8-安全-1-安全管理篇

第九章 安全篇


一、安全管理

1、如何禁止用户通过“运行”来运行应用程序？
通过“开始”菜单的“运行”，用户可以输入命令来启动某个程序。对于那些不是EXE为扩展名的程序，也可以直接运行。如果不希望用户随意执行程序，可以将“开始”菜单中的“运行”项去除。
单击“开始->运行”，键入 regedit，然后单击“确定”，找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies，在Explorer右窗口增加一个DWORD值，NoRun 数值资料1为隐藏“运行”，0为显示“运行”。
另更改：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion，然后在Policies增加一个项名为Explorer，在Explorer右窗口增加一个DWORD值，NoRun数值资料：1为隐藏“运行”，0为显示“运行”，重新登录或启动后生效。
【提示】
禁止了“开始”菜单的“运行”后，用户还是可以在DOS窗口中通过手工输入命令来启动某个程序，那么，请看下例。

2、如何禁止用户运行命令解释器和批处理文件？
通过修改注册表，可以禁止用户使用命令解释器(CMD.exe)和运行批处理文件(BAT文件)。
进入到注册表项HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\中，新建一个双字节值项DisableCMD，修改其值为2，则命令解释器和批处理文件都不能够被运行。如果只是禁止命令解释器的运行，而运行批处理文件的运行，则修改DisableCMD的值为1。

3、如何禁止运行指定的程序？
为了安全性起见，我们可能希望有些带有危险性的程序不让用户去运行。这可以通过注册表来实现。例如我们想禁止用户运行记事本(notepad.exe)和计算器(cal.Exe)。
首先在注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer中，新建一个双字节值项DisallowRun，修改其值为1，以允许我们定义禁止允许的程序，然后新建一个注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun，在其下新建两个字符串值项。第一个值项的名称为1，值为notepad.exe，第二个值项为2，值为calc.exe。如果想禁止更多的程序，可以依次建立名称为3、4等顺序往下排列的值项。修改注册表后立即生效。这时想通过“开始”菜单运行记事本和计算器程序，系统会提示不能进行此操作。
【注意】
用户在Windows XP的命令解释器(CMD.exe)窗口中，仍然可以通过输入“notepad.exe”运行记事本。这是因为DisallowRun禁止的只是通过资源管理器Explorer运行的程序，记事本不是通过Explorer启动的，所以就无法禁止了。如果不希望用户可以通过命令解释器运行程序，应该在DisallowRun中将命令解释器(CMD.exe)禁止。另

外，此方式还有一个不安全之处，就是如果用户将记事本程序“notepad.exe”更改名称，如改成“note.exe”，用户就可以运行它了。

4、如何只允许运行指定的程序？
为了限制用户运行程序，我们可以指定用户只能运行某些必须的程序。例如我们想只允许用户运行记事本(notepad.exe)和计算器(cal.Exe)。这种方式可以避免用户运行自己携带来的程序，有效地防范病毒地传播。这可以通过注册表来实现。
首先在注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer下新建一个双字节值项“RestrictRun”，修改其值为1，以允许我们指定可以运行的程序。
然后新建一个注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun，在其下新建两个字符串值项。第一个值项的名称为1，值为notepad.exe，第二个值项为2，值为calc.exe。如果想允许更多的程序，可以依次建立名称为3、4等顺序往下排列的值项。修改注册表后立即生效。这时想通过“开始”菜单和资源管理器运行其他的程序，系统会提示不能进行此操作。
【提示】
如果您没有允许注册表编辑器运行，您会发现您将无法恢复此方法所做的修改，因为无法用注册表编辑器来修改注册表了。在这种情况下，您可以将注册表编辑器程序的名称改变为您允许运行的某个程序的名称，这样您就可以运行起来注册表编辑器了。
【注意】
由于此方法的限制性非常大，所以请小心使用，尤其是避免没有允许任何程序运行这种情况。如果出现了这种情况，您将无法将此方法做的设定改变回来，因为您无法修改注册表。惟一的方法就是恢复修改前的注册表备份。

5、如何禁止用户更改口令？
用户在“Windows安全窗口”中(同时按下Ctrl+Alt+Delete键)，可以单击“更改密码”来更改用户口令。通过修改注册表，可以禁止用户更改口令。
在注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下新建一个双字节值项DisableChangePassword，修改其值为1。这样，“Windows安全窗口”中的“更改密码”按钮变成了灰色不可选状态，用户无法更改口令。

