(二)維護網(wǎng)絡(luò)工作站的本地盤資源
1.禁止用戶修改CMOSE
為CMOSE設(shè)置口令����,禁止學(xué)生修改其中設(shè)置�����,這是保護工作站的第一關(guān)�。
2.基于Windows操作系統(tǒng)的保護(以Win95為例)
Windows安全性的脆弱為管理工作站帶來極大的不便。保護Windows即保護它的啟動文件��、重要信息���、系統(tǒng)設(shè)置及應(yīng)用程序�。目前對于這方面的單機保護方式和相關(guān)軟件,已有不少介紹��。針對一個無軟驅(qū)����,多種用戶使用的工作站的保護,可以通過應(yīng)用注冊表�,采取“自保為主,軟件為輔”的方法����,具有很實際的效果,下面進行概括介紹�����。
根據(jù)使用者的身份����,把用戶分為系統(tǒng)管理員,一般用戶與非法用戶�����。一般用戶為使用得到允許的用戶名進行登錄的學(xué)生或教師�,非法用戶為擅自使用未經(jīng)登記的“用戶名”,或按ESC鍵的登錄者��。管理員可以事先分別以這三種身份登入���,限制相應(yīng)權(quán)限�����,再退出�,保留設(shè)置����。這樣做,即能保證系統(tǒng)安全����,又能維護教學(xué)。對系統(tǒng)管理員自然不必作出限制�����,只需修改兩個設(shè)置:進入控制面板的“用戶配置文件”選項����,選中“用戶自定義首選項和桌面設(shè)置”���、“在用戶設(shè)置中包含桌面圖標(biāo)”和“在用戶設(shè)置中包含'開始'菜單和程序組”三項內(nèi)容,重啟��,輸入用戶名登錄�����;由于Win95在退出時有保留工作狀態(tài)�,下次啟動重現(xiàn)的功能,為了不留下安全隱患�����,需給予取消����,方法是:運行regedit.exe進入注冊表編輯器HKEY-CURRENT-USER\SoftWare Microsoft\Windows\CurrentVersion\Policies路徑下,選中explorer主鍵��,新建二進制值NsaveSetting�����,鍵值改為01000000即可。至此���,管理員一項設(shè)置完成。
對中學(xué)生一般用戶與非法用戶的限制可以從以下幾個主要方面考慮:
?����、瘢[藏Windows系統(tǒng)所在驅(qū)動器�����,如C盤��,而開放其它盤給用戶進行讀寫等操作���。保護了C盤上的文件�,也就保護了Win95���。具體操作是:進入注冊表HKEY-CURRENT-USER\Software\Microsoft\Windows\Current\Version\Polices�����,新建二進制NoDrives�����,建值為040000��。以下Ⅱ到Ⅵ的操作是只是路徑和鍵值不同�,九八年四月七日的電腦報,有詳細敘述���。
?��、颍赪in95下禁用Msdos方式和禁止重啟時選擇切換到Msdos方式,防止用戶從DOS進入被隱藏的驅(qū)動器�����。
?、螅褂脩暨M入控制面板,或禁用其中的某些項目����,如:虛擬內(nèi)存,文件系統(tǒng)����,設(shè)備管理等等���。防止系統(tǒng)的硬件配置被更改。
?���、簦故褂蔑@示屬性�����,或其中的某些項目���。
?、?禁止學(xué)生使用“regedit.exe”���。
?����、觯[去桌面所有圖標(biāo)�。
經(jīng)過試驗�,對一般學(xué)生用戶采取Ⅰ到Ⅴ項措施�����,有利于保護系統(tǒng)的安全,又不影響教學(xué)�。在實際操作中,只需設(shè)置一臺工作站���,然后通過對等網(wǎng)和注冊表編輯器的文件引入�、文件導(dǎo)出功能完成全部工作站的設(shè)置�����。如果有需要取消所有的限制�,不必重復(fù)進行操作,只要以系統(tǒng)管理員身份登錄��,恢復(fù)控制面板中的用戶配置文件原有選項即可(一般用戶和非法用戶對控制面板的這項操作被禁止)�����。注冊表的上述修改���,雖只是局部分支變化���,但如果對注冊表不是很熟悉�,建議在修改前�����,要備份當(dāng)前狀態(tài)的兩個注冊表文件��。
3.基于DOS操作系統(tǒng)的文件保護
