APP下载

拒绝特殊账户威胁

2015-03-17江苏周勇生

网络安全和信息化 2015年11期
关键词:来宾对话框鼠标

■江苏 周勇生

不让微软账户带来威胁

大家知道,要成功访问Windows 8系统的应用商店,一定要使用微软自带的“Microsoft”账户,使用其他账户都不能访问。不过,使用“Microsoft”账户不但操作麻烦,而且还容易带来安全隐私泄露的问题,特别是在公共场合下,这种安全问题更是相当严重。其实,我们可以进行如下设置,巧妙使用Windows系统内置的管理员账户来成功访问应用商店,从而避开“Microsoft”账户带来的安全麻烦。

首先,确保本地系统已经启用系统内置的管理员账户“Administrator”。如果发现该账户还没有启用时,可以使用“Win+C”快捷键,调出超级按钮栏,点击“设置”命令,找到其后界面右下方的“更改电脑设置”按钮,切换到计算机设置界面,按下左侧列表中的“账户”选项,弹出用户账户设置窗口,在这里就能成功启用“Administrator”了。

其次,使用“Administrator”登录系统,按下“Win+R”快捷键,调出系统运行对话框,在其中执行“gpedit.msc”命令,展开系统组策略编辑器窗口。在该窗口的左侧列表中,将鼠标定位到“本地计算机策略”、“计算机配置”、“Windows设 置”、“安 全 设置”、“本地策略”、“安全选项”节点上,找到该节点下面的“用户账户控制:用于内置管理员账户的管理员批准模式”选项,并用鼠标双击该选项,选中其后界面中的“已启用”选项(如图1所示),单击“确定”按钮后保存设置操作。

之后执行用户账户注销操作,重新使用“Administrator” 账 户 登录本地系统,这时就能通过Windows系统内置的管理员账户成功访问应用商店,那么“Microsoft”账户就不会存在安全泄密问题了。

不让来宾账户带来威胁

来宾账户从最初的系统到现在的最新版本系统,一直被微软保留着,它的存在能够给用户的操作和访问带来便利。但在网络安全形势越来越严峻的今天,来宾账户常常会被黑客或恶意用户非法利用,从而可能给Windows系统带来安全威胁。为了不让来宾账户带来安全威胁,可以采取如下措施进行防范:

首先,禁止将网络访问权限授予来宾账户,以防非法用户通过网络提升它的操作权限。逐一单击“开始”、“运行”命令,展开系统运行对话框,输入“gpedit.msc”命令并回车,打开系统组策略编辑窗口。将鼠标定位在“本地计算机策略”、“计算机配置”、“Windows设 置”、“安 全 设置”、“本地策略”、“用户权限分配”节点上,双击该节点下的“拒绝从网络访问这台计算机”选项,弹出如图2所示的选项设置对话框,看看来宾账户有没有出现在这里,要是无法找到它的“身影”,可以按下“添加用户或组”按钮,从其后出现的账户选择框中,将来宾账户选中并添加进来,单击“确定”按钮后保存设置即可。这样,普通用户将无法以来宾账户,从网络访问本地Windows系统了。

其次,不要将共享访问权限授予来宾账户,以防非法用户轻易偷窥到局域网中的重要隐私信息。打开系统组策略编辑窗口,将鼠标定位到“本地计算机策略”、“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”、“安全选项”节点上,双击该节点下的“网络访问:本地账户的共享和安全模式”组策略,在其后界面中将网络访问方式从“仅来宾,本地用户以来宾身份验证”,选择为“经典-本地用户以自己的身份验证”,确认后退出设置对话框。这样,用户日后进行共享访问时,缺省使用的账户就不是来宾账户了,而是事先在本地计算机中配置的特定账户,正确输入特定账户名称和密码后,共享访问才能安全顺利进行。

第三,拒绝来宾账户被非法伪装。很多狡猾用户有时会通过账号克隆方式,将来宾账户伪装成特权账户,进行一些非法活动,即使进入计算机管理窗口,也无法分辨出伪装的来宾账户是否正常。为了拒绝来宾账户被非法伪装,可以想办法删除Windows系统中的该账户:进入系统运行对话框,输入“regedt32”命令,弹出系统注册表编辑窗口。在该窗口左侧显示区域,依次展开注册表节点“hkey_local_machinesamsam”,默认状态下用户看不到该节点下的任何内容,打开该节点的右键菜单,单击“权限”命令,在其后的权限编辑框中将“administrators”账户权限修改为“完全控制”。这个时候,指定节点下的键值内容就能正常看到了,将与来宾账户相关 的“hkey_local_machinesamsamdomainsaccountusers00001f5”、“hkey_local_machinesamsamdomainsaccountusers amesguest”等内容直接删除掉,重启Windows系统让设置正式生效。要提醒大家的是,这种操作具有潜在的安全危险,为稳妥起见,建议在删除注册表有关键值之前,应该对它们进行备份存储,一旦遇到意外需要还原时,可以快速导入。

