(二)維護網絡工作站的本地盤資源
1.禁止用戶修改CMOSE
為CMOSE設置口令�,禁止學生修改其中設置,這是保護工作站的第一關�����。
2.基于Windows操作系統(tǒng)的保護(以Win95為例)
Windows安全性的脆弱為管理工作站帶來極大的不便��。保護Windows即保護它的啟動文件�����、重要信息�、系統(tǒng)設置及應用程序。目前對于這方面的單機保護方式和相關軟件����,已有不少介紹�����。針對一個無軟驅���,多種用戶使用的工作站的保護,可以通過應用注冊表����,采取“自保為主,軟件為輔”的方法���,具有很實際的效果���,下面進行概括介紹。
根據使用者的身份����,把用戶分為系統(tǒng)管理員,一般用戶與非法用戶�����。一般用戶為使用得到允許的用戶名進行登錄的學生或教師,非法用戶為擅自使用未經登記的“用戶名”��,或按ESC鍵的登錄者����。管理員可以事先分別以這三種身份登入,限制相應權限��,再退出�,保留設置。這樣做����,即能保證系統(tǒng)安全��,又能維護教學��。對系統(tǒng)管理員自然不必作出限制���,只需修改兩個設置:進入控制面板的“用戶配置文件”選項�,選中“用戶自定義首選項和桌面設置”���、“在用戶設置中包含桌面圖標”和“在用戶設置中包含'開始'菜單和程序組”三項內容����,重啟,輸入用戶名登錄�����;由于Win95在退出時有保留工作狀態(tài)��,下次啟動重現的功能���,為了不留下安全隱患���,需給予取消,方法是:運行regedit.exe進入注冊表編輯器HKEY-CURRENT-USER\SoftWare Microsoft\Windows\CurrentVersion\Policies路徑下�,選中explorer主鍵,新建二進制值NsaveSetting�����,鍵值改為01000000即可����。至此,管理員一項設置完成����。
對中學生一般用戶與非法用戶的限制可以從以下幾個主要方面考慮:
?�、瘢[藏Windows系統(tǒng)所在驅動器��,如C盤��,而開放其它盤給用戶進行讀寫等操作��。保護了C盤上的文件�,也就保護了Win95��。具體操作是:進入注冊表HKEY-CURRENT-USER\Software\Microsoft\Windows\Current\Version\Polices��,新建二進制NoDrives���,建值為040000。以下Ⅱ到Ⅵ的操作是只是路徑和鍵值不同�,九八年四月七日的電腦報,有詳細敘述���。
?、颍赪in95下禁用Msdos方式和禁止重啟時選擇切換到Msdos方式���,防止用戶從DOS進入被隱藏的驅動器�。
Ⅲ.禁止用戶進入控制面板��,或禁用其中的某些項目���,如:虛擬內存����,文件系統(tǒng)���,設備管理等等�。防止系統(tǒng)的硬件配置被更改��。
?��、簦故褂蔑@示屬性��,或其中的某些項目��。
?�、?禁止學生使用“regedit.exe”��。
?、觯[去桌面所有圖標。
經過試驗���,對一般學生用戶采?、竦舰蹴棿胧?,有利于保護系統(tǒng)的安全,又不影響教學���。在實際操作中�����,只需設置一臺工作站��,然后通過對等網和注冊表編輯器的文件引入�、文件導出功能完成全部工作站的設置��。如果有需要取消所有的限制�,不必重復進行操作����,只要以系統(tǒng)管理員身份登錄�����,恢復控制面板中的用戶配置文件原有選項即可(一般用戶和非法用戶對控制面板的這項操作被禁止)���。注冊表的上述修改,雖只是局部分支變化����,但如果對注冊表不是很熟悉,建議在修改前�����,要備份當前狀態(tài)的兩個注冊表文件����。
3.基于DOS操作系統(tǒng)的文件保護
在原版本的DOS下,主要是保證IO.SYS�����,MSDOS.SYS����,MSDOS.W40���,COMMAND.COM,COMMAND.W40�,NET.BAT及net,windows等子目錄和文件不被破壞�,使兩個操作系統(tǒng)和Novell網絡都能正常登錄?�?梢酝ㄟ^以下途徑,綜合采取“加密”,“隱藏”��,“限制命令”和“備份”的方法,保護這些文件/目錄�����。
l)分出一硬盤分區(qū)��,作為備份盤��,備份要保護的重要文件/目錄�����,再借用一些軟件或用匯編編寫一些小程序對該盤進行加密���。為節(jié)省硬盤空間�����,可以只備份所有啟動文件和Win95的安裝文件�����,甚至可以簡單地備份Dos的啟動文件和登錄Novell的[net]目錄�,因為只要能登上Novell網�����,即使所有其它文件均被破壞(包括Win95系統(tǒng))����,在這無盤工作站上,都可以通過Novell網�����,直接在網上或下載重新安裝����。若事先沒有更多分區(qū)����,也可以只建一備份目錄backfile�,進行類似保護。
2)用arrib.exe外部命令對要保護的文件加隱含�����,只讀�,系統(tǒng)文件屬性。如在C盤根目錄下執(zhí)行attrlb*.sys+r+s+h��;attrib windows+r+s+h�����。若使用了備份目錄backfile�����,也可將此目錄設置成這些屬性����。將attrib在設置完所有其它文件的屬性后�����,轉移至備份盤(目錄)。