在原版本的DOS下�����,主要是保證IO.SYS���,MSDOS.SYS,MSDOS.W40��,COMMAND.COM�,COMMAND.W40,NET.BAT及net��,windows等子目錄和文件不被破壞���,使兩個操作系統(tǒng)和Novell網(wǎng)絡(luò)都能正常登錄�。可以通過以下途徑�,綜合采取“加密”,“隱藏”��,“限制命令”和“備份”的方法��,保護這些文件/目錄���。
l)分出一硬盤分區(qū)�����,作為備份盤�����,備份要保護的重要文件/目錄����,再借用一些軟件或用匯編編寫一些小程序?qū)υ摫P進行加密��。為節(jié)省硬盤空間�����,可以只備份所有啟動文件和Win95的安裝文件,甚至可以簡單地備份Dos的啟動文件和登錄Novell的[net]目錄���,因為只要能登上Novell網(wǎng)�����,即使所有其它文件均被破壞(包括Win95系統(tǒng))�,在這無盤工作站上����,都可以通過Novell網(wǎng),直接在網(wǎng)上或下載重新安裝���。若事先沒有更多分區(qū)�,也可以只建一備份目錄backfile���,進行類似保護。
2)用arrib.exe外部命令對要保護的文件加隱含�,只讀,系統(tǒng)文件屬性�����。如在C盤根目錄下執(zhí)行attrlb*.sys+r+s+h;attrib windows+r+s+h����。若使用了備份目錄backfile,也可將此目錄設(shè)置成這些屬性����。將attrib在設(shè)置完所有其它文件的屬性后,轉(zhuǎn)移至備份盤(目錄)��。
3)修改�����,轉(zhuǎn)移部分DOS內(nèi)外部命令���。學(xué)生使用某些內(nèi)外部命令會給要保護的文件帶來威脅�����,如del,deltree����,copy���,move�,ren,fotmat����,fdisk等等;在DOS環(huán)境下��,建立禁止學(xué)生對本地盤進行這些相關(guān)操作�,對外部命令可以轉(zhuǎn)移到備份盤/目錄,對內(nèi)部命令�,用Pctools工具,從COMMAND.COM中刪除�����,然后用語言自行編寫具有同樣功能的程序���,編譯成外部命令使用�����,并存放于備份盤/目錄。由于學(xué)生對Novell網(wǎng)上本人用戶目錄下文件應(yīng)享有絕對的權(quán)利����,所以把這些外部命令(包括自行編寫的)存放一份在服務(wù)器上�����,并適當(dāng)修改����,使這些命令對F:以前的驅(qū)動器無效�。由于服務(wù)器上的資源都有經(jīng)過安全設(shè)置,故不會遭到破壞��。此外為確保管理員是備份
目錄backfile的唯一使用者��,可以對backfile目錄加密�����,或者在attrib命令轉(zhuǎn)移至backfile目錄后����,用pctools具將DIR的/A功能取消。
在實際操作時����,可寫入批處理文件�����,放到網(wǎng)上�,讓所有工作站一起運行���,完成設(shè)置�。
4.上述措施要根據(jù)實際需要結(jié)合起來使用
實踐證明��,采取這一系列防護措施�����,是一種行之有效的方法����。它充分利用系統(tǒng)本身的功能,步步為營��,環(huán)環(huán)相扣��,實現(xiàn)保護�;同時也免去了尋找軟件之苦�����。
當(dāng)出現(xiàn)上述五個*號故障問題時,有相應(yīng)辦法解決����。
對問題1*:修改了Windows的設(shè)置及其它文件,但系統(tǒng)能工作��。如MSDOS.SYS的內(nèi)容被修改����,失去了雙啟動的功能;Windows的畫面被調(diào)換或被加上屏幕保護口令等等���。只需進入Win95恢復(fù)設(shè)置即能解決���。
對問題2*:破壞了DOS或Windows下的某些應(yīng)用軟件。解決辦法是登錄某個網(wǎng)絡(luò)����,通過共享光/軟驅(qū)、利用服務(wù)器上備份文件或從網(wǎng)上下載�����,進行重新安裝。
