В настоящее время Windows корпорации Microsoft является наиболее распространенной операционной системой. Подавляющее большинство компьютеров, которые повсеместно используются для решения самых разнообразных задач, функционируют именно под ее управлением.
Однако, признавая отменные потребительские качества операционных систем корпорации Microsoft, нельзя обойти вниманием имеющиеся в них значительные изъяны. В первую очередь, это касается парольной зашиты Windows 95 и Windows 98. Фактически парольная защита в Windows 98 осталась на прежнем уровне по сравнению с Windows 95. Поэтому все сказанное в ходе дальнейшего изложения в равной степени относится к ним обеим. А следовательно, рассматривая парольную защиту Windows 95 и Windows 98, можно вести речь не о двух отдельных операционных системах, а о единой, обобщенной операционной системе, которую будем условно называть Windows 95/98.
Далеко не все пользователи знают, что для парольной защиты Windows 95/98 характерны существенные недостатки, связанные с тем, что при ее разработке корпорация Microsoft не уделила должного внимания проблемам безопасности компьютеров, для которых предназначалась эта операционная система. Рассмотрим подробнее, что представляет собой парольная защита в Windows 95/98, какие у нее имеются изъяны и как от них избавиться средствами самой операционной системы.
Как установить парольную защиту Windows 95/98
Чтобы установить парольную защиту в Windows 95/98, необходимо выполнить следующую процедуру:
1. Дважды щелкните левой кнопкой мыши на пиктограмме Мой компьютер (My Computer).
2. Теперь дважды щелкните на пиктограмме Панель управления (Control Panel). Если вы не можете отыскать пиктограмму Мой компьютер (My Computer), щелкните на кнопке Пуск (Start), выберите раздел Настройка (Settings), затем Панель управления (Control Panel) и перейдите к пункту 3.
3. Найдите пиктограмму, которая называется Пароли (Passwords), и дважды щелкните на ней. После двойного щелчка на пиктограмме Пароли (Passwords) Windows может отобразить диалоговое окно, в котором ним будет задан вопрос о том, хотите ли вы одновременно с этим изменить пароль экранной заставки Windows 95/98. Это окно появится только в том случае, если вы уже используете опцию экранной заставки. Суть вопроса в том, чтобы предоставить вам возможность использовать одинаковый пароль и для открытия сеанса работы с Windows 95/98, и для экранной заставки.
4. Щелкните на опции Сменить пароль Windows (Change Windows Passwords).
5. Введите новый пароль в поле Новый пароль (New Password) диалогового окна Изменение пароля Windows (Change Windows Passwords) (рис. 3.1). He обращайте внимания на поле Старый пароль (Old Password), оно должно остаться незаполненным. Однако если вы хотите изменить существующий пароль, то сначала введите его, а затем новый пароль. Операционная система Windows 95/98 внесет соответствующие изменения.
6. В поле Подтверждение пароля (Confirm New Password) введите пароль, указанный вами в пункте 5. Затем щелкните на кнопке ОК. Windows 95/98 выведет сообщение о том, что смена пароля прошла успешно.
Рис. 3.1. Диалоговое окно Изменение пароля Windows
7. Щелкните на кнопке ОК для закрытия диалогового окна Свойства: Пароли (Passwords Properties).
Почему парольная защита Windows 95/98 ненадежна
После того как была установлена парольная защита, каждый раз, когда включается компьютер, Windows 95/98 станет вежливо осведомляться о том, каковы ваши регистрационное имя и пароль. Продолжение нормальной работы с Windows 95/98 будет возможно только в том случае, если регистрационное имя и соответствующий ему пароль были введены без ошибок. Означает ли это, что система парольной защиты Windows 95/98 гарантирует: злоумышленник не сможет знакомиться с содержимым всех ваших файлов и запускать любые программы на вашем компьютере?
Отнюдь. Почему? Да по той простой причине, что в основе функционирования Windows 95/98 лежат принципы, которые были применены на практике при создании другой, более примитивной операционной системы корпорации Microsoft — DOS. Несмотря на то, что Windows 95/98 старается "упрятать" DOS как можно дальше, она по-прежнему использует эту безнадежно устаревшую операционную систему для обеспечения работоспособности старых программ, которые остались у пользователей, сменивших DOS на Windows 95/98. А ведь хорошо известно, что в DOS напрочь отсутствуют защитные механизмы, которые предотвращают несанкционированный доступ к файлам и программам компьютера, работающего под ее управлением. Ведь в сущности DOS и задумывалась-то именно для выполнения совершенно противоположной задачи — предоставить всем возможность обращаться к любым файлам. Как следствие, существует несколько способов обойти парольную защиту Windows 95/98, загружая на компьютере операционную систему DOS вместо Windows 95/98.
