口

令，但在PASSWORDOPTION（密碼選項）中選擇

為SETUP時，不必打開機箱，只要簡單地利用上

面介紹的萬能密碼程序在當前計算機上運行一下，

即可輕松和準確地獲得這臺計算機的CMOS萬能密

碼，然后用此萬能密碼即可進入BIOSSETUP程序

中更改各種CMOS參數了。

（1）用DEBUG破解SETUP設置口令

?在微機的BIOSSETUP程序中設置了口令，但在

PASSWORDOPTION（密碼選項）中選擇為SETUP

時，可簡單地利用DOS中的DEBUG程序清除

CMOS口令。

高子玄學出版社Ja嬲?捌巍嬲SB整IWW

?當計算機接通電源時，首先執行的是BIOS加電自

檢程序，對整個系統進行全面的檢測，其中也要對

CMOSRAM中的配置信息有關單元作累加和測試，

并與原來的存儲結果進行比較，當兩者相吻合時，

則CMOSRAM中的配置有效，程序繼續進行其他

測試；當發現累加和與原值不相等時，則要求重新

配置，并能自動地按實際情況進行最小配置的設定,

此時原來的CMOS口令也會被自動消除。

?利用這一點，只要往CMOSRAM中的80口

10H?2DH（配置信息存放單元）中的任一單元寫入一

個數，即可清除CMOSSETUP口令。具體操作如

下：

?從A：或C：啟動，然后運行DEBUG程序（從DOS

目錄中拷貝或運行），輸入：

高華：學字出頒社

Odebug（回車）

-O7010（回車）

-O7110（回車）

-q（回車）

?然后重新啟動系統，密碼即被清除，系統將要求重

新配置CMOS參數，這樣便可以重新進入BIOS

SETUP接口去設計系統配置了。

（2）輸入代碼破解SETUP設置口令

?使用本方法生成的可執行文件能夠清除CMOS密碼。

本方法的最大特點是不需使用任何工具軟件，而只

需簡單地使用DOS內部的COPY命令，從鍵盤上輸

入所需代碼，并生成所需的破解程序。

A：\>copycon

179,55,136,216,230,112,176,32,230,113,

254,195,128,251,64,117,241,195Az回車

?注意：輸入上述數字時必須用鍵盤上的Alt鍵加小

鍵盤上的數字鍵來輸入，其中的逗號表示輸入到該

處時松一下雙手再繼續輸入，而非真的輸入逗號；

人Z代表按Ctrl+Z鍵（也可按F6鍵）結束文件輸入，

最后回車在當前目錄下生成可執行文件。

?運行生成的可執行文件em,再重新冷啟動

計算機，會發現原來的CMOS設置口令已經被清除

了。同樣需注意的是，該方法在某些計算機上可能

會不起作用。

j4j](一，尸，/；yIy*rrryF,yJ.,*r^'?F?___??，二/?

