帳號管理游刃有余

在網絡環境中，計算機系統總會不可避免地受到黑客或木馬程序的襲擊。而黑客、木馬程序襲擊系統經常采用的方法，就是想方設法竊取計算機系統中的賬號密碼，并通過竊取到手的賬號暗中進行各種破壞操作，由于該方法有很強的隱蔽性，常常能夠有效躲避殺毒軟件或其他安全工具的查殺。所以，我們應該在平時加強對系統用戶賬號的管理，不讓用戶賬號隨意被黑客、木馬程序非法利用!

控制帳號遠程登錄權限

在局域網工作環境中，為了方便其他用戶訪問共享資源，我們往往要在本地系統中事先為其他用戶創建好不同的共享帳號，允許他們合法登錄本地系統。不過，在同時存在多個用戶帳號的情況下，很容易發生其他帳號意外登錄本地系統執行惡意操作的現象，所以我們應該對這些共享帳號的遠程登錄權限進行嚴格控制，下面就是具體的控制步驟：

首先依次單擊本地系統中的“開始”I“運行”命令，彈出系統運行對話框，輸入“gpedit.msc”命令，單擊回車鍵后，進入到系統組策略編輯界面。在該編輯界面的左側顯示區域中，將鼠標定位到“本地計算機策略”I“計算機配置”I“window s設置”I“安全設置”I“本地策略”I“用戶權力指派”節點上，找到該節點下的“在本地登錄”組策略選項。

其次用鼠標雙擊目標組策略選項，打開的選項設置對話框，在這里我們能看到可以登錄本地系統的所有用戶帳號信息，將其中的“users”組帳號選中，并按“刪除”按鈕，將目標組帳號從允許登錄的用戶列表中刪除。當然，按照同樣的操作方法，將其他不信任的用戶帳號也依次刪除掉。

接著按下“添加用戶或組”按鈕，切換到帳號選擇對話框，從中選擇并導入能遠程登錄本地系統的合法帳號名稱，該帳號可以是域用戶賬號，只是在這里不能將本地系統管理員帳號添加到拒絕登錄用戶列表中。

下面返回到“本地計算機策略”I“計算機配置”I“Windows設置”I“安全設置”I“本地策略”I“用戶權力指派”節點上，找到該節點下的“拒絕本地登錄”組策略選項，用鼠標雙擊該組策略選項，在其后彈出的選項設置對話框中單擊“添加用戶或組”按鈕，將不允許登錄本地系統的用戶賬號選中導入進來。只是要提醒大家的是，拒絕本地登錄列表中的用戶賬號擁有更高的優先權，對于同時出現在允許登錄和禁止登錄列表中的用戶來說，則以禁止登錄列表中的賬號信息為準。經過上述設置，我們就能輕松控制用戶賬號的遠程登錄權限了。

不讓重點賬號顯示出來

在多位用戶共同使用同一臺計算機的情況下，當系統啟動成功后，我們會看到所有的用戶賬號名稱會同時顯示在登錄界面中。為了安全起見，我們有時需要將一些重要的用戶賬號名稱隱藏起來，這該如何實現呢?很簡單，可以按照如下步驟來操作：

首先依次單擊本地系統中的“開始”I“運行”命令，彈出系統運行對話框，輸入“regedit”命令，單擊回車鍵后，進入到系統注冊表編輯界面。在該編輯界面的左側顯示區域中，將鼠標定位到HKEY—LoCALMACHINENSOFTWARE＼Microsoft＼Windows NT＼CurrentVersionXWinlogon＼SpecialAccounts＼UserList節點上，在該節點下面我們能看到所有用戶賬號的列表信息通過對它們的屬性信息進行修改調整，就能實現隱藏或顯示用戶賬號的目的了。