Как предотвратить несанкционированную загрузку системы
В ходе инсталляции операционной системы Windows 95/98 корпорация Microsoft настойчиво рекомендует ее пользователям сразу же создать так называемый загрузочный диск. В этой рекомендации есть свой резон: если возникнут какие-либо проблемы при переходе на Windows 95/98, вы сможете воспользоваться загрузочным диском, чтобы внести необходимые поправки.
Если вы не создали загрузочную дискету во время инсталляции операционной системы, вы можете сделать это в любой момент. Выберите опцию Установка и удаление программ (Add/Remove Programs) на Панели управления (Control Panel) Windows 95/98, а затем щелкните на переключателе Загрузочный диск (Startup Disk). После этого нажмите кнопку Создать диск (Create Disk) и вставьте гибкий диск в дисковод. Чтобы создать загрузочный диск Ж Windows 95/98, вам потребуется всего одна дискета.
Таким образом, для создания загрузочного диска не требуется каких-либо особенных познаний. Зато с его помощью можно без всяких хлопот обойти систему парольной защиты Windows 95/98. Эта система активируется только при загрузке Windows 95/98. При использовании же загрузочного диска происходит запуск не Windows 95/98, а ее подсистемы, функционально эквивалентной операционной системе DOS и не имеющей никаких средств обеспечения безопасной работы с компьютером (наподобие парольной защиты). Затем путем нехитрых манипуляций злоумышленник может не только установить собственный пароль для последующего открытия сеанса работы с Windows 95/98, но и сделать так, чтобы все остальные ее пользователи ничего не заметили и продолжали регистрироваться в Windows 95/98 посредством своих законных паролей.
Чтобы предотвратить несанкционированный доступ к компьютеру через загрузочный диск, необходимо применять дополнительные физические меры защиты (например, закрывать на замок дверь, ведущую в помещение, где находится компьютер), блокировать клавиатуру или кнопку включения питания компьютера при помощи ключа, использовать установки BIOS компьютера для предотвращения неконтролируемой загрузки операционной системы с гибкого диска, а также для задания пароля включения питания и изменения установок BIOS.
Подобные меры окажутся весьма действенными и в том случае, если злоумышленник захочет использовать возможность загрузки Windows 95/98 в режиме защиты от сбоев, который также называется защищенным режимом (Safe Mode). Этот режим представляет собой специальный способ работы с Windows 95/98, с помощью которого можно запустить эту операционную систему, невзирая на всякие "мелочи" вроде парольной защиты. Для этого после включения питания компьютера достаточно удерживать в нажатом положении клавишу <F5> компьютерной клавиатуры.
Помимо <F5>, на клавиатуре имеются две другие особо "опасные" клавиши — <Ctrl> и <F8>, нажимая которые в ходе первоначальной загрузки Windows 95/98, злоумышленник может вызвать на экран дисплея специальное меню. В нем в качестве одной из опций присутствует возможность вместо Windows 95/98 запустить операционную систему DOS. С помощью этого меню можно заставить Windows 95/98 грузиться в режиме защиты от сбоев. Присутствие обеих этих возможностей одинаково нежелательно с точки зрения обеспечения в Windows 95/98 надежной парольной защиты.
Поэтому использование <F5>, <F8> и <Ctrl> и других подобных им клавиш в ходе первоначальной загрузки следует запретить, заставив Windows 95/98 никак не реагировать на их нажатие. Для этого достаточно отредактировать системный файл MSDOS.SYS, располагающийся, как правило, в разделе жесткого диска, с которого грузится Windows 95/98. Открыв MSDOS.SYS при помощи обычного редактора, вы увидите текст примерно следующего содержания:
[Paths]
WinDir=C:\WINDOWS
WinBootDir=C:\WINDOWS
HostWinBootDrv=C
[Options]
BootGUI=l
;
;The following lines are required for compatibility with other programs.