5.防范CMOS密碼的破解

?通過對幾種常見CMOS密碼破解方法的介紹，可以

了解到要破解CMOS密碼的前提條件。采用硬件破

解法必須能夠打開機箱，因此防止硬件破解法的主

要措施是給主機機箱加上物理鎖。

?對于采用萬能密碼，目前沒有好的防范措施，如果

非法用戶持有萬能密碼，這開機密碼的安全保護措

施已失去效用，只能靠其他的安全措施，如通過操

作系統的安全機制。另外市場上有些硬盤保護卡和

防毒卡也有開機保護機制和密碼機制，也能起到

CMOS密碼的功能，且破解的可能性要比CMOS密

碼機制更難些。

清華無學出版神國，斯赧61旖廿f卅

?要防范采用工具軟件破解CMOS密碼，最主要是不

能讓非法用戶在被保護的計算機上物理性地執行工

具軟件，可采用如下措施。

(1)屏蔽計算機的軟驅和光驅，使之不能從軟驅和光

驅引導操作系統。

(2)使用者不能在計算機處于交互狀態(即可執行用

戶命令的狀態)時離開計算機；如若離開計算機，

應該關機、鎖定鍵盤或使計算機處于安全保護狀態

(例如Windows98系統的帶密碼屏幕保護狀態)。

(3)有條件的用戶可以給計算機加安全保護卡(例如

硬盤保護卡和防毒卡，也有開機保護機制和密碼機

制)。

(4)設置安全的口令，定期更新密碼。

清華文學出朧泡一二置比片:用加塞方號"iMMMi

?有關設置安全口令的措施如下。

（1）好的口令

-好的口令是那些很難猜測的口令。難猜測的原因是因

為同時有大小寫字符，不但有字符，還有數字、標點

符號、控制字符和空格。另外，還要容易記憶，至少

有7到8個字符長，并且容易輸入。

（2）不安全口令

-不安全的口令往往是：任何名字（包括人名、軟件名、

計算機名甚至幻想中事物的名字），電話號碼或者某種

執照的號碼，社會保障號，任何人的生日，其他很容

易得到的關于自己的信息，一些常用的音調，任何形

式的計算機中的用戶名，在英語字典或者外語字典中

的詞，地點名稱或者一些名詞，鍵盤上的一些詞，任

何形式的上述詞再加上一些數字。

清華尤學出版社々魏豳第

j?二*/j.1,一/?■?.二.,一/zij/**/r一zJ..r*'.J_1_■|二z|—I

(3)保持口令安全要注意的問題

?①不要將口令寫下來。

?②不要將口令存于終端功能鍵或調制解調器的字

符串存儲器中。

?③不要選取顯而易見的信息作口令。

?④不要讓別人知道。

?⑤不要交替使用兩個口令。

?⑥不要在不同系統上使用同一口令。

?⑦不要讓人看見自己在輸入口令。

(4)一次性口令

?減小口令危險的最有效方法是根本不用常規口令。

替代的辦法是在系統中安裝新的軟件或硬件，使用

清華文學出版社*=三用翳協后

J?二J??-I,/'J■‘，，',/'-''-，j.'J.**r?*??J~*

一次性口令。一次性口令就是一個口令只使用一

次。一個用戶可能收到一個打印輸出的口令列表，

每次登錄使用完一個口令，就將它從列表中刪除。

用戶也可能得到一個可以攜帶的小卡，這個卡每次

將顯示一個不同的號。用戶還可以攜帶一個小的計

算器，當登錄時，計算機將會打印出一個不同的號

碼，用戶將這個號碼輸入這個小小的計算器中，然

后輸入自己的標志號碼，計算器將輸出一個口令，

用戶將這個口令再輸入計算機中。

?一次性口令系統比傳統方式能提供令人驚奇的安全

性能。不幸的是，它們要求安裝一些特定的程序或

者需要購買一些硬件，因此現在使用得并不普遍。

清華女淳圜版社^，葡魄冊比31fMMM"

?在一個網絡中，當用戶穿過Internet或者其他的網絡來

訪問時，管理員就應該認真地考慮使用一次性口令。

否則，攻擊者可以竊聽、截獲用戶口令，以后將攻擊

這些站點。

4.4Windows95/98/ME的安全保護機制

?如前所述，計算機的開機密碼保護機制是非常脆弱的。

因此，必須尋求其他的保護措施。例如：操作系統的

安全措施。

?總的來說，Windows95/98/ME只能達到D級，基本上

相當于未加安全措施的個人計算機系統。雖然微軟的

系統加密技術有點讓人擔憂，可用上總比不用好。本

節將以Windows98系統為例介紹這方面的內容。

膏單關:學出版社

?Windows98系統的安全措施是由登錄機制、屏幕

保護密碼、文件夾共享密碼和遠程管理密碼等部分

組成的。這些安全保護措施，Windows98系統都

提供了安裝和設置方法，大部分方法可以通過修改

Windows98系統的注冊表來實現。

4.4.1Windows98的登錄機制

?Windows98系統登錄方式有三種：Microsoft網絡

用戶1、Microsoft友好登錄和Windows登錄。其中

Microsoft網絡用戶和Microsoft友好登錄兩種選項,

只有在Windows98系統安裝網絡適配器（如網卡或

撥號適配器）時才能選擇。

辰華文學出瓶社麟制巽

1.Windows98系統登錄

?嚴格講，Windows登錄選項對系統起不到安全保護

作用。Microsoft公司設計Windows登錄機制的用意

主要在于區分不同用戶使用Windows98系統有一

個個性化的桌面和菜單選項，而不在于保護系統和

防止非法用尸使用計算機。所以，用戶在Windows

98啟動后出現“Windows登錄”界面時，如圖4.4

所示，如不輸入密碼，單擊“取消”選項也可進入

Windows98桌面。

清華大學出版社

圖4.4

清華文學出瓶社氟麗恩糜黑翳曼

J?!-->，JI-./>*f,.▲尸一"二J*：J[-?，:,,?fi'?.'J'~?*—/

2.Microsoft網絡用戶和Microsoft友好登錄

?這兩種選項只有Windows98在網絡中存在才可以

選擇，當Windows98系統作為網絡中的一個主機

時，這個用戶必須以“Microsoft網絡用戶”的身

份登錄。如果用戶選擇了“Microsoft網絡用戶”