不让空白账户带来威胁

在安全的内网工作环境中,一些用户为操作方便,常常会以空白密码进行系统登录操作。可是,这种使用空白密码的账号一旦被恶意用户窃取到,将会招来致命的安全麻烦。有鉴于此,我们需要对空白密码的用户账户进行严格限制,不让其进行一些可能存在的安全威胁操作。例如,在Windows 7系统环境下,可以进行如下设置操作,来让空白密码的账户只能进行控制台登录操作,而无法进行其他存在安全风险的操作。

首先,使用“Win+R”快捷键,弹出系统运行对话框,输入“gpedit.msc”命令并回车,开启系统组策略编辑器运行状态,在该编辑窗口左侧列表中,将鼠标定位到“本地计算机策略”、“计算机配置”、“Windows设 置”、“安 全 设置”、“本地策略”、“安全选项”节点上,用鼠标双击指定节点下的“账户:使用空白密码的本地账户只允许进行控制台登录”选项,展开如图3所示的选项设置对话框,选中这里的“已启用”选项,单击“确定”按钮执行设置保存操作即可。

当然,也可以彻底禁用空白密码的账户,以避免它带来的一些安全隐患。只要在系统组策略编辑窗口中,将鼠标定位到“本地计算机策略”、“计算机配置”、“Windows设置”、“安全设置”、“账户策略”、“密码策略”节点上,找到该节点下面的“密码长度最小值”选项并用鼠标双击之,展开“密码长度最小值”选项设置对话框,在其中输入“8”或其他大于“0”的数值,确认后保存设置操作。这样,Windows 7系统一般就不允许用户使用空白密码的账户了。

不让陌生账户带来威胁

在网上冲浪时,碰到一些暗藏有非法代码的网页,几乎不可避免,这些非法代码常常会通过偷偷创建陌生账户方式,来达到恶意攻击目的。为了不让陌生账户带来安全威胁,我们可以利用Windows系统的安全策略,自动监控陌生账户的创建操作,以便在第一时间发现、删除陌生账户。例如,在Windows 7系统环境下,可以巧妙利用特殊事件绑定计划任务功能,先在Windows系统中任意生成一个创建用户账户事件,然后针对该事件执行绑定计划任务功能,创建一个自动报警的计划任务,日后只要有陌生用户账户创建时,自动报警任务将会被自动触发执行,到时我们就能及时看到报警提示信息,并采取措施拦截陌生账户了。这种方法的具体实现步骤为:

首先,审核账户创建行为。依次单击“开始”、“控制面板”选项,双击系统控制面板窗口中的“管理工具”图标,从管理工具列表中找到“本地安全策略”选项,用鼠标双击该选项,弹出本地安全策略编辑界面。在该界面左侧显示窗格,逐一展开“本地策略”、“审核策略”节点,双击指定节点下的“审账户管理”选项,进入审核账户管理属性对话框,选中“成功”复选项,确认后保存设置操作。这样,Windows系统日后将会自动审核本地系统每个账户管理事件,包括用户账号的删除、更改、创建等操作,每当系统捕捉到这些操作时,事件查看器程序将会把它们自动记忆下来。

其次,生成账户创建事件。因为绑定计划任务功能需要依附特定触发事件,我们需要先新建一个用户账户,生成与之对应的事件记录。打开系统控制面板窗口,逐一单击“用户账户”、“管理其他账户”图标,按下其后截面中的“创建一个新账户”按钮,切换到用户账号创建设置界面,在这里任意创建一个用户账号,最后单击“创建账户”按钮结束用户账号创建操作(如图4所示),这样我们就可以从系统事件查看器中找到创建账号触发事件了。

第三,添加监控报警任务。双击系统控制面板中的“管理工具”图标,找到其后界面中的“事件查看器”选项,同时用鼠标双击之,逐一展开事件查看器管理界面左侧列表中的“Windows日志”、“安全”节点,在指定节点下面可以直观看到所有安全方面的系统事件,我们可以通过“日期和时间”排序来迅速将先前生成的用户账户事件找到。打开目标事件的右键菜单,单击“将任务附加到此事件”命令,弹出创建基本任务向导对话框,单击“下一步”按钮,依照向导提示定义好需要执行的具体计划任务,例如这里假设选中“显示消息”选项,同时设置好显示消息任务的标题以及报警内容,最后单击“完成”按钮退出任务创建向导对话框。

经过上述设置操作后,潜藏在Windows系统中的恶意程序日后悄悄创建陌生用户账户时,我们就能在第一时间看到报警提示信息,并能有效采取措施,删除偷偷生成的陌生用户账户,确保本地系统不会受到来自陌生用户账户的非法攻击。

