APP下载

灵活管控账号还系统安全

2017-07-25荣耀

个人电脑 2017年6期
关键词:来宾对话框鼠标

荣耀

来宾账号为windows系统内置账号,通常作为用户临时访问系统使用,其他人借助该账号能方便访问计算机。默认状态下,该账号拥有的操作权限最少,利用该账号登录计算机后,无法创建或修改密码,一些应用程序也无法自由安装。

在Windows系统环境下,为了控制操作安全性,微软使用了权限控制机制,也就是说,不同用户账号获取的操作权限不尽相同。如果在平时操作过程中,不对用户账号进行妥善管理和控制,那么安全系数再高的操作系统,也会遭遇到各种各样的安全威胁。所以,为了还系统运行安全,我们有必要对各种不同类型的用户账号,进行灵活管理与控制!

管控来宾账号

来宾账号为windows系统内置账号,通常作为用户临时访问系统使用,其他人借助该账号能方便访问计算机。默认状态下,该账号拥有的操作权限最少,利用该账号登录计算机后,无法创建或修改密码,一些应用程序也无法自由安装。

在安全性要求不高的场合下,善于使用来宾账号,可以避免频繁输入共享访问密码,提高共享访问效率。要使用来宾账号进行共享访问时,首先应开启来宾账号。在Windows7系统中进行这项操作时,可以单击“开始”“控制面板”命令,打开系统控制面板窗口,用鼠标逐一双击“用户账户”“管理其他账户”选项;从账号列表中选择没有开启的来宾账号,并用鼠标双击对应图标,按下其后界面中的“启用”按钮(如图1所示),那样一来来宾账号就能被成功启动运行了。其次允许来宾账号访问网络。依次选择“开始”“运行”选项,弹出系统运行对话框,输入“gpedit msc”命令并回车,切换到系统组策略编辑界面,将鼠标定位到“计算机设置”“Windows设置”“安全设置”“本地策略”“用户权限分配”节点上,用鼠标右击该节点下的“从网络访问此计算机”选项,选择右键菜单中的“属性”命令,弹出如图1所示的组策略属性对话框,点击“添加用户或组”按钮,展开用户选择设置框,选择并导入来宾账号,确认之后本地系统就能允许其他用户通过来宾账号,访问本地系统中的共享资源了。第三開启来宾访问模式。执行“gpedit msc”命令,弹出组策略编辑界面,将鼠标定位到该编辑界面左侧区域中的“计算机设置”“Windows设置”“安全设置”“本地策略”“安全选项”节点上,双击该节点下的“网络访问:本地账户的共享和安全模型”组策略,选中其后界面中的“仅来宾一对本地用户进行身份验证,其身份为来宾”选项,确认之后Windows系统日后就不会强制用户输入共享访问密码了。结束上述几项设置操作后,使用来宾账号访问共享资源,访问效率就会大大提升了。

要是感觉启用来宾账号,会对重要计算机系统的运行带来安全隐患时,我们不妨立即禁用该账号。禁用操作也很简单,只要依次单击“开始”“控制面板”命令,在弹出的系统控制面板窗口中,逐一双击“用户账户”“管理其他账户”图标,之后按下“关闭来宾账户”按钮即可。

管控标准账号

标准账号往往由用户自己独立创建,它隶属于“Users”组账号,一般具有普通操作权限,这种类型账号能够开启运行安装在Windows系统中的大多数应用程序,并可以对系统进行有限度的操作配置。

在创建标准账号时,依次选择“开始”“控制面板”“所有控制面板项”“用户账户”“管理账户”选项,在账户管理界面中按下“创建一个新账户”按钮,弹出新账户创建对话框,设置好新账号名称,同时选中“标准用户”选项,点击“创建账户”按钮即可。创建好新的标准账号后,双击该账号名称,切换到对应账号管理对话框,按下“创建密码”按钮,设置好该账号的登录密码,确保系统登录安全。

为了强制用户创建安全的标准账户,可以依次选择“开始”“运行”选项,弹出系统运行对话框,输入“gpeditmsc”命令并回车,切换到系统组策略编辑界面,将鼠标定位到“计算机设置”“Windows设置”“安全设置”“账户策略”“密码策略”节点上,用鼠标右击该节点下的“密码必须符合复杂性要求”选项,弹出如图2所示的组策略属性对话框,选中“已启用”选项,确认之后标准用户日后在创建密码时,必须要符合复杂性要求,而不能简单地只使用数字或字母。同样地,根据实际要求,设置好密码长度最小值、密码最短使用期限、密码最长使用期限等组策略。

有的时候,有些用户为了图省事,会将计算机系统设置成自动登录,如果这样的话,标准用户账号的密码不管设置得都复杂,一点作用都没有。所以,考虑到安全问题,我们应该强制计算机系统对用户账号进行身份验证,而不允许用户使用自动登录:

首先在重要计算机系统中依次单击“开始”“运行”选项,弹出系统运行文本框,输入“regedit”命令并回车,切换到系统注册表编辑窗口。在该窗口左侧区域,将鼠标定位到HKEY-LOCAL_MACHINE\S0FTWARE\Microsoft\Windows NT\CurrentVersion\winlogon注册表分支上,逐一删除该分支下的“Aut0Adminlogon”、“DefaultPassword”

