（二）維護(hù)網(wǎng)絡(luò)工作站的本地盤資源
　　1．禁止用戶修改CMOSE
　　為CMOSE設(shè)置口令，禁止學(xué)生修改其中設(shè)置，這是保護(hù)工作站的第一關(guān)。
　　2．基于Windows操作系統(tǒng)的保護(hù)（以Win95為例）
　　Windows安全性的脆弱為管理工作站帶來(lái)極大的不便。保護(hù)Windows即保護(hù)它的啟動(dòng)文件、重要信息、系統(tǒng)設(shè)置及應(yīng)用程序。目前對(duì)于這方面的單機(jī)保護(hù)方式和相關(guān)軟件，已有不少介紹。針對(duì)一個(gè)無(wú)軟驅(qū)，多種用戶使用的工作站的保護(hù)，可以通過(guò)應(yīng)用注冊(cè)表，采取“自保為主，軟件為輔”的方法，具有很實(shí)際的效果，下面進(jìn)行概括介紹。
　　根據(jù)使用者的身份，把用戶分為系統(tǒng)管理員，一般用戶與非法用戶。一般用戶為使用得到允許的用戶名進(jìn)行登錄的學(xué)生或教師，非法用戶為擅自使用未經(jīng)登記的“用戶名”，或按ESC鍵的登錄者。管理員可以事先分別以這三種身份登入，限制相應(yīng)權(quán)限，再退出，保留設(shè)置。這樣做，即能保證系統(tǒng)安全，又能維護(hù)教學(xué)。對(duì)系統(tǒng)管理員自然不必作出限制，只需修改兩個(gè)設(shè)置：進(jìn)入控制面板的“用戶配置文件”選項(xiàng)，選中“用戶自定義首選項(xiàng)和桌面設(shè)置”、“在用戶設(shè)置中包含桌面圖標(biāo)”和“在用戶設(shè)置中包含'開始'菜單和程序組”三項(xiàng)內(nèi)容，重啟，輸入用戶名登錄；由于Win95在退出時(shí)有保留工作狀態(tài)，下次啟動(dòng)重現(xiàn)的功能，為了不留下安全隱患，需給予取消，方法是：運(yùn)行regedit.exe進(jìn)入注冊(cè)表編輯器HKEY-CURRENT-USER＼SoftWare Microsoft＼Windows＼CurrentVersion＼Policies路徑下，選中explorer主鍵，新建二進(jìn)制值NsaveSetting，鍵值改為01000000即可。至此，管理員一項(xiàng)設(shè)置完成。
　　對(duì)中學(xué)生一般用戶與非法用戶的限制可以從以下幾個(gè)主要方面考慮：
　?、瘢[藏Windows系統(tǒng)所在驅(qū)動(dòng)器，如C盤，而開放其它盤給用戶進(jìn)行讀寫等操作。保護(hù)了C盤上的文件，也就保護(hù)了Win95。具體操作是：進(jìn)入注冊(cè)表HKEY-CURRENT-USER＼Software＼Microsoft＼Windows＼Current＼Version＼Polices，新建二進(jìn)制NoDrives，建值為040000。以下Ⅱ到Ⅵ的操作是只是路徑和鍵值不同，九八年四月七日的電腦報(bào)，有詳細(xì)敘述。
　　Ⅱ．在Win95下禁用Msdos方式和禁止重啟時(shí)選擇切換到Msdos方式，防止用戶從DOS進(jìn)入被隱藏的驅(qū)動(dòng)器。
　?、螅褂脩暨M(jìn)入控制面板，或禁用其中的某些項(xiàng)目，如：虛擬內(nèi)存，文件系統(tǒng)，設(shè)備管理等等。防止系統(tǒng)的硬件配置被更改。
　　Ⅳ．禁止使用顯示屬性，或其中的某些項(xiàng)目。
　?、?禁止學(xué)生使用“regedit.exe”。
　　Ⅵ．隱去桌面所有圖標(biāo)。
　　經(jīng)過(guò)試驗(yàn)，對(duì)一般學(xué)生用戶采?、竦舰蹴?xiàng)措施，有利于保護(hù)系統(tǒng)的安全，又不影響教學(xué)。在實(shí)際操作中，只需設(shè)置一臺(tái)工作站，然后通過(guò)對(duì)等網(wǎng)和注冊(cè)表編輯器的文件引入、文件導(dǎo)出功能完成全部工作站的設(shè)置。如果有需要取消所有的限制，不必重復(fù)進(jìn)行操作，只要以系統(tǒng)管理員身份登錄，恢復(fù)控制面板中的用戶配置文件原有選項(xiàng)即可（一般用戶和非法用戶對(duì)控制面板的這項(xiàng)操作被禁止）。注冊(cè)表的上述修改，雖只是局部分支變化，但如果對(duì)注冊(cè)表不是很熟悉，建議在修改前，要備份當(dāng)前狀態(tài)的兩個(gè)注冊(cè)表文件。
　　3.基于DOS操作系統(tǒng)的文件保護(hù)
　　在原版本的DOS下，主要是保證IO.SYS，MSDOS.SYS，MSDOS.W40，COMMAND.COM，COMMAND.W40，NET.BAT及net，windows等子目錄和文件不被破壞，使兩個(gè)操作系統(tǒng)和Novell網(wǎng)絡(luò)都能正常登錄。可以通過(guò)以下途徑，綜合采取“加密”，“隱藏”，“限制命令”和“備份”的方法，保護(hù)這些文件／目錄。
　　l）分出一硬盤分區(qū)，作為備份盤，備份要保護(hù)的重要文件／目錄，再借用一些軟件或用匯編編寫一些小程序?qū)υ摫P進(jìn)行加密。為節(jié)省硬盤空間，可以只備份所有啟動(dòng)文件和Win95的安裝文件，甚至可以簡(jiǎn)單地備份Dos的啟動(dòng)文件和登錄Novell的[net]目錄，因?yàn)橹灰艿巧螻ovell網(wǎng)，即使所有其它文件均被破壞（包括Win95系統(tǒng)），在這無(wú)盤工作站上，都可以通過(guò)Novell網(wǎng)，直接在網(wǎng)上或下載重新安裝。若事先沒(méi)有更多分區(qū)，也可以只建一備份目錄backfile，進(jìn)行類似保護(hù)。
　　2）用arrib.exe外部命令對(duì)要保護(hù)的文件加隱含，只讀，系統(tǒng)文件屬性。如在C盤根目錄下執(zhí)行attrlb*.sys＋r＋s＋h；attrib windows＋r＋s＋h。若使用了備份目錄backfile，也可將此目錄設(shè)置成這些屬性。將attrib在設(shè)置完所有其它文件的屬性后，轉(zhuǎn)移至備份盤（目錄）。
　　3）修改，轉(zhuǎn)移部分DOS內(nèi)外部命令。學(xué)生使用某些內(nèi)外部命令會(huì)給要保護(hù)的文件帶來(lái)威脅，如del,deltree，copy，move，ren，fotmat，fdisk等等；在DOS環(huán)境下，建立禁止學(xué)生對(duì)本地盤進(jìn)行這些相關(guān)操作，對(duì)外部命令可以轉(zhuǎn)移到備份盤／目錄，對(duì)內(nèi)部命令，用Pctools工具，從COMMAND.COM中刪除，然后用語(yǔ)言自行編寫具有同樣功能的程序，編譯成外部命令使用，并存放于備份盤／目錄。由于學(xué)生對(duì)Novell網(wǎng)上本人用戶目錄下文件應(yīng)享有絕對(duì)的權(quán)利，所以把這些外部命令（包括自行編寫的）存放一份在服務(wù)器上，并適當(dāng)修改，使這些命令對(duì)F：以前的驅(qū)動(dòng)器無(wú)效。由于服務(wù)器上的資源都有經(jīng)過(guò)安全設(shè)置，故不會(huì)遭到破壞。此外為確保管理員是備份
目錄backfile的唯一使用者，可以對(duì)backfile目錄加密，或者在attrib命令轉(zhuǎn)移至backfile目錄后，用pctools具將DIR的/A功能取消。
　　在實(shí)際操作時(shí)，可寫入批處理文件，放到網(wǎng)上，讓所有工作站一起運(yùn)行，完成設(shè)置。
　　4．上述措施要根據(jù)實(shí)際需要結(jié)合起來(lái)使用