比方說，要想讓登錄界面出現administrator賬號名稱，只要用鼠標右鍵單擊UserList節點，依次執行右鍵菜單中的“新建”I“Dword值”命令，并將新創建的雙字節鍵值取名為administrator，同時用鼠標雙擊該鍵值，切換到編輯雙字節鍵值對話框，輸入數字“I”，單擊“確定”按鈕保存設置操作，如此一來，日后計算機系統重新啟動成功后，我們就能在Windows系統登錄界面看到administrator賬號的“身影”了。很明顯，如果將administrator賬號的數值設置為“0”，那么該賬號日后就不會顯示在系統登錄界面中了。

同樣地，我們可以在UserList節點下，手工創建好與重要用戶賬號名稱相同的雙字節鍵值，并通過將該鍵值的數值設置為“0”或“1”，來實現控制重要用戶賬號的隱藏或顯示狀態。日后要想利用隱藏賬號登錄本地系統時，只要在Windows系統登錄界面中同時按兩下“Ctrl+Alt+Del”復合鍵，就能切換到傳統系統登錄界面，在這里輸入隱藏賬號的名稱和用戶名，就能順利完成系統登錄操作了。

巧妙提升賬號操作權限

大家知道，在Windows系統環境下，除了guest、administrator等系統賬號外，其實還有一個非常特別的用戶賬號，該賬號就是system賬號，它的操作權限甚至比administrator賬號還要高。不過，與普通的用戶賬號相比，我們往往無法直接使用該賬號登錄系統；其實，該用戶賬號早已經隱藏到Window s系統中了，甚至連校驗用戶登錄系統的Lsass、Winlogon等特殊進程也都是以system賬號運行的。那么，有沒有辦法將自己的用戶賬號操作權限提升為system賬號權限呢?

要想讓系統切換到system賬號權限狀態，必須要借助“psexec”這樣的小工具才能完成。首先同時按下鍵盤中的Ct rI+Alt+Del復合鍵，并單擊“啟動任務管理器”按鈕，彈出任務管理器窗口，點選其中的“進程”標簽，打開對應標簽設置頁面，從中找到并選中“explorer，exe”進程選項，再用鼠標右鍵單擊該選項，執行右鍵菜單中的“結束進程”命令，將“explorer.exe”進程強行關閉掉。

其次選擇“應用程序”標簽，單擊對應標簽設置頁面中的“新任務”按鈕，在命令文本框中輸入代碼“f：＼a a a＼Psexec—s—i—dexplorer”，其中假設Psexec程序被解壓保存到“f：＼aa a”文件夾中了，單擊“確定”按鈕后，“explorer，exe”進程就會被自動重新啟動，之后我們使用的用戶賬號就具有system賬號權限了。

賬號管理界面巧妙修復

依次單擊“開始”I“控制面板”命令，單擊控制面板窗口中的用戶賬戶圖標，就能在賬戶管理頁面中對所有賬號進行管理操作了。其實，賬戶管理頁面是一個簡單的html頁面，該頁面中的每個功能選項都是html超級鏈接。所以，Windows系統的用戶賬戶管理頁面很容易受到損壞，例如，有的時候打開該頁面時，會發現該程序界面一片空白，同時系統會彈出參數無效之類的錯誤。出現這種類型的錯誤，多半是Windows系統中有關html顯示的動態鏈接庫文件注冊狀態受到了破壞。此時，我們可以嘗試按照如下操作步驟，來巧妙修復受損的賬號管理界面：

首先依次單擊本地系統中的“開始”I“運行”命令，彈出系統運行對話框，輸入“cmd”命令，單擊回車鍵后，切換到DOS命令行狀態，在該狀態下輸入字符串命令“regsvr32／soymu—uo＼system32＼jscript。dll”，單擊回車鍵后，重新注冊一下jscript.dlI動態鏈接庫文件。

按照同樣的操作方法，在DO S命令行狀態下，分別重新注冊一下mshtml，dll、vbscript.dll、themeui.dil、nusrmgr.cpl等系統文件，最后重新啟動計算機系統，就能發現受損的賬號管理界面已經被成功修復了。