、“DefaultUserName”等键值,之后刷新系统注册表并返回。

其次在系统运行框中输入“controluserpasswords2”命令并回车,弹出用户账户设置框,选择“用户”标签,选中需要登录重要计算机系统的特定用户账号,再将“要使用本机,用户必须输入用户和密码”等选项选中,确认之后计算机系统日后就会强制特定标准用户账号进行身份验证了。

如果强制标准用户账号在远程桌面连接Vista以上版本系统时,必须进行身份验证的话,只要开启对应系统自带的网络身份验证功能即可。例如,在Windows7系统中开启这项功能时,不妨用鼠标右键单击系统桌面上的“计算机”图标,选择右键菜单中的“属性”命令,打开系统管理界面,按下该界面左侧显示区域中的“远程设置”按钮,展开如图3所示的远程设置对话框,选中“只允许运行带网络身份验证的远程桌面的计算机连接(更安全)”选项,确认之后Windows 7系统的网络身份验证功能就被成功启用起来了。管控超级账号

这里所说的超级账号,主要指的是Administrator之类的系统管理员账号,这类账号拥有最高等级的操作权限,用户使用该账号往往能够对计算机系统的任何设置进行修改,不过在默认状态下,这类账号不能对操作系统文件进行直接修改或删除。考虑到安全方面的原因,Windows7系统缺省停用了Administrator用户账号,如果需要使用该账号时,可以采用两种不同方式进行启用。

一是在计算机管理界面中启用。用鼠标右键单击Windows7系统桌面上的“计算机”图标,执行快捷菜单中的“管理”命令,弹出计算机管理窗口,在该窗口左侧列表区域,依次选择“计算机管理(本地)”“系统工具”“本地用户和组”“用户”分支,在该分支下用鼠标双击Administrator用户账号,弹出如图4所示的Administrator账号属性对话框,在这里我们会发现Windows7系统默认选中了“账户已禁用”选项,取消该选项的选中状态,同时选中“用户不能更改密码”等选项,单击“确定”按钮后保存设置操作,这样Administrator用户账号就会被成功启用了。

二是通过DOS命令启用。依次选择“开始”“所有程序”“附件”“命令提示符”选项,用鼠标右键单击“命令提示符”选项,执行右键菜单中的“以管理员身份运行”命令,切换到系统DOS命令行工作窗口。在该窗口命令提示符下输入字符串命令“net user administrator/active:yes”,单击回车键后,Windows系统会返回命令成功完成的提示信息,这就意味着系统管理员Administrator账号已经被成功启用。日后如果想暂停使用系统管理员Administrator账号时,只要在DOS命令行窗口中再执行“net useradministrator/actlve:no”字符串命令即可。

如果我们想创建一个其他名称的系统管理员账号时,可以依次选择“开始”“控制面板”“所有控制面板项”“用户账户”“管理账户”選项,在账户管理界面中按下“创建一个新账户”按钮,弹出新账户创建对话框,设置好合适的系统管理员账号名称,同时选中“管理员”选项,点击“创建账户”按钮即可。创建好了系统管理员权限的账号后,还必须为该账号设置相对复杂的登录密码,确保该账号的使用安全。

管控特殊账号

除了上面几种类型的用户账号外,windows系统中还存在system、Trustedlnstaller这些特殊类型的账号,它们所拥有的操作权限比系统管理员账号还高,所以对待特殊类型账号,我们必须予以高度重视。

与Administrator用户账号一样,System账号也属于管理员账号,只是它们在权限上有所不同。在平时操作计算机的过程中,经常会遇到丢失密码、无法删除文件、不能清除顽固恶意程序以及其他一些要求高权限操作的问题,对待这类问题,我们只有使用System之类的最高权限账号才能解决,而使用其他账号尝试操作时,系统都会提示没有操作权限。

TrustedInstaller账号属于虚拟账号,它的操作权限比Admini strato r用户账号还要高一些,不过也不是最高权限账号,它只是拥有最高的磁盘访问权限。所以,当遇到有的顽固文件,无法在管理员权限状态下被删除时,不妨尝试在TrustedInstaller账号模式下,对其进行删除,相信多半会成功删除掉的。缺省状态下,Trustedlnstaller账号对所有系统文件拥有完全控制权限,而类似Administrator这样的系统管理员账号只拥有“只读”或“只读和运行”操作权限,这正是系统管理员账号成功登录系统后,不能删除系统文件的主要原因。

管控隐藏账号

在网络安全形势日趋严重的今天,计算机系统遭遇病毒、木马攻击的现象越来越频繁。而这些恶意程序攻击系统十分擅长的手段,就是悄悄在Windows系统中生成隐藏账号,同时利用隐藏账号进行各种攻击、破坏操作,这种攻击手段不但隐蔽性好,而且能轻易躲避杀毒软件和安全工具的“围剿”。所以,我们必须在平时对系统中的隐藏账号创建行为进行严格监控,一旦发现有隐藏账号,立即将其删除。