　　實(shí)踐證明，采取這一系列防護(hù)措施，是一種行之有效的方法。它充分利用系統(tǒng)本身的功能，步步為營(yíng)，環(huán)環(huán)相扣，實(shí)現(xiàn)保護(hù)；同時(shí)也免去了尋找軟件之苦。
　　當(dāng)出現(xiàn)上述五個(gè)＊號(hào)故障問(wèn)題時(shí)，有相應(yīng)辦法解決。
　　對(duì)問(wèn)題1*：修改了Windows的設(shè)置及其它文件，但系統(tǒng)能工作。如MSDOS.SYS的內(nèi)容被修改，失去了雙啟動(dòng)的功能；Windows的畫面被調(diào)換或被加上屏幕保護(hù)口令等等。只需進(jìn)入Win95恢復(fù)設(shè)置即能解決。
　　對(duì)問(wèn)題2*：破壞了DOS或Windows下的某些應(yīng)用軟件。解決辦法是登錄某個(gè)網(wǎng)絡(luò)，通過(guò)共享光／軟驅(qū)、利用服務(wù)器上備份文件或從網(wǎng)上下載，進(jìn)行重新安裝。
　　對(duì)問(wèn)題3*：刪除了Novell的登錄文件，甚至可能還刪除了Msdos的啟動(dòng)文件，如MSDOS.DOS，導(dǎo)致無(wú)法登入Novell網(wǎng)。解決辦法是從備份盤／目錄恢復(fù)被刪文件，或登錄對(duì)等網(wǎng)或NT網(wǎng)從其它工作站拷貝得到文件。
　　對(duì)問(wèn)題4*：破壞了Windows的系統(tǒng)文件，導(dǎo)致無(wú)法登錄Windows，但可以原版本的Msdos方式進(jìn)入DOs環(huán)境。解決辦法是：先考慮從備份文件中復(fù)制Win95的啟動(dòng)文件，若仍無(wú)法登錄，再?gòu)膫浞莸陌惭b文件或通過(guò)Novell網(wǎng)重新安裝Win95系統(tǒng)。
　　對(duì)問(wèn)題5*：兩個(gè)系統(tǒng)的系統(tǒng)文件均遭到嚴(yán)重破壞，既不能引導(dǎo)原DOS版本，也無(wú)法進(jìn)入Windows界面，但還可以進(jìn)入Win95下的Dos環(huán)境。無(wú)法利用任何一個(gè)網(wǎng)絡(luò)。由于不能啟動(dòng)原版本的Dos，無(wú)法登錄Novell網(wǎng)，也無(wú)法進(jìn)行其它網(wǎng)絡(luò)傳輸，解決辦法只能從備份文件所在盤，重裝Win95到C盤，再在Win95下登錄Novell網(wǎng)或?qū)Φ染W(wǎng)，拷得Dos的啟動(dòng)文件IO.SYS，COMMAND.COM，MSDOS.SYS等，恢復(fù)工作站原版本DOS系統(tǒng)。