6、如何禁止用户锁定计算机？
用户在Windows安全窗口中(同时按下Ctrl+Alt+DELETE键)可以单击“锁定计算机”键，使用户不能够使用计算机，除非键入用户密码解除锁定。通过修改注册表，可以禁止用户锁定计算机。
单击“开始->运行”，键入 regedit，然后单击“确定”，找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\，在右侧窗格中新建或编辑名为“DisableLockWorkstation”的DWORD值，将键值设置为“1

”，禁止用户锁定计算机，“Windows安全窗口”中的“锁定计算机”按钮变成了灰色不可选状态，用户无法锁定计算机；如将键值设置为“0”，则允许用户锁定计算机。
【提示】
“锁定计算机”后，桌面会被隐藏，而且系统无法使用。只有锁定系统的用户或系统管理员才能解除锁定。
不配置设置而希望锁定计算机，请按Ctrl+Alt+Delete，然后单击“锁定计算机”。

7、如何禁止用户使用任务管理器？
任务管理器让用户启动或终止程序、监视计算机性能、查看及监视计算机上所有运行中的程序 (包含系统服务)、搜索程序的执行文件名及更改程序运行的优先顺序、查看网络的使用情况等许多重要信息。有时为了安全的需要，您可禁止用户使用任务管理器。如果用户试图启动任务管理器，系统会显示消息，解释这个操作被禁止。
单击“开始->运行”，键入 regedit，然后单击“确定”，找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System，在右侧窗格中新建或编辑名为“DisableTasMgr”的DWORD值，将键值设置为“1”，禁止用户使用资源管理器；如将键值设置为“0”，则允许用户使用资源管理器。
备注：当您在HKEY_LOCAL_MACHINE下设置了此功能，那么HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System子键下相对应的键值项也要作相应的改变。

8、如何备份Windows XP？
当刚装完一个干净的Windows XP，并安装了所有必需的软件后，我们强烈建议您使用诸如GHOST一类的克隆软件对安装分区进行备份，有条件的话不妨刻录成CD以便更好地保存。Windows XP的默认安装大概需要1.5GB左右的硬盘空间，做成镜像文件的大小约是700MB左右，所以在备份时不能够安装太多的软件在操作系统分区上。
【提示】
此时最好启用系统还原功能，建立第一个还原点。

9、如何用SCANREG备份重要文件？
打开系统目录下scanreg.ini，修改其中内容，BackupDirectory为备份路径，默认为%windir%\sysbckup，需要备份的文件为Files=完整路径,文件1,文件2

10、如何防止数据被窃？
Windows XP中的 NTFS文件系统具有以前Windows 95/98/Me 所不具备的安全优势，NTFS文件系统具有先进的加密文件系统 (EFS) 安全功能。利用EFS，即可选择对文件和文件夹进行加密。这样，即使有人能访问文件(例如通过偷窃有文件副本的膝上机或磁盘)，他们仍无法对文件进行解密，因此也就看不到信息。出于安全的考虑，EFS中包含多层加密。每个文件都有唯一的文件加密密钥。必须使用该加密密钥才能解密文件的数据。该密钥也进行了加密，且仅对得到数据使用授权的人可用。EFS与文

件系统组合在一起，使文件更难于被攻破，而管理却更加简便。选择进行文件加密后，数据加密和解密的实际过程就成为完全透明的，不需要您任何东西。

11、如何设置权限以保证数据安全
为文件或者文件夹指定合适的权限，可极大地保证数据的安全。当然，设置不合适的权限，会给使用带来诸多不便。下面是几个权限设置的小经验：
①只授予用户最低级别的权限。如某用户只需要读一个文件，那么仅给其授予对该文件的“读取”权限。这可以在一定程度上避免无意修改或删除重要文件的可能；
②为个人数据和应用程序文件夹指定权限时，可以授予“读取及运行”权限，可以在一定程度上避免应用程序及数据被无意破坏；
③对于属于个人隐私的文件夹，可作如下设置，避免其他用户的访问；
首先取消“允许将来自父系的可继承权限传播给该对象”，出现一个安全提示对话框，选择“删除”。然后单击“添加”，在用户列表中找到该文件夹的所有者，双击它把其添加到下面的窗口里，单击“确定”。然后为该用户授予“完全控制”权限。至此，其他用户就无法访问该文件夹了。

12、如何使从待机状态恢复时要求输入密码？
打开“控制面板→电源选项→高级选项卡”，然后将“在计算机从待机状态恢复时，提示输入密码”前的选择对勾。

13、如何找到密码提示语？
会不会担心记不住自己的登录密码？没关系，在最初生成密码时，您可以在提示符后生成一个提示语，Windows XP会把密码提示语保存在注册表HKEY_LOCAL_MACHINE\Software\Mcrosoft\Windows\CurrentVersion\Hints里面。