不让超级账户带来威胁

在Windows系统环境下,缺省会存在一个名称为“administrator”的用户账户,该账户具有超级管理权限,它常常会被隐藏,留作备用。但该账户默认没有设置密码,而且在隐藏状态下又很容易被用户所忽略,要是有恶意用户想要入侵本地系统,那么不费吹灰之力就可以获得系统最高权限。

为了不让“administrator”这样的超级账户带来安全威胁,最简单的方法就是强行给它设置一个比较复杂的密码。要强制为该账户设置复杂密码时,只需在系统组策略编辑窗口中,将鼠标定位到“本地计算机策略”、“计算机配置”、“Windows 设置”、“安全设置”、“账户策略”、“密码策略”节点上,找到该节点下面的“密码必须符合复杂性要求”选项,并用鼠标双击之,展开如图5所示的选项设置对话框,选中“已启用”选项,确认后保存设置操作即可。

当然,也可以将“administrator” 身 份 隐藏起来,让恶意用户无法轻易利用它。例如,要将“administrator”账 户 隐 藏成 为“6523$%yt”时,只 要先进入DOS命令行窗口,逐一 执 行“net user qwertyu/add”、“net localgroup administratros qwertyu”命令,成功添加好“qwertyu”账户,该账户具有超级管理员操作权限,同时它没有设置密码。将Windows系统注销掉,使用“qwertyu”账户重新登录系统,进入计算机管理窗口,依次展开“系统工具”、“本地用户和组”、“用户”分支,找到该分支下的“administrator”账户,打开它的右键菜单,单击“重命名”命令,将其名称修改为“6523$%yt”。重启 Windows系 统,使 用“6523$%yt”账号登录进入系统,之后打开MS-DOS工 作 窗 口,输 入“net user asdfgh/delete”命令,将临时创建的“qwertyu”账户删除掉。这样,“administrator”账 户 就被成功隐藏为“6523$%yt”账户了,该账户具有与“administrator”完全相同的操作权限。

不让隐藏账户带来威胁

隐藏账户一般隐蔽性较强,可以轻松躲避各类安全工具和杀毒软件查杀,所以黑客、木马总喜欢使用这种类型账户,对重要计算机系统进行非法攻击。为此,我们有必要加强系统管理,不让隐藏账户带来安全威胁。

一些普通的系统隐藏账户,只是简单地在账户名称后面添加上“$”字符,实现账户隐藏目的,要想发现并删除这类隐藏账户,可以先打开系统的运行对话框,执行“cmd”命令,将系统切换到DOS命令行窗口,在命令提示符下输入字符串 命 令“net localgroup administrators”,单击回车键后,那些被授予系统管理员权限的隐藏账户就会被显示出来。例如,在如图6所示的结果界面中,我们看到计算机中存在“aaaa$”这样的隐藏账户,要将它删除时,只要在DOS命令行窗口输入“net user aaaa$/delete”命令即可。

当然,一些隐蔽性很强的隐藏账户,常常是通过在系统注册表中复制管理员键值方法来实现隐藏目的,这种方法隐藏的系统账户,一般无法在Windows系统命令提示符状态下看到,对于这类隐藏账号,又该如何查看呢?很简单,可以从系统注册表中进行查看。使用“Win+R”快 捷 键,打开系统运行对话框,输入“regedit”命令并回车,弹出系统注册表编辑窗口,依次 展 开“HKEY_LOCAL_MACHINE/SAM/SAM/Domains/AccountUsers/Names”节点,把指定节点下出现的所有账户名称和计算机管理窗口中出现的账户名称进行比较,多出来的那个账户就是隐藏账户。为了防止这类隐藏账户威胁系统安全,必须选中以隐藏账户命名的项,同时用鼠标右键点击该选项,执行右键菜单中的“删除”命令即可。

此外,也有一些复杂的系统隐藏账户,既不能在DOS命令行窗口中看到它的“身影”,也不能在系统注册表中看到它的“身影”,只能从系统的安全日志文件中找到它们的具体名称。对于这类特殊的隐藏账户,我们无法直接将其删除,只能在DOS命令行窗口中使用“net user aaaa$ 1234”之类的命令修改隐藏账户密码,让目标隐藏账户不能继续生效,拒绝黑客、木马继续使用该账户攻击Windows系统。

猜你喜欢

来宾对话框鼠标
女王
布达拉宫
正常恢复虚拟机
Bootlace Worms’Secret etc.
What Is Beauty?
来宾,有三个“全国第一”的甜蜜园区
浅谈VB的通用对话框《CommonDialog》控件的使用
鼠标折叠笔
45岁的鼠标