这可是权限啊:系统里面的安全利刃XP安全防黑
谁可以使用权限
你的系统必须是Windows 2000/XP(Professional版本)/2003等使用NT内核的系统,并且进行权限操作的分区必须是NTFS格式,另外,在Windows XP的“资源治理器”中需要选择菜单“工具→文件夹选项”,然后在“查看”选项卡的列表中去除“使用简单文件共享(推荐)”的勾选。
封堵邪恶轴心:用权限保护自启动项
1.锁定注册表的启动项目
运行“regedit.exe”打开“注册表编辑器”(Windows 2000 则应运行“regedt32.exe”),分别右击下表中列出的注册表位置并选择“权限”,去除Administrators用户组及SYSTEM用户的“完全控制”权限,仅保留“只读”权限。假如勾选框是灰色不可选状态的话,可以先点击“高级”, 然后去除“从父项继续那些可以应用到子对象的权限项目,包含那些在此明确定义的项目”的勾选,选择“复制”并点击“确定”即可(注重:要修改以上所有注册表位置,必须以治理员身份登录)。“RunOnce”和“RunServicesOnce”在设为只读后会造成一些软件的安装或者反安装出现故障,在需要进行此类操作时应事先将易导致此故障的注册表位置恢复原来的可写状态;“Run”设为只读后,那些需要利用注册表实现开机自启动的程序(如Winamp、MSNShell等),就无法通过软件的设置选项来控制自启动与否了,只能先去除注册表中相应位置的只读状态,再进行操作,所以推荐大家安装完所有的常用软件并重新启动后再按上法修改。
2.锁定自启动文件
打开“资源治理器”,在C盘根目录下(假设Windows安装在C盘,根据实际情况可有所变更)找到Autoexec.bat、Config.sys、Win.ini这三个文件,分别右击之并选择“属性”,在“安全”选项卡中修改Administrators用户组和SYSTEM用户的权限,仅保留“读取”及“读取和运行”,其他一律去除。
AT命令“劫持”系统最高权限SYSTEM
SYSTEM账户是系统中具有最高权限的账户,甚至有些方面比Administrators组的权限更高。由AT命令启动的计划任务,默认以SYSTEM特权运行,我们可以利用这个特性来实现让指定程序以SYSTEM运行。在[HKEY_LOCAL_MACHINE\SAM]中保存的是系统中的用户账户信息,涉及安全和稳定性,所以默认情况下连治理员都无法访问,只有SYSTEM账户有权力访问这个注册表项(假如连SYSTEM都无法访问,那就不能登录系统了)。
首先以治理员身份登录系统,打开“命令提示符”窗口并执行“Time /T”命令,从返回的信息中获得当前的系统时间,假设是13:19。得到系统时间是为AT 命令的参数做预备(AT命令的使用可参考本刊2005年第10期的《DOS快餐店》),然后执行命令“at 13:24 /interactive C:\WINDOWS\regedit.exe”,其中的命令参数/interactive表示以交互模式运行“注册表编辑器”,假如不加此参数将无法看到启动的“注册表编辑器”。到了13:24后,系统就会以SYSTEM账户的身份运行“注册表编辑器”,此时展开[HKEY_LOCAL_MACHINE\SAM]就能看到其下的内容了。
小提示
★使用AT命令必须保证Task Scheduler服务已经启动,否则会发生错误。
★尽管可以用“Schtasks /ru SYSTEM”命令以SYSTEM特权运行某个进程,但此时无法以交互模式访问进程,也就是说无法看到以SYSTEM特权运行的程序界面。
午休时别用我电脑玩游戏
我们经常希望权限设置是定时生效,在自己需要访问某些文件的时候不受任何限制。比如办公室电脑在午饭时间经常被同事用来玩游戏,需要限制游戏程序在11:30-12:30这个时段无法运行指定游戏,而12:30后则自动解除限制。
第一步:下载并安装Xcalcs。从http://download.microsoft.com/download/win2000platform/Update/1.00.0.1/NT5/EN-US/xcacls_setup.exe下载Xcacls并安装,完成后将C:\Program Files\Resource Kit中的xcacls.exe分别复制到c:\windows\system32和c:\windows\system32\dllcache目录下。
第二步:建立锁定和解锁脚本。打开“记事本”输入下面内容并保存为批处理文件lock.bat,放置在G:\(也可其他位置,但应与下文中的计划任务配置):
@echo off
xcacls "I:\Program Files\Ringz" /d administrator /y
exit
命令的作用是通过Xcacls禁止administrator用户对游戏目录I:\Program Files\Ringz的访问权限,更改后无须确认并自动退出命令提示符窗口。然后用同样的方法建立unlock.bat,此批处理文件指定游戏目录只对administrator提供访问权限,所以切勿用于系统文件夹:
@echo off
xcacls "I:\Program Files\Ringz" /t /g administrator:f /y
exit
注重:以上两个BAT文件假设当前登录的用户是administrator,请根据实际情况进行修改。
第三步:计划任务实现自动化。打开“控制面板→任务计划”,按提示新建一个天天11:30执行的计划任务(任务执行需要输入当前账户名和登录密码),执行的程序是“g:\lock.bat”,相同方法另建一个天天12:30执行的任务,执行的程序是“g:\unlock.bat”。经过这样一番设置后,你的电脑就不会再成为公用游戏机了!
