|
计算机安全不仅包括保护计算机的本地数据,还要保护网络上的数据安全。优秀的操作系统可以对试图访问计算机资源的人员进行身份识别,防止特定资源被用户不适当地访问,并且提供用户简单有效的方法来设置和维护计算机的安全。 目前PC用户常用的还是Windows,比较以前的版本,基于NT平台技术的 Windows 2000在稳定性和安全性上有很大的改善。下面以Windows 2000 Professional 为例进行说明,并顺便介绍一个应用问题的解决。 一、 Windows 2000安全功能 1.用户帐户和帐户组功能 确保只有有权用户才能访问计算机,同时有效地管理用户的特定任务权利和权限,如文件夹访问权限等。系统内置组可以使大多数用户获得执行各自任务所需的全部用户权利和权限。管理界面在“控制面板”中的“用户和密码”。 2.共享文件夹权限 通过给任何文件夹赋予共享文件夹权限,您可以限制或允许通过网络访问这些文件夹。通过项目的属性菜单设置。默认情况下,在Windows 2000中新增一个共享目录时,操作系统会自动将EveryOne这个用户组添加到权限模块当中,由于这个组的默认权限是完全控制,结果使得任何人都可以对共享目录进行读写。因此,在新建共享目录之后,要立刻删除EveryOne组或者将该组的权限调整为读取。 3. 比FAT和FAT32更安全的NTFS文件系统的功能: 磁盘限额服务,可以控制每个用户允许使用的磁盘空间大小;支持设置文件或文件夹的权限,限制或允许用户或组的访问,规定访问类型,就是说可以将每个用户允许读写的文件限制在磁盘目录下的任何一个文件夹内。如果要共享位于 NTFS 驱动器的文件夹无需特别设置,NTFS 文件夹访问权限在本机和网络上均有效;NTFS还支持所有者加密文件和文件夹,更好地保护信息。推荐使用NTFS磁盘分区。 4.打印机权限 通过指派打印机权限来限制用户访问。分打印文档、管理文档、管理打印机三种权限。通过项目的属性菜单设置。 5.审核 可以使用审核跟踪用于访问文件或其他对象的帐户,以及用户登录尝试、关闭或重新启动系统及其它指定的事件。在审核发生之前,您必须使用“组策略”指定要审核的事件类型。例如,要审核文件夹,首先要启用“组策略”中“审核策略”的“审核对象访问”。下一步,您可以象设置权限那样来设置审核:选择对象(例如文件或文件夹),然后选择要审核其操作的用户和组。最后,选择想要审核的操作,例如,试图打开或删除受限制的文件夹。可以审核成功和失败的尝试。通过使用“事件查看器”来查看“安全”日志可以跟踪审核活动。对于磁盘访问的审核机制只能应用在NTFS文件系统之上。应对所有需要审核的用户使用审核机制。 6.用户权利 用户权利是确定用户可以在计算机上所执行操作的规则。此外,用户权利控制用户是否可以直接(在本地)或通过网络登录到计算机、将用户添加到本地组、删除用户,等等。内置组具有已指派的用户权利集合。通常情况下,管理员通过向一个内置组添加用户帐户,或者通过创建新组并为该组指派特定用户权利来指派用户权利。随后添加到组中的用户自动获得指派给组帐户的所有用户权利。用户权利是通过“组策略”管理的。 7.其它本地安全设置 允许安全管理员配置指派给“组策略”对象或本地计算机策略的安全等级。本地安全策略是用于配置本地计算机的安全设置。这些设置包括密码策略、账户锁定策略、审核策略、IP 安全策略、用户权限指派、加密数据的恢复代理以及其他安全选项。由于本地安全策略主要是针对本地用户设置的,因此只有在不是域控制器的 Windows 2000 计算机上才可用。 以上前四点功能常用且易于设置,而审核与用户权利等安全设置使用较为复杂,但是功能确实非常强大,用户可对系统的操作参数进行深入细致的微调,直至完全满足个人需求。比如: * 防止来自局域网内部的恶意攻击,用户可以得到某账户被人远程尝试登录的机器位置和次数的记录,取消某账号远程登录的权利等,这非常有用。 Windows 2000的安全设置主要在“本地安全策略”中进行。使用时单击“开始”,指向“程序”,指向“管理工具”,然后单击“本地安全策略”就行了。 它的设置包括: * 本地策略:审核、用户权利和安全选项策略 * 公钥策略(IP 安全策略): Internet 协议安全性 (IPSec) 管理。IPSec 策略为与别的计算机进行安全通讯的管理策略。