用策略编辑器保护Win9X 陈如同 2001年 26期 Windows95/98系统对用户的资源没有提供很好的安全保护控制,使用口令或密码时不同用户只是得到不同的桌面,很难对资源进行有效保护。所幸Windows98提供了Policy Editor(策略编辑器),利用它可以保护你的机器不被非法用户使用。下面给大家介绍一下利用Policy Editor来保护Windows9x的方法(策略编辑器在Windows95下也可正常使用)。   1.安装Policy Editor。安装Windows98光盘中的Admin\Apptools\Poledit\Poledit.inf。如果你没有光盘,可从微软网站下载。   2.系统备份。因为策略编辑器要修改注册表进行保护,最好手工对User.dat和System.dat进行备份,以防不测。   3.建立空文件夹备用。在C:\Windows\Profiles下新建Null文件夹,供以后使用。   4.设置自定义桌面。在“控制面板→密码→用户配置文件”选中自定义选项及“用户配置文件”下的两个子项并确定。   5.设置用户。在“控制面板→用户”中分别添加User和Administrator用户名,并为Administrator用户添加密码。   6.设置登录方式。在“控制面板→网络→配置→基本网络登录方式”下选择“Windows登录”,确定后重新启动。   7.生成登录轮廓。当Windows重启时,以User用户登录并允许Windows生成文件夹,以保存你的信息。重启机器,以Administrator用户登录,并再一次允许Windows生成Profile文件夹。   8.限制User访问程序。以Administrator用户登录,删除C:\Windows\Profiles\User\下的Start Menu和Recent文件夹中所有不想运行的程序快捷键。   9.定义缺省用户。运行Poledit,按以下步骤操作:   点击生成一新文件,点击“编辑→添加用户”命令分别添加新用户User和Administrator。   在“默认用户属性→系统→限制”中选中“禁用注册表编辑工具”、“只能运行允许的Windows应用程序”、“禁用MSDOS方式”、“禁用单一模式的MSDOS应用程序”四个选项。   打开“外壳”下的“限制”,选中其下的“删除运行命令”、“从开始菜单上的设置中删除文件夹”、“从开始菜单上的设置中删除任务栏”、“删除查找命令”四项,以及“隐藏桌面上所有程序项”和“退出时不保存设置”选项。   打开“外壳”下的“自定义文件夹”,选中所有选项,并填入“C:\Windows\Profiles\Null”路径。   确定并将文件存储为“C:\Windows\Config\Config.pol”。   10.定义缺省User用户。运行Poledit,按以下步骤操作:   打开C:\Windows\Config文件夹下的Maximum.pol,选择默认用户并复制;重新打开Config.pol,选中User图标进行粘贴。   双击User图标,在“User属性→外壳→自定义文件夹”中以“C:\Windows\Profiles\User”替换“C:\Windows”。   在“User属性→外壳→限制”中选中“删除运行命令”、“删除查找命令”、“在我的电脑中隐藏驱动器”和“退出时不保存设置”选项。   在“User属性→控制面板→口令”中选中所有选项及子项。   11.定义Administrator。在策略编辑器中双击Administrator图标,检查每一限制表选项,使Administrator具有最大权限。   12.定义“No User”限制规定。再次注销用户,重新登录,按Esc关闭登录提示。运行Poledit,选择“文件菜单→打开注册表→本地用户”。申请所有对缺省用户申请的相同的限制,然后再以Administrator用户登录一次。   13.Enable policy loading。启动Poledit打开“C:\Windows\Config\Config.pol”,双击“默认计算机”打开对话框,按以下步骤操作:   打开默认计算机下的“系统”并选中“启用用户配置文件”项。   打开“网络”下的“更新”项并选中“远程更新”,设置更新方式为“手动”,设置手动更新路径为“C:\Windows\Config\Config.pol”并保存。   打开“文件菜单→打开注册表→本地计算机”,对网络更新模式作相同的改变。最后存盘退出。   14.检验措施   重启计算机,以Administrator用户登录,检验所有功能是否不受任何限制;再重启计算机,以User用户登录,检验设置的限制措施是否到位,这时系统策略编辑器也不能运行;再次重启计算机,用一个新用户名和密码登录或按Esc键进入系统,这时桌面上应没有图标,从“开始”菜单中也找不到“程序”项,鼠标右键也失去作用,此时用户除关闭系统或注销外,别无选择。   15.保护措施   为了高度安全,可将名为Admin.adm的模板文件改名,然后将C:\Msdos.sys文件[Options]项下的BootKeys值设为0,以阻止用户打开开启进程。最后,改变系统BIOS设置,只允许从硬盘启动。这样就可以给你的系统以最大限度的保护。