控制用戶賬號登錄時間

大家知道，Windows系統默認狀態下不會對合法用戶賬號的登錄時間進行限制，允許其長期訪問操作。可是，在多位用戶共同使用同一臺計算機的情況下，我們有時希望對一些普通權限的用戶賬號登錄系統時間進行有效控制，以提高系統運行安全性。要做到這一點，可以借助LoginSentinel Free這樣的外力工具來幫忙。

首先從網上下載獲得LoginSentinel Free程序，并對其進行常規安裝，安裝結束后直接啟動運行它，單擊主程序界面中的“Time restrictions”按鈕。之后，在“User”下拉列表中，我們將看到本地系統中的所有用戶賬號名稱，從中點選自己想要對其進行控制的目標用戶賬號。

當選中某個用戶賬號后，在顯示時間表格設置區域，我們會看到縱坐標單位為星期，橫坐標單位為小時，每一個時間格單位為30分鐘，當將某個時間格顏色調整為紅色時，那就意味著在對應時間段內禁止被選中的用戶賬號登錄訪問系統，我們可以根據實際訪問需求，逐一將合適時間格的顏色設置為紅色，組成禁止訪問系統時間段。如果要對連續的時間格進行設置時，可以直接用拖動鼠標左鍵的方法來進行快速設置，以便提高操作效率。

在紅色時間格內，目標用戶賬號是不能正常登錄本地系統的。要是目標用戶賬號之前已經在訪問系統，當訪問時間到達紅色時間格后，Login Sentinel Free程序將會強行將當前登錄賬號注銷掉，并自動對計算機執行關機操作。當然，要提醒大家的是，完成設置后必須單擊“Save usersettings”按鈕來執行設置保存操作，才能讓上述操作正式生效。如果想暫時取消目標用戶賬號的登錄時間限制設置時，只要單擊設置界面中的“Remove user settings”按鈕即可。同樣地，我們可以依次為其他用戶賬號設置合適的系統登錄時間。

借用外力移除克隆賬號

黑客或木馬程序借助系統漏洞成功攻擊主機后，常常會進行克隆賬號操作。在進行克隆操作時，首先是激活系統中的一個缺省賬號，并借助專業工具提升缺省賬號的操作權限，我們從表面上看，會發現克隆賬號和缺省賬號并無二樣，顯然克隆賬號的隱蔽性非常強，因此它的安全威脅也特別大，黑客或木馬程序經常會利用該賬號對本地系統進行暗中控制。那么我們該怎樣才能在第一時間揪出潛藏在本地系統中的克隆賬號呢?借助外力工具LP-Check，我們就能十分方便地找到并移除安全威脅比較大的系統克隆賬號了。

按照常規方法下載安裝好外力工具LP—Check后，從系統開始菜單中打開該程序界面，默認狀態下，本地系統中的所有用戶賬號都會自動顯示在該界面中(如圖6所示)，要是某個用戶賬號的“result”列中出現了“Shadow Administrator”字眼時，那就意味著該用戶賬號已經被悄悄克隆了，而且LP_Check程序還會自動將克隆賬號的數量統計并顯示出來。

找打克隆賬號后，我們又該如何將它從系統中徹底移除呢?考慮到本地系統中的所有用戶賬號信息都已經存儲在系統注冊表中了，我們可以使用systemNi號權限來徹底移除安全威脅比較大的克隆賬號。按照之前介紹的方法，將系統狀態切換到system賬號權限下，依次單擊“開始”I“運行”命令，彈出系統運行對話框，輸入“regedit”命令，單擊回車鍵后，進入到系統注冊表編輯界面，將鼠標定位到HKEY—LOCAL_MACHINE＼SAM＼SAM＼Domains＼Account＼Users＼Names節點上，在目標節點下就能看到包含克隆賬號在內的所有潛藏用戶賬號了，將之前找到的克隆賬號選中并刪除，再重新啟動計算機系統即可。