使用它最好有高级管理员的指导。 二、本地安全策略设置出错一例解决及进一步建议 1.本地安全策略设置过程中不注意的话,会产生比较大的麻烦。一个例子: 单位一台运行 Windows 2000 Professional的机器,用户设置时出错,在“本地策略”中,把“用户权利分配”的“拒绝本地登录”项目设为“Users,Guests,EveryOne”。导致注销后用户无法再次登录,系统提示“无法进行交互式会话”。设置项包含“EveryOne”使得所有账号都被禁止登录。 解决办法:Windows 2000将当前本地安全设置的数据记录存放在Windows系统目录system32下的config目录中,文件名SECURITY,只有将它修改正确才能正常登录。为简单起见,用系统初始配置覆盖它。由于机器使用FAT32格式,采用干净的Win98软盘启动,将Windows目录repair子目录下的SECURITY文件拷贝到config下覆盖出错文件。登录正常。 如果机器使用了NTFS格式,就必须用Windows 2000 安装软盘或者安装光盘启动。为了防止类似故障发生后一时找不到启动盘,难以快速解决问题,可以应用Windows 2000 故障恢复控制台特性。 2.Windows 2000故障恢复控制台 Windows 2000 故障恢复控制台是命令行控制台,可以从 Windows 2000 安装程序启动。使用故障恢复控制台,无需从硬盘启动 Windows 2000 就可以执行许多任务,可以启动和停止服务,格式化驱动器,在本地驱动器上读写数据(包括被格式化为 NTFS的驱动器),执行许多其他管理任务。如果需要通过从软盘或 CD-ROM 复制一个文件到硬盘来修复系统,或者需要对一个阻止计算机正常启动的服务进行重新配置,故障恢复控制台将特别有用。由于故障恢复控制台非常强大,只有通晓 Windows 2000 的高级用户才能使用。此外必须是管理员才有权使用故障恢复控制台。 可以从 Windows 2000 安装磁盘或者 Windows 2000 Professional CD 运行故障恢复控制台。作为备用选择,可以在计算机上安装故障恢复控制台,以便在不能重新启动 Windows 2000 时解决问题。这时只需从引导菜单上选中 Windows 2000 故障恢复控制台选项即可。在启动故障恢复控制台后,必须选择要登录的驱动器(如果有双重引导或者多重引导系统)且必须用管理员密码登录。 故障恢复控制台提供了一个命令行,这样在 Windows 2000 不启动时,就可以更改系统。一旦运行故障恢复控制台,在命令提示符下键入“help”可获得关于可用命令的帮助。要重新启动计算机,键入 exit 关闭命令提示符窗口。 将故障恢复控制台安装为一个启动选项,以便在计算机无法重新启动时,可以运行。安装为启动选项的方法:以管理员或具有管理员权限的用户登录 Windows 2000。将 Windows 2000 Professional 光盘插入 CD-ROM 驱动器。如果提示升级到 Windows 2000,单击“否”。 从命令提示符下(或从 Windows 2000 的“运行”命令框内)键入指向相应 Winnt32.exe 文件(在Windows 2000 光盘内)的路径,后跟一个空格和 /cmdcons 开关选项。例如: e:\\i386\winnt32.exe /cmdcons 遵循出现的提示操作。 故障恢复控制台安装在根文件夹下 \Cmdcons 文件夹内,包括根文件夹中的Cmldr 文件。Boot.ini 文件内包含故障恢复控制台的启动条目。 在Windows 2000的安全性无疑很高,但是,如果日常使用中不加注意的话,漏洞仍然存在,比如那些源自用户自己的问题。对于一般用户,笔者建议将控制面板的管理工具中的本地安全策略隐去,以免发生使用不当的问题。确实需要时可以从命令行[命令格式:c:\winnt\system32\secpol.msc /s]启动本地安全策略设置。 Win2000蓝屏代码0 0x0000 作业完成。 1 0x0001 不正确的函数。 2 0x0002 系统找不到指定的档案。 3 0x0003 系统找不到指定的路径。 4 0x0004 系统无法开启档案。 5 0x0005 拒绝存取。 