;Do not remove them (MSDOS.SYS needs to be >1024 bytes).
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxa ;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxb
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx c
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxd ;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx x e ;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxf ;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxg ;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxh ;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxi
; ххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх j ; ххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх k
; ххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх m
; ххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх o
; хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххр xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxq
; ххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх r
; ххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх s
Добавьте в раздел [Options] файла MSDOS.SYS одну из двух команд: BootKeys = 0 или BootDeiay= 0 . Обе эти команды позволяют дезактивировать работу клавиш <F5>, <F8> и <Ctrl> в ходе первоначальной загрузки. А чтобы слишком умный взломщик не смог незаметно убрать команду BootKeys = 0 или BootDeiay= 0 , предусмотрительно помещенную вами в файл MSDOS.SYS, следует защитить его при помощи антивирусного сканера, который своевременно предупредит вас обо всех попытках внести несанкционированные изменения в этот файл.
Как запретить кэширование паролей в Windows 95/98
Пользователи миллионов компьютеров, применяющих парольную защиту Windows 95/98, часто даже не подозревают о еще одной грозящей им опасности. Проблема связана с кэшированием паролей — методом, который был разработан корпорацией Microsoft для их хранения в Windows 95/98. Многие выбирают кэширование паролей, даже не догадываясь об этом, поскольку кэширование в Windows 95/98 разрешено по умолчанию. В этом случае пользовательский пароль помещается операционной системой в отдельный файл на магнитном диске. Например, если ваше имя — Вадим, и оно также является идентификатором для входа в систему, то ваш пароль будет сохранен в файле C:\WINDOWS\BAAHM.PWL.
При кэшировании пароль записывается в PWL-файл в зашифрованном виде. В корпорации Microsoft утверждают, что применяемый метод шифроваия является лучшим среди разрешенных правительством США для экспорта за пределы страны. Суть возражений оппонентов Microsoft состоит в том. if что реализация этого метода в Windows 95/98 далеко не безупречна, и в результате его стойкость совершенно не отвечает современным требованиям. А Программы, предназначенные для дешифрования парольных файлов, можно легко отыскать в глобальной сети Internet (например, по адресу http://www.c2.org/hacksoft/), что свидетельствует об уязвимости метола шифрования паролей в Windows 95/98.
Существует 2 пути решения этой проблемы. Во-первых, можно получить от Microsoft "заплату", которая позволяет использовать в Windows 95/98 более совершенный метод шифрования паролей. Такая "заплата" доступна пользователям глобальных компьютерных сетей, в которых присутствует корпорация Microsoft.
Во-вторых, кэширование паролей можно отключить. Правда, чтобы сделать это, придется немного повозиться. Для начала потребуется установить программу, которая называется Редактор системных правил (System Policy Editor). Эта программа входит в комплект Windows 95/98 Resource Kit (Набор ресурсов Windows 95/98), который включен в поставку Windows 95/98 на компакт-диске. Чтобы ее установить, надо выполнить следующее:
1. Используя пиктограмму Установка и удаление программ (Add/Remove Programs) в Панели управления (Control Panel), выберите вкладку Установка Windows (Windows Settings).
2. Нажмите на кнопку Установить с диска (Have Disk) и в появившемся диалоговом окне укажите каталог E:\ADMIN\APPTOOLS\POLED1T для Windows 95 или E:\TOOLS\RESKIT\NETADMIN\POLEDIT для Windows 98 (если ваш CD-ROM установлен как диск Е).
3. В диалоговом окне, появившемся после нажатия кнопки Установить с диска (Have Disk), выберите программу Редактор системных правил (System Policy Editor), а затем нажмите кнопку Установить (Install).
4. Нажмите кнопку ОК, чтобы закрыть диалоговое окно Установка и удаление программ (Add/Remove Programs).
После установки для запуска редактора системных правил следует сначала выбрать пункт Программы (Programs) меню Пуск (Start), затем Стандартные (Accessories), далее Служебные (System Tools) и наконец — Редактор системных правил (System Policy Editor). Немного погодя перед вами появится диалоговое окно этой программы.
Выполнив команду Создать (New File) меню Файл (File), вы увидите пиктограммы Стандартный компьютер (Default Computer) и Стандартный пользователь (Default User). Щелкнув дважды сначала на пиктограмме Стандартный компьютер (Default Computer), а затем — на кнопках Сеть (Network) и Пароли (Passwords), можно пометить галочкой строку Отключить кэширование паролей (Disable Password Cashing).