選項，在Windows98啟動后出現“Microsoft網絡

用戶登錄”界面，如圖4.5所示，如不輸入密碼，

單擊“取消”選項也可進入Windows98桌面，用

戶將不能使用網絡資源，但并不妨礙用戶使用本機

的資源。至于"Microsoft友好登錄”選項，它與

“Microsoft網絡用戶”選項的作用相同，如圖4.6

所示，惟一的區別是登錄界面更漂亮一點。

清華大學出版社

圖4.5

圖4.6

信華大學出版社

?上述3種選項的選擇步驟是：

?啟動Windows98系統進入系統桌面—用鼠標右擊

Windows98的“網絡鄰居”圖標一“屬性”，出

現“網絡”窗體一“配置”，其中“主網絡登錄

(L)”的設置即為“Windows98登錄”的設置選項,

如圖4.7所示。

配置I標識］訪問控制］

，經安裝了下列網絡組件國)：

r*X/SPX兼容協議->RealtekRTLB029Ethernetjj

riPX/SPX兼容協議->撥號網絡適配器

TCP/IP->RealtekRTL8029EthernetAdapteran

FTCP/IP->撥號網絡適配器

^Microsoft網絡上的文件與打印機共享

11±r

添加④…刪除由屬性⑥

主網絡登錄&):

確定I取消I

圖4.7

清華亍:學出版社士扁W

j?土sjIm>>ri與尸7T7

4.4.2Windows98的屏幕保護機制

?Windows98可以設置屏幕保護程序，其作用是：

當用戶要離開計算機一段時間，而又不能關閉計算

機的電源時（如計算機正在進行運算），為了保護計

算機，可設定計算機在一段時間后不進行操作，計

算機將進入屏幕保護狀態以保護計算機的顯示器和

硬盤，使其進入節能狀態。在設置屏幕保護程序時,

可選擇“密碼保護”選項，這樣當計算機進入“屏

幕保護”狀態后，如要使計算機恢復到正常狀態，

就需要密碼，否則將不能操作計算機，從而達到保

護計算機安全的目的。

?Windows98系統屏幕保護程序設計的步驟為：

?啟動Windows98系統進入系統桌面，選擇“啟動”

信華大學出頒強常思層/部肥鍬震星方

J?-'?J-I,/'J.，：,/-''-」1-'J.?*1*'?'J~~*

一“設置”-“控制面板”一“顯示”，出現

“顯示屬性”窗體，選擇“屏幕保護程序”選項，

如圖在“屏幕保護程序）”位置，可選擇屏幕保護程

序，同時，選定“密碼保護”選項，可輸入保護密

碼，如圖4.8所示，同時輸入啟動保護程序的時間，

按“確定”，就完成了屏幕保護程序的設置工作。

4.4.3Windows98共享資源和遠程管理機制

?當Windows98系統與其他計算機聯成網絡時，計

算機的資源可以相互共享，為了保護計算機系統的

安全，Windows98有簡單的權限控制，其訪問控

制方式有兩種：共享級訪問控制方式和用戶級訪問

控制方式。

清華廣學出版社

?用戶級訪問控制方式要求在網絡中必須有域服務器，

通過域服務器（例如WindowsNT/2000的域服務器）來管

理Windows98的資源，這種方法安全性較高，其設置

方法同WindowsNT/2000的共享資源的設置，將陸續

在WindowsNT/2000的安全性中講解。

?在沒有域服務器的對等網絡中，Windows98的共享資

源管理只能采用共享級訪問控制方式，選擇共享級控

制方式的權限有3種：“只讀”、“完全”和“根據密

碼訪問”。選擇“只讀”時，其他計算機用戶只能讀

取本機共享目錄下的文件和子目錄，而不能修改和刪

除該目錄下的文件和子目錄；選擇“完全”共享類型,

其他計算機用戶可完全控制（即：可以讀取也可修改或

刪除）共享目錄下的文件和子目錄；選擇“需要密碼”

時，需要輸入“只讀”和“完全”共享的密碼，其他

計算機用戶必須提供密碼來決定它使用共享目錄下的

背景屏幕保護程序|外觀［效果］Web］設置］

_47F?一

屏幕保護程序?

pis3設置3I毓?I

B密碼保護0)更改0|等待世H|10二1分鐘

監視器的節能特征9

M由“訕魯”

贓0|

確定。消|??