6 0x0006 无效的代码。 7 0x0007 储存体控制区块已毁。 8 0x0008 储存体空间不足,无法处理这个指令。 9 0x0009 储存体控制区块地址无效。 10 0x000A 环境不正确。 11 0x000B 尝试加载一个格式错误的程序。 12 0x000C 存取码错误。 13 0x000D 资料错误。 14 0x000E 储存体空间不够,无法完成这项作业。 15 0x000F 系统找不到指定的磁盘驱动器。 16 0x0010 无法移除目录。 16 0x0010 无法移除目录。 17 0x0011 系统无法将档案移到 其它的磁盘驱动器。 18 0x0012 没有任何档案。 19 0x0013 储存媒体为写保护状态。 20 0x0014 系统找不到指定的装置。 21 0x0015 装置尚未就绪。 22 0x0016 装置无法识别指令。 23 0x0017 资料错误 (cyclic redundancy check) 24 0x0018 程序发出一个长度错误的指令。 25 0x0019 磁盘驱动器在磁盘找不到 持定的扇区或磁道。 26 0x001A 指定的磁盘或磁盘无法存取。 27 0x001B 磁盘驱动器找不到要求的扇区。 28 0x001C 打印机没有纸。 29 0x001D 系统无法将资料写入指定的磁盘驱动器。 30 0x001E 系统无法读取指定的装置。 31 0x001F 连接到系统的某个装置没有作用。 32 0x0020 The process cannot access the file because it is being used by another process. 33 0x0021 档案的一部份被锁定, 现在无法存取。 34 0x0022 磁盘驱动器的磁盘不正确。 请将 %2 (Volume Serial Number: %3) 插入磁盘机%1。 36 0x0024 开启的分享档案数量太多。 38 0x0026 到达档案结尾。 39 0x0027 磁盘已满。 50 0x0032 不支持这种网络要求。 51 0x0033 远程计算机无法使用。 52 0x0034 网络名称重复。 53 0x0035 网络路径找不到。 54 0x0036 网络忙碌中。 55 0x0037 The specified network resource or device is no longer available. 56 0x0038 The network BIOS command limit has been reached. 57 0x0039 网络配接卡发生问题。 58 0x003A 指定的服务器无法执行要求的作业。 59 0x003B 网络发生意外错误。 60 0x003C 远程配接卡不兼容。 61 0x003D 打印机队列已满。 62 0x003E 服务器的空间无法储存等候打印的档案。 63 0x003F 等候打印的档案已经删除。 64 0x0040 指定的网络名称无法使用。 65 0x0041 拒绝存取网络。 65 0x0041 拒绝存取网络。 66 0x0042 网络资源类型错误。 67 0x0043 网络名称找不到。 68 0x0044 超过区域计算机网络配接卡的名称限制。 69 0x0045 超过网络 BIOS 作业阶段的限制。 70 0x0046 远程服务器已经暂停或者正在起始中。 71 0x0047 由于联机数目已达上限,此时无法再联机到这台远程计算机。 72 0x0048 指定的打印机或磁盘装置已经暂停作用。 80 0x0050 档案已经存在。 82 0x0052 无法建立目录或档案。 83 0x0053 INT 24 失败 84 0x0054 处理这项要求的储存体无法使用。 85 0x0055 近端装置名称已经在使用中。 86 0x0056 指定的网络密码错误。 87 0x0057 参数错误。 88 0x0058 网络发生资料写入错误。 89 0x0059 此时系统无法执行其它行程。 100 0x0064 无法建立其它的系统 semaphore。 注:由于资料丢失,暂时没法找到90—99的信息提示 101 0x0065 属于其它行程专用的 semaphore. 102 0x0066 semaphore 已经设定,而且无法关闭。 