在Windows7系统对隐藏账号的创建行为进行即时监控时,可以通过该系统事件查看器内置的附加任务功能来实现。先依次双击“开始”“控制面板”“管理工具”“本地安全策略”图标,切换到安全策略设置界面,展开“本地策略”“审核策略”节点,双击该节点下的“审核账户管理”策略,选中其后界面中的“成功”、“失败”选项(如图5所示),确认后返回。

其次右击系统桌面上“计算机”图标,选择快捷菜单中的“管理”选项,展开计算机管理界面中的“本地用户和组”“用户”节点,在该节点下任意创建一个用户账号。再依次点击“开始”“控制面板”“管理工具”“事件查看器”,定位到事件查看器中的“Windows日志”“安全”分支上,右击之前生成的用户账号创建记录,执行“将任务附加到此事件”命令,弹出基本任务向导设置框,选中“显示消息”选项,定义好消息标题与报警内容,单击“完成”按钮返回。

日后,只要Windows7系统中有隐藏账号被创建时,系统就会立即弹出既定的报警提示,提醒用户有人悄悄在系统后台生成了隐藏账号。

一旦确认系统中存在危险的隐藏账号,我们必须在第一时间将其删除掉。可是,隐藏账号具有隐蔽性,直接删除很有难度,我们可以根据隐藏账号类型,选用不同的删除方法。

一些隐藏账号只是在普通账号名称后面加了“$”,在删除这类具有系统管理员权限的隐藏账号时,先在系统运行框中输入“cmd”命令,单击回车键后,在DOS命令行窗口中执行“net localgroupadministrators”命令,显示出所有具有管理员权限的隐藏账号。假设,找到了一个“1234$”的隐藏账号,那么通过“netuser 1234$/delete”命令,就能将找到的隐藏账号删除掉了。

此外,带有“$”后缀的隐藏账号,往往能够直接出现在系统计算机管理窗口中,在该窗口中可以直接删除这类隐藏账号。用鼠标右键单击系统桌面上的“计算机”图标,选择右键菜单中的“管理”选项,切换到计算机管理窗口,展开“本地用户和组”“用户”节点,在该节点下选中“$”字符的隐藏账号,用鼠标右键单击该账号,执行“删除”命令,就能将目标隐藏账号删除掉了。

也有一些隐藏账号是恶意程序采用修改注册表键值方式植入到系统中的,我们只有从系统注册表着手,才能删除这类隐藏账号。依次选择“开始”“运行”选项,在系统运行框中执行“regedit”命令,展开系统注册表编辑界面。将鼠标定位到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names节点上,在该节点下会显示出所有的用户账号,逐一对比这里的账号与计算机管理窗口中的账号,要是某个陌生账号出现在注册表中,而没有出现在计算机管理窗口中时,那就说明该账号就是隐藏账号。此时,只要右击确认的隐藏账号,执行右键菜单中的“删除”命令,就能将这个相对狡猾的隐藏账号删除了。

备份还原账号

在重要计算机系统中,为了防止系统账号信息发生丢失,我们应该在Windows系统工作正常的状态下,注意对用户账号进行备份。在进行账号备份操作时,不妨逐一点选“开始”“运行”命令,弹出系统运行对话框,输入“credwiz”命令并回车,彈出如图6所示的备份向导对话框。将其中的“备份存储的用户名和密码”选中,单击“下一步”按钮,定义好备份文件的名称和存储路径,按下“保存”按钮结束用户账号备份任务。

日后,当发生系统崩溃或用户账号丢失现象时,只要再次执行“credwiz”命令,从弹出的还原向导对话框中,选择“还原存储的用户名和密码”选项,单击“下一步”按钮,打开文件选择对话框,导入事先准备好的账号备份文件,就能快速将用户账号信息恢复到以前的正常状态了。

追踪显示账号

有的时候,为了安全起见,我们想了解在本次使用计算机的过程中,有没有陌生用户偷偷登录过系统。要做到这一点,可以开启Windows系统的“在用户登录期间显示有关以前登录的信息”功能,来强制追踪显示用户账号登录痕迹,下面就是具体的启用步骤:

首先逐一点选“开始”“运行”选项,在弹出的系统运行文本框中执行“gpedit.msc”命令,展开组策略编辑窗口。在该窗口左侧区域,将鼠标定位到“计算机配置”“管理模板”I“Windows组件”“Windows登录选项”节点上,双击该节点下的“在用户登录期间显示有关以前登录的信息”选项,打开如图7所示的选项设置对话框。

其次看看其中的“已启动”是否处于选中状态,如果看到它还没有被选中时,只要将其重新选中,单击“确定”按钮返回,这样Windows系统就能追踪显示用户账号登录痕迹了。

猜你喜欢

来宾对话框鼠标
女王
布达拉宫
Progress in Neural NLP: Modeling, Learning, and Reasoning
正常恢复虚拟机
来宾,有三个“全国第一”的甜蜜园区
浅谈VB的通用对话框《CommonDialog》控件的使用
超能力鼠标
鼠标也可以是这样的