3)修改��,轉移部分DOS內外部命令��。學生使用某些內外部命令會給要保護的文件帶來威脅����,如del,deltree,copy�����,move�,ren,fotmat�,fdisk等等;在DOS環(huán)境下��,建立禁止學生對本地盤進行這些相關操作���,對外部命令可以轉移到備份盤/目錄����,對內部命令,用Pctools工具���,從COMMAND.COM中刪除����,然后用語言自行編寫具有同樣功能的程序����,編譯成外部命令使用,并存放于備份盤/目錄���。由于學生對Novell網上本人用戶目錄下文件應享有絕對的權利��,所以把這些外部命令(包括自行編寫的)存放一份在服務器上��,并適當修改�����,使這些命令對F:以前的驅動器無效����。由于服務器上的資源都有經過安全設置,故不會遭到破壞�。此外為確保管理員是備份
目錄backfile的唯一使用者,可以對backfile目錄加密��,或者在attrib命令轉移至backfile目錄后���,用pctools具將DIR的/A功能取消。
在實際操作時�,可寫入批處理文件,放到網上�����,讓所有工作站一起運行�����,完成設置���。
4.上述措施要根據實際需要結合起來使用
實踐證明�����,采取這一系列防護措施���,是一種行之有效的方法��。它充分利用系統(tǒng)本身的功能���,步步為營,環(huán)環(huán)相扣�,實現保護;同時也免去了尋找軟件之苦����。
當出現上述五個*號故障問題時,有相應辦法解決����。
對問題1*:修改了Windows的設置及其它文件,但系統(tǒng)能工作���。如MSDOS.SYS的內容被修改�����,失去了雙啟動的功能���;Windows的畫面被調換或被加上屏幕保護口令等等����。只需進入Win95恢復設置即能解決����。
對問題2*:破壞了DOS或Windows下的某些應用軟件。解決辦法是登錄某個網絡��,通過共享光/軟驅���、利用服務器上備份文件或從網上下載,進行重新安裝���。
對問題3*:刪除了Novell的登錄文件���,甚至可能還刪除了Msdos的啟動文件,如MSDOS.DOS����,導致無法登入Novell網。解決辦法是從備份盤/目錄恢復被刪文件���,或登錄對等網或NT網從其它工作站拷貝得到文件�。
對問題4*:破壞了Windows的系統(tǒng)文件,導致無法登錄Windows��,但可以原版本的Msdos方式進入DOs環(huán)境���。解決辦法是:先考慮從備份文件中復制Win95的啟動文件����,若仍無法登錄����,再從備份的安裝文件或通過Novell網重新安裝Win95系統(tǒng)。
對問題5*:兩個系統(tǒng)的系統(tǒng)文件均遭到嚴重破壞�����,既不能引導原DOS版本��,也無法進入Windows界面��,但還可以進入Win95下的Dos環(huán)境��。無法利用任何一個網絡���。由于不能啟動原版本的Dos��,無法登錄Novell網��,也無法進行其它網絡傳輸�,解決辦法只能從備份文件所在盤,重裝Win95到C盤��,再在Win95下登錄Novell網或對等網����,拷得Dos的啟動文件IO.SYS,COMMAND.COM���,MSDOS.SYS等��,恢復工作站原版本DOS系統(tǒng)。
?���。ㄈ┘訌娝枷虢逃瑖栏裰贫裙芾?/p>
要做好計算機系統(tǒng)的安全防衛(wèi)工作�����,任何技術方案都不應當是唯一的防護措施,它必須與相應的管理措施一起使用才能湊效�。首先要對學生進行計算機安全教育,讓學生了解有意破壞公用和他人文件會給集體帶來的危害���,認識到這是一種不文明的行為�。機房計算機出現的問題�����,80%到90%都是由于學生的不規(guī)范操作造成的���,如果教師事先有講授正確操作的注意事項�,有預先布置上機內容�,學生能認真嚴肅對待上機課,那么大部分問題是可以避免發(fā)生的���。其次��,要制定嚴格的機房使用制度����。第一節(jié)課就必須讓每一個學生明確制度內容���,對學生違紀情況切不可采取“寬容”政策��,否則不良風氣容易擴散�;對還處于貪玩、好奇��,同時責任感不很強的中小學生尤其要注意培養(yǎng)起良好的上機習慣�����。
四��、未能解決的問題
擴大機房系統(tǒng)規(guī)模�,為工作站安裝硬盤,組建多種結構互存的整體系統(tǒng)��,勢在必然���。本文所敘述的管理與維護技術�,著眼于系統(tǒng)本身的全面����、合理規(guī)劃和實現系統(tǒng)自保��,并輔助地使用應用軟件。這樣的處理�����,靈活���、方便���,效果實際;在DoS下的保護需要占用一定的硬盤空間�����,但若把備份資料精簡到最低限度(包括DOS的啟動文件����,一些外部命令文件,及登錄Novell的四個啟動文件)��,所需空間也不超過1M���。當然�����,這里所使用的方法還存在缺陷����,需要繼續(xù)簡化和完善,就本文的討論而言�,還存在一個問題有待解決:當位于硬盤0道1扇區(qū)的引導信息被破壞時,工作站無法啟動任何系統(tǒng)����。此外,如果經濟條件允許���,建議在工作站上增加遠程啟動芯片���,為保護工作站添加最后一道防線。
操作系統(tǒng)從單用戶發(fā)展到多用戶�,是微電腦歷史的一次革新,而學校公用機房如何做到“既鞏固學生機的工作站地位����,便于管理,適應教學����,又擴大站點功能,強化它的'個性'�����,兩者齊驅并駕”�,是今后的努力方向,如:公用機房實現監(jiān)控式網絡教學�����,工作站多媒體化等等��。功能提高與技術維護是相輔相成的���,相信在不遠的將來����,兩者會有更加完美的結合��。
?