103 0x0067 无法指定 semaphore 。 104 0x0068 在岔断时间无法要求专用的 semaphore 。 104 0x0068 在岔断时间无法要求专用的 semaphore 。 105 0x0069 此 semaphore 先前的拥有权已经结束。 106 0x006A 请将磁盘插入 %1。 107 0x006B 因为代用的磁盘尚未插入,所以程序已经停止。 108 0x006C 磁盘正在使用中或被锁定。 109 0x006D Pipe 已经中止。 110 0x006E 系统无法开启指定的 装置或档案。 111 0x006F 档名太长。 112 0x0070 磁盘空间不足。 113 0x0071 没有可用的内部档案标识符。 114 0x0072 目标内部档案标识符不正确。 117 0x0075 由应用程序所执行的 IOCTL 呼叫 不正确。 118 0x0076 写入验证参数值不正确。 119 0x0077 系统不支持所要求的指令。 120 0x0078 此项功能仅在 Win32 模式有效。 121 0x0079 semaphore 超过逾时期间。 122 0x007A 传到系统呼叫的资料区域 太小。 123 0x007B 文件名、目录名称或储存体卷标语法错误。 124 0x007C 系统呼叫层次不正确。 125 0x007D 磁盘没有设定卷标。 126 0x007E 找不到指定的模块。 127 0x007F 找不到指定的程序。 128 0x0080 没有子行程可供等待。 128 0x0080 没有子行程可供等待。 129 0x0081 %1 这个应用程序无法在 Win32 模式下执行。 130 0x0082 Attempt to use a file handle to an open disk partition for an operation other than raw disk I/O. 131 0x0083 尝试将档案指针移至档案开头之前。 132 0x0084 无法在指定的装置或档案,设定档案指针。 133 0x0085 JOIN 或 SUBST 指令 无法用于 内含事先结合过的磁盘驱动器。 134 0x0086 尝试在已经结合的磁盘驱动器,使用 JOIN 或 SUBST 指令。 135 0x0087 尝试在已经替换的磁盘驱动器,使 用 JOIN 或 SUBST 指令。 136 0x0088 系统尝试删除 未连结过的磁盘驱动器的连结关系。 137 0x0089 系统尝试删除 未替换过的磁盘驱动器的替换关系。 138 0x008A 系统尝试将磁盘驱动器结合到已经结合过之磁盘驱动器的目录。 139 0x008B 系统尝试将磁盘驱动器替换成已经替换过之磁盘驱动器的目录。 140 0x008C 系统尝试将磁盘驱动器替换成已经替换过之磁盘驱动器的目录。 141 0x008D 系统尝试将磁盘驱动器 SUBST 成已结合的磁盘驱动器 目录。 142 0x008E 系统此刻无法执行 JOIN 或 SUBST。 143 0x008F 系统无法将磁盘驱动器结合或替换同一磁盘驱动器下目录。 144 0x0090 这个目录不是根目录的子目录。 145 0x0091 目录仍有资料。 146 0x0092 指定的路径已经被替换过。 147 0x0093 资源不足,无法处理这项 指令。 148 0x0094 指定的路径这时候无法使用。 148 0x0094 指定的路径这时候无法使用。 149 0x0095 尝试要结合或替换的磁盘驱动器目录,是已经替换过的的目标。 150 0x0096 CONFIG.SYS 文件未指定系统追踪信息,或是追踪功能被取消。 151 0x0097 指定的 semaphore事件 DosMuxSemWait 数目不正确。 152 0x0098 DosMuxSemWait 没有执行;设定太多的 semaphore。 153 0x0099 DosMuxSemWait 清单不正确。 154 0x009A 您所输入的储存媒体标 元长度限制。 155 0x009B 无法建立其它的执行绪。 156 0x009C 接收行程拒绝接受信号。 157 0x009D 区段已经被舍弃,无法被锁定。 158 0x009E 区段已经解除锁定。 159 0x009F 执行绪识别码的地址不正确。 