Windows 98系统安全大放送

应该准备好系统策略编辑器—POLEDIT.EXE。在光驱中装入你的Windows 98光盘，它位于Windows 98光盘的TOOLS\RESKIT\NETADMIN\POLEDIT目录下。策略编辑器的功能也可以通过修改注册表来实现。为了那些没有策略编辑器的朋友，本文将在策略编辑器修改法后给出相应的用注册表编辑器来修改的方法。
　 首先，你应该根据你的具体情况来为系统使用者划分不同的等级。一般来说，可以将使用者划分为三个等级——超级用户、普通用户和非法用户。要为用户划分等级，必须先生成用户。进入控制面板，双击“用户”，点击“新用户”按钮，按照向导指示输入用户名和相应口令，然后在“个性化项目设置”将全部项目复选框选中，再单击“完成”按钮，至此，一个新用户就生成了。重复以上步骤，再生成一个用户。然后进入“控制面板”下“网络”下“选择主网络登录”项，选择“Windows 友好登录”，确定后重新启动系统，用你的超级用户名和相应口令登录。设置超级用户。大家都知道Windows 9x在退出系统时会自动保存当前工作状态，这是一个很好的功能。但在多用户环境下会给系统的安全带来问题，所以我们必须关闭这个功能。运行POLEDIT.EXE，在文件菜单中选择“打开注册表”，双击“本地用户”，打开“外壳”文件夹，选中“限制”下的“退出时不保存设置”复选框。（在HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\
CurrentVersion\Policies \Explorer主键下建DWORD值NoSaveSettings，将其赋值为01，表示退出时不保存设置。）这样，你的超级用户就设置好了。（为方便起见，在下文中用****来代替HKEY_CURRENT_USER\SoftWare \Microsoft\Windows\CurrentVersion主键）
　　重新启动系统，用普通用户名和口令登录，运行系统策略编辑器，让我们接着设置普通用户的权限。对于普通用户来说，他可以正常的使用系统，但不允许更改系统的设置（如改变系统配置或改变系统策略），所以我们进行以下操作：
　　①进入“控制面板”文件夹，选中“显示器”下“限制‘显示器’控制面板”复选框，再选中其下的“禁用‘显示器’控制面板”复选框（ 在****\Policies\System主键下建DWORD值NoDispCPL，将其赋值为01，表示禁用“显示器”控制面板）、“隐藏背景页”复选框（ 在****\Policies\System主键下建DWORD值NoDispBackgroundPage，将其赋值为01，表示隐藏背景页）、“隐藏屏幕保护程序页”复选框（ 在****\Policies\System主键下建DWORD值NoDispScrSavPage，将其赋值为01，表示隐藏屏幕保护程序页）、“隐藏外观页”复选框（ 在****\Policies\System主键下建DWORD值NoDispAppearancePage，将其赋值为01，表示隐藏外观页）。