圖4.8

清華交學包版苞城；,1

?Windows98系統共享資源的訪問控制方式設置步驟為:

⑴“Microsoft網絡上的文件和打印機共享”的設定

?啟動Windows98系統進入系統桌面一用鼠標右擊

Windows98的“網絡鄰居”圖標一“屬性”，出現

“網絡，，窗體-“配置，，一“添加”，出現“請選擇

網絡組件類型”窗體，在窗體中選擇“服務”，單擊

“添力口”按鈕-“選擇網絡服務”窗體，在“選擇網

絡服務”窗體中，選擇“Microsoft網絡上的文件和打

印機共享”，單擊“確認”按鈕，關閉“選擇網絡服

務”窗體一單擊“取消”按鈕，關閉“請選擇網絡組

件類型”窗體，回到“網絡”窗體一在“網絡”窗體

中單擊“文件及打印共享”-“文件及打印共享”窗

體，將所有“允許其他用戶訪問我的文件”和“允許

其他用戶使用我的打印機”兩個選項選上，關閉窗口返

回到“網絡，，窗體中，如圖4.9所示。

_?J2￡|

配置|標識|訪問控制］

.經安裝了下列網絡網件QI）：

rIPX/SPX兼容協議-「RealtekRTL8029Ethernet±J

tlPX/SPX兼容協議->撥號網絡適配器

,FTCP/IP->RealtekRTL8029EthernetAdapter皿

rTCP/IP->撥號網絡適配器

^Microsoft網絡上的文件與打印機共享V

用I±r

硒④|||

主網絡登錄1）：

文件及打卬共享國）...

圖4.9

(2)設置“共享級訪問控制方式”

?在⑴中的“網絡”窗體中，選擇“訪問控制”，

選擇“共享級訪問控制”，如圖4.10所示，單擊

“確定”按鈕，重新啟動Windows98系統。

猾華大學出版社

圖4.10

清華十字出版社_-

(3)設置晏翱!

?當設置完步驟(1)和(2)后，如要將計算機的資源(假

設磁盤C)設置成共享權限，設置步驟如下：重新啟

動計算機，在出現登錄對話框中輸入一個用戶名及

其密碼后，單擊“確定”按鈕即登錄到本機，同時

可以使用網絡上的共享資源。用戶名和密碼是由用

戶任意設定的第一次使用某個用戶名登錄時需要確

認輸入的密碼。

?注意：在輸入用戶名和密碼后，必須單擊“確定”

按鈕方可訪問網絡中的資源，如果“取消”則僅將

該機作為單機使用，在網絡鄰居中將找不到其他計

算機的共享資源。

高華大學出版社"3端於拗城fllMBB霆I??

?當進入到計算機Windows98系統后，打開“我的

電腦”，右擊磁盤C：的圖標，在出現的菜單中，

選擇“共享”，在屏幕顯示的對話框中選擇“共享

為"，輸入一個共享名(如“Win98C”)，選擇3種

共享方式中的一種：選擇“只讀”、“完全”或

“根據密碼訪問”，選擇“根據密碼訪問”時，還

需輸入“只讀”和“完全”共享的共享密碼(為了

使計算機系統更加安全可靠，一般設定共享資源的

權限最好采用“根據密碼訪問”)。如圖4.11所示，

這樣其他計算機用戶就可以使用設置的共享資源

Win98c了。

清華大學出版社???????

圖4.11

（4）使用Windows98的共享資源

?在網絡中，如有計算機使用已設置好的共享資源

（如計算機WS1的共享資源WE98C）,當該計算機

登錄到Windows98系統后，打開“網上鄰居”，

顯示“整個網絡”以及同組典各計算機名，將發現

計算機WS1。雙擊WSL顯示共享名WE98C,雙

擊共享名Win98c可以訪問WS1的磁盤C上的文件

或目錄（如果Wi1198c資源設定的權限是“根據密

碼訪問”，則雙擊共享名Win98c后還需提供相關

的密碼）。

?另外，Windows98系統的資源可通過遠程的計算

機來管理，這就是Windows98的遠程管理機制，

啟動Windows98遠程管理機制，其他局域網的網

絡用戶可以通過網絡管理Windows98系統下的文

件和打印機(包括Windows98資源的共享訪問機制

的設置)。

?啟動Windows98遠程管理機制的步驟為：

(1)啟動Windows98遠程管理服務

?啟動Windows98系統進入系統桌面，選擇“開

始”—“設置”一“控制面板”一“密

碼，，一“密碼屬性”窗體，在“密碼屬性”窗體中

選擇“遠程管理”一選定和激活“啟用此服務器的

遠程管理”，同時，輸入遠程管理密碼，輸入兩遍

密碼，如圖4.12所示，按“確定”關閉“密碼屬性”