160 0x00A0 传到 DosExecPgm 的自变量字符串不正确。 161 0x00A1 指定的路径不正确。 162 0x00A2 信号等候处理。 164 0x00A4 系统无法建立执行绪。 167 0x00A7 无法锁定档案的部份范围。 170 0x00AA 所要求的资源正在使用中。 173 0x00AD 取消范围的锁定要求不明显。 174 0x00AE 档案系统不支持自动变更锁定类型。 180 0x00B4 系统发现不正确的区段号码。 182 0x00B6 操作系统无法执行 %1。 183 0x00B7 档案已存在,无法建立同一档案。 186 0x00BA 传送的旗号错误。 187 0x00BB 指定的系统旗号找不到。 188 0x00BC 操作系统无法执行 %1。 189 0x00BD 操作系统无法执行 %1。 190 0x00BE 操作系统无法执行 %1。 191 0x00BF 无法在 Win32 模式下执行 %1。 192 0x00C0 操作系统无法执行 %1。 193 0x00C1 %1 不是正确的 Win32 应用程序。 194 0x00C2 操作系统无法执行 %1。 195 0x00C3 操作系统无法执行 %1。 196 0x00C4 操作系统无法执行 这个应用程序。 197 0x00C5 操作系统目前无法执行 这个应用程序。 198 0x00C6 操作系统无法执行 %1。 199 0x00C7 操作系统无法执行 这个应用程序。 200 0x00C8 程序代码的区段不可以大于或等于 64KB。 201 0x00C9 操作系统无法执行 %1。 202 0x00CA 操作系统无法执行 %1。 203 0x00CB 系统找不到输入的环境选项。\r 205 0x00CD 在指令子目录下,没有任何行程有信号副处理程序。 206 0x00CE 文件名称或扩展名太长。 207 0x00CF ring 2 堆栈使用中。 207 0x00CF ring 2 堆栈使用中。Windows XP SP2安装故障二则Windows XP SP2经过了艰难的测试终于初露端倪,目前已经进入RTM阶段(RTM的英文全称为:Release to Manufacture,中文意为厂商版,是给工厂大量压片的版本,内容跟正式版一样,SP2的RTM版本号为2180),国内不少网站也提供了相应下载。但和以前各个SP版本一样,许多朋友在安装时遇到了一些问题,下面是两个比较经常的故障。 不是核心系统文件? 现象:当运行SP2安装程序后,它会先释放压缩包,在即将进行安装时却出现了如图的错误提示,无法进行安装。
解决:这主要是因为安装了某些包含启动画面修改的Windows美化软件,比如:BootXP、LogonUI Boot Randomizer等,或在使用一些从网上下载、被修改过的Windows XP安装包安装的Windows XP,它们会对Windows的Ntoskrnl.exe文件进行修改,并在C:\BOOT.INI文件中加上了类似“/kernel=oemkrnl.exe”的命令选项,从而使得SP2安装程序认为系统文件被修改而拒绝安装。 只需右击桌面的“我的电脑”并选择“属性”,单击“高级”选项卡,接着单击“启动和故障恢复”下的“设置”,在系统启动下,单击“编辑”,这样就会用记事本打开Boot.ini文件,找到并删除“/KERNEL=xxxx”命令选项,保存并关闭Boot.ini文件,重启电脑,再进行SP2安装即可。 蓝屏错误“C0000135” 现象:安装完SP2后,重启电脑,却出现了蓝屏,并显示“C0000135 unknown hard error”错误信息。 小提示: 截止到发稿时为止,网上流传的Windows XP SP2还不是微软正式发布的官方版本(尽管最后发布的正式版本很可能和它完全一样),因此如果现在装,多少还要承担一点风险。在你决定安装SP2的时候,最好先备份一下重要资料,以免系统崩溃。盗版用户就不要安装了,因为该版本针对网上流传的一些盗版Windows XP采取了一些措施,将使系统无法使用。 Windows XP SP2 Build 2180中文版下载地址: http://download.pchome.net/system/patch/15901.html |
|
|