強制顯示上次登錄賬號

在多賬號系統環境下，如果我們想了解上一次究竟是哪位用戶賬號登錄系統時，該如何查看呢?其實，Vista以上版本操作系統新推出了“在用戶登錄期間顯示有關以前登錄的信息”功能，我們可以巧妙借助這項功能，來強制系統顯示以前登錄系統的狀態信息，包括以前登錄系統的用戶賬號名稱等，要是發生陌生賬號的身影時，就應該及時刪除它，防止它威脅本地系統的正常安全，下面就是啟用強制登錄顯示功能的具體操作步驟：

首先逐一點選“開始”I“運行”命令，彈出系統運行對話框，在其中執行“gpedit.msc”命令，彈出系統組策略編輯窗口。該編輯窗口的左側區域，將鼠標定位到“計算機配置”I“管理模板”I“windows組件”I“Windows登錄選項”節點上，找到該節點下的“在用戶登錄期間顯示有關以前登錄的信息”選項，并用鼠標雙擊該選項，切換到選項設置對話框。

其次看看其中的“已啟動”選項有沒有被選中，如果看到它還沒有處于選中狀態時，應該重新選中它，并單擊“確定”按鈕執行設置保存操作，這樣windows系統日后啟動成功后，就會自動顯示出上次登錄系統的用戶賬號以及其他狀態信息了，要是有陌生賬號在本次登錄系統之前悄悄登錄過計算機系統，那么我們就能及時發現它的身影，并能了解到它的登錄時間了，之后立即刪除陌生用戶賬號即可。

自動監控賬號創建操作

黑客、木馬程序常常會偷偷在系統后臺創建用戶賬號，而且創建成功的用戶賬號不容易被人及時發現。為了保護系統運行安全，我們應該想辦法監控用戶賬號偷偷創建操作，保證可以及時揪出陌生用戶賬號。事實上，通過Wiaqdows 7系統事件查看器內置的附加任務到事件功能，就能輕松實現對偷偷創建用戶賬號動作進行自動報警提示，根據報警提示我們自然就能在第一時間發現陌生賬號了。下面就是自動監控用戶賬號創建操作的具體設置過程：

首先逐一點選“開始”I“控制面板”I“管理工具”I“本地安全策略”選項，切換到安全策略設置界面，在該界面左側顯示區域，展開“本地策略”I“審核策略”節點，打開該節點下的“審核賬戶管理”選項設置對話框，選擇“成功”、“失敗”等選項，單擊“確定”按鈕保存設置操作，這樣Windows 7系統就能自動記憶保存用戶賬戶管理方面的任何變化了，包括用戶賬號的創建、刪除等事件。

其次將報警提示任務附加到用戶賬號創建事件上，實現即時報警的功能。在附加報警提示任務到事件上時，可以用鼠標右擊Windows 7系統的“計算機”圖標，從彈出的快捷菜單中選擇“管理”命令，彈出計算機管理窗口，展開該窗口左側區域中的“本地用戶和組”I“用戶”節點，在該節點下自由創建一個用戶賬號。之后，依次單擊“開始”I“控制面板”I“管理工具”I“事件查看器”選項，切換到事件查看器窗口，依次展開“Windows日志”I“安全”節點，選中并用鼠標右鍵單擊之前創建的用戶賬號事件，從右鍵菜單中點選“將任務附加到此事件”命令，彈出附加任務向導對話框，依照默認提示單擊“下一步”按鈕，打開設置對話框，選擇“顯示消息”選項，同時定義好消息提示標題與內容，再單擊“完成”按鈕返回。

這樣，黑客、木馬程序日后只要在Windows 7系統中偷偷創建用戶賬號，我們就能立即看到之前設置好的報警提示，根據報警提示時間和內容，就能知道系統中有陌生賬號被偷偷創建了，這時應該進入用戶賬號管理界面，找出陌生的用戶賬號，將它們立即刪除或停用，也可以修改陌生賬號的密碼。