窗體，即可完成操作。要想使“啟動Windows98

遠程管理服務”成功，還需先完成“Windows98

系統共享資源的訪問控制方式”設置步驟(1)和(2)。

高華十字出版社

圖4.12

清筠大學出版艇—量葡制

(2)遠程管理Windows98的資源

?當一臺計算機已設置了遠程管理服務，就可以通過

局域網的任何一臺Windows98計算機管理該計算

機的文件和打印機了。假設計算機WS1已經配置了

遠程管理服務，現在通過WS2來管理WS1的資源，

其步驟如下。

?啟動WS2以“Microsoft網絡用戶”的身份登錄到

本機的Windows98桌面上，打開“網上鄰居”，

顯示“整個網絡”以及同組的各計算機名，將發現

計算機WS1一用鼠標右擊“WS1”圖標一“屬

性，，一出現“WS1屬性”窗體，單擊“工具”欄，

窗體中顯示3個配置按鈕：“網絡監視器”、“系

統監視器”和“管理程序”，其中通過“網絡監視

器”允許查看WS1上的

清華亍:學出施袍氟淵昌翱昌網思

J?-J?J./"——J?'J，，'JI-''-，1.J,?^1*'?'J*~^^Z*~~'

共享目錄和通過網絡正在使用該目錄的用戶，

“系統監視器”允許查看WS1上的磁盤訪問與網絡

的使用情況，而“管理程序”則是遠程管理WS1的

文件和打印機的共享設置，3個配置選項都需要提

供WS1的遠程管理密碼。現在單擊“管理程

序”-“輸入網絡密碼”窗體，如圖4.13所示，輸

入WS1的遠程管理密碼，出現“計算機WS1所有資

源”的窗體，其中C$、D$等是WS1的磁盤C、D

的代號，不帶$符號的目錄為已設置好的共享目錄,

可以像設置本地計算機的資源那樣設置WS1的C$

及口$及其子目錄等資源的共享，同時也可以改變

不帶$符號的共享目錄的訪問控制方式，如圖4.14

所示。

上］兇

越絡陰視蹌QP

位控計邕機

香臚機器允許泰看匕1上的磁叁訪問考網絡使用

樂妹愈迷弱@

智理文件察茨

管理使您可以更改m的模置.

管理程序Q)

圖4.13

三

a

圖4.14

清華交學出版社酬胡耀懶

｝少產，??，*少￡力/土5冗迫"Lf」二rZ>Zz

4.4.4Windows98注冊表的機制

?注冊表是Windows98系統的核心，在注冊表中存

儲看系統的所有硬件和軟件信息，通過它可以控制

操作系統的行為。因此，它的安全直接關系到

Windows98系統的安全，黑客的進攻往往以它為

主要目標。下面詳細介紹注冊表的作用和保護措施。

?注冊表是一個包含有Windows98系統和應用程序

以及硬件信息的中央數據庫，是Windows98系統

的核心之一。它存儲在Windows98目錄下的

system.dat文件中，這是一個只讀的、隱臧的文件。

Windows98每次啟動時都要用到它，并把它備份

至Usystem.dOO至Usystem.d04共5個文件中。當啟動后

加載的system.dat文件受損后，Windows98自動按

照備份時間順序由新到舊調用備份注冊表文件覆蓋

現在使用的system.dat文件，以恢復操作系統的穩

定性。可見注冊表在Windows98中是多么重要。

通過它幾乎可以修改Windows系統的任何一個設置,

包括開始程序的設置、硬件參數的修改、桌面的修

改、實現系統的優化等等，因此，它對于整個

Windows系統的安全起著重要的作用。

?注冊表是以樹型結構存在的，就像資源管理器一樣,

不過它的目錄項的含義與其不同，一共有5種不同

的類型，包括：

?根鍵：注冊表的根目錄，相當于磁盤上的根目錄

如：C:\；

?鍵和子鍵：相當于磁盤上的子目錄，在鍵下是子

鍵，就像目錄可以包括子目錄一樣。

-鍵值項：相當于磁盤