Затем внесенные изменения следует сохранить на диске в виде файла системных правил с расширением POL, назвав его по своему усмотрению. При следующем запуске Windows 95/98 файл системных правил загрузится автоматически и будет определять работу компьютера.
Соблюдайте осторожность: парольная защита ненадежна
Попробуйте набрать произвольную последовательность символов, когда Windows 95/98 предложит вам ввести свое регистрационное имя и соответствующий пароль. Вы думаете, эта операционная система гневно ответит вам: "Руки прочь от компьютера! Введенное вами имя нельзя использовать, т. к. оно не зарегистрировано"? Ничего подобного! Вместо этого она ласково скажет: "Да вы, батенька, никогда раньше этим именем не пользовались. А не желаете ли зарегистрироваться?"
Злоумышленник, конечно же, с радостью согласится, и Windows 95/98 будет в его полном распоряжении. Примерно то же самое получится, если в ответ на приглашение зарегистрироваться нажать на клавиатуре компьютера клавишу <ESC>.
Эти простые приемы должны убедить вас в полной бесполезности парольной защиты Windows 95/98 в деле обеспечения безопасной работы с компьютером. Если вас такое положение дел не устраивает, загрузите улучшенный вариант библиотеки программ, реализующий парольную защиту в Windows 95/98, с Internet-сервера корпорации Microsoft по адресу http://www.microsoft.com/windows/download/mspwlupd.exe. После запуска программы mspwlupd.exe надо будет ответить Да (Yes) на вопрос о том, желаете ли вы заменить библиотеку, реализующую работу с паролями в Windows 95/98. Соответствующее программное обеспечение установится автоматически и будет работать после перезагрузки операционной системы.
Далее, с использованием редактора системных правил, можно определить полномочия всех пользователей (т. е., что им позволено делать, а что нет). В результате каждый пользователь Windows 95/98 будет иметь свой собственный набор полномочий. При этом настоятельно рекомендуется строго ограничить права пользователей, не имеющих пароля.
Уместен вопрос: а зачем вообще в Windows 95/98 нужна такая ничтожная парольная защита? Тем, кто уже приготовился произнести гневную тираду в адрес корпорации Microsoft, лучше приберечь свой пыл для более подходящего случая, поскольку ею официально заявлено, что основное назначение паролей Windows 95/98 состоит в предоставляемой ими возможности по-разному настраивать один и тот же компьютер для различных пользователей. А посему тем, кому нужна полноценная парольная защита, следует посоветовать обратиться к другой операционной системе семейства Windows (Windows NT) или воспользоваться дополнительными программными средствами, специально предназначенными для безопасной работы с Windows 95/98 (например, пакетом программ Norton Your Eyes Only компании Symatec). Что же касается новейшей операционной системы Windows 2000, то хотя и дополнение ко всему лучшему, что имелось в предыдущих версиях операционных систем семейства Windows, в ней должно было быть реализовано множество совершенно новых возможностей и технологий, способных повысить эффективность работы практически любого пользователя, делать какие-либо определенные выводы относительно подсистемы безопасности Windows 2000 пока еще преждевременно.
Конечно, чисто теоретически использование протокола Kerberos позволяет существенно улучшить механизм аутентификации в Windows 2000 даже по сравнению с Windows NT, не говоря уже о Windows 95/98. Однако вопрос о том, насколько хорошей будет практическая реализация этого протокола, остается открытым вплоть до официального выхода в свет финальной версии Windows 2000. Дело в том, что бета-версии операционных систем, как правило, не обладают функциональной полнотой их финальных версий, а также часто содержат ошибки, большинство которых исправляется к моменту выпуска финальных версий. Поэтому бета-версии программных продуктов могут служить лишь подсобным материалом для сугубо предварительного тестирования. "Сенсационная" информация в прессе о том, что пользователи могут регистрироваться в третьей по счету бета-версии Windows 2000 без ввода пароля, отнюдь не означает, что то же самое можно будет проделывать в ее финальной версии, которая, как планируется, должна поступить в продажу 17 февраля 2000 г. И целенаправленный поиск дыр в подсистеме безопасности операционной системы Windows 2000 лучше всею отложить до момента выхода ее финальной версии.