②在“控制面板”文件夹下选中“网络”下“限制‘网络’控制面板复选框，再选中其下的“禁用‘网络’控制面板”复选框（在****\Policies\Network主键下建DWORD值NoNetSetup，将其赋值为01，表示禁用“网络”控制面板）、“隐藏标识页”复选框（在****\Policies\Network主键下建DWORD值NoNetSetupIDPage，将其赋值为01，表示隐藏标识页）、“隐藏访问控制页”（ 在****\Policies\Network主键下建DWORD值NoNetSetupSecurityPage，将其赋值为01，表示隐藏访问控制页）
　　③在“控制面板”文件夹下选中“口令”下“隐藏‘口令’控制面板”复选框，再选中其下的“禁用‘口令’控制面板”复选框（在****\Policies\System主键下建DWORD值NoSecCPL，将其赋值为01，表示禁用“口令”控制面板）、“隐藏更改口令页”复选框（在****\Policies\System主键下建DWORD值NoPwdPage，将其赋值为01，表示隐藏更改口令页）、“隐藏远程管理页”复选框（ 在****\Policies\System主键下建DWORD值NoAdminPage，将其赋值为01，表示隐藏远程管理页）、“隐藏用户配置文件页”复选框（在****\Policies\System主键下建DWORD值NoProfilePage，将其赋值为01，表示隐藏用户配置文件页）。
　　④在“控制面板”文件夹下选中“打印机”下“限制打印机设置”， 再选中其下的“隐藏常规和详细资料页”复选框（在****\Policies\Explorer主键下建DWORD值NoPrinterTabs，将其赋值为01，表示隐藏常规和详细资料页）、“禁止删除打印机”复选框（在****\Policies\Explorer主键下建DWORD值NoDeletePrinter，将其赋值为01，表示禁止删除打印机）、“禁止填加打印机”复选框（在****\Policies\Explorer主键下建DWORD值NoAddPrinter，将其赋值为01，表示禁止添加打印机）。
　　⑤在“控制面板”文件夹下选中“系统”下“限制‘系统’控制面板”，再选中其下的“隐藏设备管理页”复选框（在****\Policies\Syetem主键下建DWORD值NoDevMgrPage，将其赋值为01，表示隐藏设备管理页）、“隐藏硬件配置文件页”复选框（在****\Policies\Syetem主键下建DWORD值NoConfigPage，将其赋值为01，表示隐藏硬件配置文件页）、“隐藏‘文件系统’按钮”复选框（在****\Policies\Syetem主键下建DWORD值NoFileSysPage，将其赋值为01，表示隐藏“文件系统”按钮）、“隐藏‘虚拟内存’按钮”复选框（在****\Policies\Syetem主键下建DWORD值NoVirtMemPage，将其赋值为01，表示隐藏“虚拟内存”按钮）。
　　⑥在“外壳”文件夹下选中“自定义文件夹”下“自定义‘程序’文件夹”复选框，在“‘程序’项目所在的路径”中输入指定的路径（在****\CurrentVersion\Explorer\User Shell Folders主键下建串值Programs，赋值为一路径，即可自定义“程序”文件夹）。选中“自定义桌面图标”复选框，在“桌面图标所在的路径”中输入指定的路径（****\CurrentVersion\Explorer\User Shell Folders主键下建串值Desktop，赋值为一路径，即可自定义桌面图标）。选中“自定义‘启动’文件夹”复选框，在“‘启动’项目所在的路径”中输入指定的路径（****\CurrentVersion\Explorer\User Shell Folders主键下建串值Startup，赋值为一路径，即可自定义“启动”文件夹）。选中“自定义‘开始’菜单”复选框，在“‘开始’菜单项目所在的路径”中输入指定的路径（****\CurrentVersion\Explorer\User Shell Folders主键下建串值Start Menu，赋值为一路径，即可自定义“开始”菜单）。
　　⑦在“外壳”文件夹下选中“限制”下“删除‘运行’命令”复选框（在****\Policies\Explorer主键下建DWORD值NoRun，将其赋值为01，表示删除“运行”命令）。选中“删除‘查找’命令”复选框（在****\Policies\Explorer主键下建DWORD值NoFind，将其赋值为01，表示删除“查找”命令）。选中“在‘我的电脑’中隐藏驱动器”复选框（在****\Policies\Explorer主键下建DWORD值NoDrives，将其赋值为0x03ffffff，表示在“我的电脑”中隐藏驱动器）。
　　⑧在“系统”文件夹下选中“限制”下“禁用注册表编辑工具”复选框（在****\Policies\Syetem主键下建DWORD值DisableRegistryTools，将其赋值为01，表示禁用注册表编辑工具）。选中“禁用MS-DOS方式”复选框（在****\Policies主键下建WinOldApp主键，再在其下建DWORD值Disabled，将其赋值为01，表示禁用MS-DOS方式）。选中“禁用单一模式的MS-DOS应用程序”复选框（在****\Policies\WinOldApp主键下建DWORD值NoRealMode，将其赋值为01，表示禁用单一模式的MS-DOS应用程序）。至此，普通用户的权限就设置好了。
　　重新启动系统，在登录菜单按“ESC”键或“取消”键，以非法用户身份登录入系统，运行策略编辑器，在“外壳”文件夹下选中“限制”下“隐藏桌面上的所有程序项”复选框（在****\Policies\Explorer主键下建DWORD值NoDesktop，将其赋值为01，表示隐藏桌面上的所有程序项且取消右键单击桌面菜单）。选中“从‘开始’菜单上的‘设置’中删除任务栏”复选框（在****\Policies\Explorer主键下建DWORD值NoSetTaskbar，将其赋值为01，表示从“开始”菜单上的“设置”中删除任务栏且取消右键单击任务栏菜单）。选中“禁用‘关闭系统’命令”复选框（在****\Policies\Explorer主键下建DWORD值NoClose，将其赋值为01，表示禁用“关闭系统”命令）。在“系统”文件夹下选中“限制”下的“只能运行允许的Windows应用程序”复选框（在****\Policies\Syetem主键下建DWORD值RestrictRun，将其赋值为01，表示只能运行允许的Windows应用程序）。

原文转自：http://www.ltesting.net