　?。ㄈ┘訌?qiáng)思想教育，嚴(yán)格制度管理

　　要做好計(jì)算機(jī)系統(tǒng)的安全防衛(wèi)工作，任何技術(shù)方案都不應(yīng)當(dāng)是唯一的防護(hù)措施，它必須與相應(yīng)的管理措施一起使用才能湊效。首先要對(duì)學(xué)生進(jìn)行計(jì)算機(jī)安全教育，讓學(xué)生了解有意破壞公用和他人文件會(huì)給集體帶來(lái)的危害，認(rèn)識(shí)到這是一種不文明的行為。機(jī)房計(jì)算機(jī)出現(xiàn)的問(wèn)題，80％到90％都是由于學(xué)生的不規(guī)范操作造成的，如果教師事先有講授正確操作的注意事項(xiàng)，有預(yù)先布置上機(jī)內(nèi)容，學(xué)生能認(rèn)真嚴(yán)肅對(duì)待上機(jī)課，那么大部分問(wèn)題是可以避免發(fā)生的。其次，要制定嚴(yán)格的機(jī)房使用制度。第一節(jié)課就必須讓每一個(gè)學(xué)生明確制度內(nèi)容，對(duì)學(xué)生違紀(jì)情況切不可采取“寬容”政策，否則不良風(fēng)氣容易擴(kuò)散；對(duì)還處于貪玩、好奇，同時(shí)責(zé)任感不很強(qiáng)的中小學(xué)生尤其要注意培養(yǎng)起良好的上機(jī)習(xí)慣。

　　四、未能解決的問(wèn)題
　　擴(kuò)大機(jī)房系統(tǒng)規(guī)模，為工作站安裝硬盤，組建多種結(jié)構(gòu)互存的整體系統(tǒng)，勢(shì)在必然。本文所敘述的管理與維護(hù)技術(shù)，著眼于系統(tǒng)本身的全面、合理規(guī)劃和實(shí)現(xiàn)系統(tǒng)自保，并輔助地使用應(yīng)用軟件。這樣的處理，靈活、方便，效果實(shí)際；在DoS下的保護(hù)需要占用一定的硬盤空間，但若把備份資料精簡(jiǎn)到最低限度（包括DOS的啟動(dòng)文件，一些外部命令文件，及登錄Novell的四個(gè)啟動(dòng)文件），所需空間也不超過(guò)1M。當(dāng)然，這里所使用的方法還存在缺陷，需要繼續(xù)簡(jiǎn)化和完善，就本文的討論而言，還存在一個(gè)問(wèn)題有待解決：當(dāng)位于硬盤0道1扇區(qū)的引導(dǎo)信息被破壞時(shí)，工作站無(wú)法啟動(dòng)任何系統(tǒng)。此外，如果經(jīng)濟(jì)條件允許，建議在工作站上增加遠(yuǎn)程啟動(dòng)芯片，為保護(hù)工作站添加最后一道防線。

　　操作系統(tǒng)從單用戶發(fā)展到多用戶，是微電腦歷史的一次革新，而學(xué)校公用機(jī)房如何做到“既鞏固學(xué)生機(jī)的工作站地位，便于管理，適應(yīng)教學(xué)，又?jǐn)U大站點(diǎn)功能，強(qiáng)化它的'個(gè)性'，兩者齊驅(qū)并駕”，是今后的努力方向，如：公用機(jī)房實(shí)現(xiàn)監(jiān)控式網(wǎng)絡(luò)教學(xué)，工作站多媒體化等等。功能提高與技術(shù)維護(hù)是相輔相成的，相信在不遠(yuǎn)的將來(lái)，兩者會(huì)有更加完美的結(jié)合。
?