對問題3*:刪除了Novell的登錄文件��,甚至可能還刪除了Msdos的啟動文件��,如MSDOS.DOS����,導(dǎo)致無法登入Novell網(wǎng)。解決辦法是從備份盤/目錄恢復(fù)被刪文件�����,或登錄對等網(wǎng)或NT網(wǎng)從其它工作站拷貝得到文件���。
對問題4*:破壞了Windows的系統(tǒng)文件��,導(dǎo)致無法登錄Windows���,但可以原版本的Msdos方式進入DOs環(huán)境。解決辦法是:先考慮從備份文件中復(fù)制Win95的啟動文件��,若仍無法登錄��,再從備份的安裝文件或通過Novell網(wǎng)重新安裝Win95系統(tǒng)。
對問題5*:兩個系統(tǒng)的系統(tǒng)文件均遭到嚴重破壞�,既不能引導(dǎo)原DOS版本,也無法進入Windows界面���,但還可以進入Win95下的Dos環(huán)境。無法利用任何一個網(wǎng)絡(luò)���。由于不能啟動原版本的Dos�����,無法登錄Novell網(wǎng)�,也無法進行其它網(wǎng)絡(luò)傳輸���,解決辦法只能從備份文件所在盤����,重裝Win95到C盤��,再在Win95下登錄Novell網(wǎng)或?qū)Φ染W(wǎng)�����,拷得Dos的啟動文件IO.SYS,COMMAND.COM��,MSDOS.SYS等���,恢復(fù)工作站原版本DOS系統(tǒng)���。
(三)加強思想教育��,嚴格制度管理
要做好計算機系統(tǒng)的安全防衛(wèi)工作����,任何技術(shù)方案都不應(yīng)當(dāng)是唯一的防護措施,它必須與相應(yīng)的管理措施一起使用才能湊效���。首先要對學(xué)生進行計算機安全教育���,讓學(xué)生了解有意破壞公用和他人文件會給集體帶來的危害,認識到這是一種不文明的行為�����。機房計算機出現(xiàn)的問題����,80%到90%都是由于學(xué)生的不規(guī)范操作造成的���,如果教師事先有講授正確操作的注意事項,有預(yù)先布置上機內(nèi)容��,學(xué)生能認真嚴肅對待上機課�����,那么大部分問題是可以避免發(fā)生的����。其次�����,要制定嚴格的機房使用制度��。第一節(jié)課就必須讓每一個學(xué)生明確制度內(nèi)容��,對學(xué)生違紀情況切不可采取“寬容”政策�,否則不良風(fēng)氣容易擴散;對還處于貪玩�、好奇����,同時責(zé)任感不很強的中小學(xué)生尤其要注意培養(yǎng)起良好的上機習(xí)慣�����。
四����、未能解決的問題
擴大機房系統(tǒng)規(guī)模,為工作站安裝硬盤��,組建多種結(jié)構(gòu)互存的整體系統(tǒng)����,勢在必然。本文所敘述的管理與維護技術(shù)����,著眼于系統(tǒng)本身的全面、合理規(guī)劃和實現(xiàn)系統(tǒng)自保���,并輔助地使用應(yīng)用軟件��。這樣的處理����,靈活、方便�����,效果實際���;在DoS下的保護需要占用一定的硬盤空間����,但若把備份資料精簡到最低限度(包括DOS的啟動文件����,一些外部命令文件����,及登錄Novell的四個啟動文件),所需空間也不超過1M�。當(dāng)然,這里所使用的方法還存在缺陷���,需要繼續(xù)簡化和完善����,就本文的討論而言,還存在一個問題有待解決:當(dāng)位于硬盤0道1扇區(qū)的引導(dǎo)信息被破壞時�����,工作站無法啟動任何系統(tǒng)�����。此外����,如果經(jīng)濟條件允許,建議在工作站上增加遠程啟動芯片�,為保護工作站添加最后一道防線。
操作系統(tǒng)從單用戶發(fā)展到多用戶���,是微電腦歷史的一次革新�����,而學(xué)校公用機房如何做到“既鞏固學(xué)生機的工作站地位�,便于管理�����,適應(yīng)教學(xué),又擴大站點功能�����,強化它的'個性'���,兩者齊驅(qū)并駕”����,是今后的努力方向�����,如:公用機房實現(xiàn)監(jiān)控式網(wǎng)絡(luò)教學(xué)���,工作站多媒體化等等。功能提高與技術(shù)維護是相輔相成的��,相信在不遠的將來���,兩者會有更加完美的結(jié)合����。
?
