拒絕特殊賬戶威脅

2015-03-17 21:54:44江蘇周勇生

網(wǎng)絡(luò)安全和信息化 2015年11期

■江蘇周勇生

不讓微軟賬戶帶來(lái)威脅

大家知道，要成功訪問(wèn)Windows 8系統(tǒng)的應(yīng)用商店，一定要使用微軟自帶的“Microsoft”賬戶，使用其他賬戶都不能訪問(wèn)。不過(guò)，使用“Microsoft”賬戶不但操作麻煩，而且還容易帶來(lái)安全隱私泄露的問(wèn)題，特別是在公共場(chǎng)合下，這種安全問(wèn)題更是相當(dāng)嚴(yán)重。其實(shí)，我們可以進(jìn)行如下設(shè)置，巧妙使用Windows系統(tǒng)內(nèi)置的管理員賬戶來(lái)成功訪問(wèn)應(yīng)用商店，從而避開(kāi)“Microsoft”賬戶帶來(lái)的安全麻煩。

首先，確保本地系統(tǒng)已經(jīng)啟用系統(tǒng)內(nèi)置的管理員賬戶“Administrator”。如果發(fā)現(xiàn)該賬戶還沒(méi)有啟用時(shí)，可以使用“Win+C”快捷鍵，調(diào)出超級(jí)按鈕欄，點(diǎn)擊“設(shè)置”命令，找到其后界面右下方的“更改電腦設(shè)置”按鈕，切換到計(jì)算機(jī)設(shè)置界面，按下左側(cè)列表中的“賬戶”選項(xiàng)，彈出用戶賬戶設(shè)置窗口，在這里就能成功啟用“Administrator”了。

其次，使用“Administrator”登錄系統(tǒng)，按下“Win+R”快捷鍵，調(diào)出系統(tǒng)運(yùn)行對(duì)話框，在其中執(zhí)行“gpedit.msc”命令，展開(kāi)系統(tǒng)組策略編輯器窗口。在該窗口的左側(cè)列表中，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows設(shè) 置”、“安全設(shè)置”、“本地策略”、“安全選項(xiàng)”節(jié)點(diǎn)上，找到該節(jié)點(diǎn)下面的“用戶賬戶控制：用于內(nèi)置管理員賬戶的管理員批準(zhǔn)模式”選項(xiàng)，并用鼠標(biāo)雙擊該選項(xiàng)，選中其后界面中的“已啟用”選項(xiàng)（如圖1所示），單擊“確定”按鈕后保存設(shè)置操作。

之后執(zhí)行用戶賬戶注銷(xiāo)操作，重新使用“Administrator” 賬戶登錄本地系統(tǒng)，這時(shí)就能通過(guò)Windows系統(tǒng)內(nèi)置的管理員賬戶成功訪問(wèn)應(yīng)用商店，那么“Microsoft”賬戶就不會(huì)存在安全泄密問(wèn)題了。

不讓來(lái)賓賬戶帶來(lái)威脅

來(lái)賓賬戶從最初的系統(tǒng)到現(xiàn)在的最新版本系統(tǒng)，一直被微軟保留著，它的存在能夠給用戶的操作和訪問(wèn)帶來(lái)便利。但在網(wǎng)絡(luò)安全形勢(shì)越來(lái)越嚴(yán)峻的今天，來(lái)賓賬戶常常會(huì)被黑客或惡意用戶非法利用，從而可能給Windows系統(tǒng)帶來(lái)安全威脅。為了不讓來(lái)賓賬戶帶來(lái)安全威脅，可以采取如下措施進(jìn)行防范：

首先，禁止將網(wǎng)絡(luò)訪問(wèn)權(quán)限授予來(lái)賓賬戶，以防非法用戶通過(guò)網(wǎng)絡(luò)提升它的操作權(quán)限。逐一單擊“開(kāi)始”、“運(yùn)行”命令，展開(kāi)系統(tǒng)運(yùn)行對(duì)話框，輸入“gpedit.msc”命令并回車(chē)，打開(kāi)系統(tǒng)組策略編輯窗口。將鼠標(biāo)定位在“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows設(shè) 置”、“安全設(shè)置”、“本地策略”、“用戶權(quán)限分配”節(jié)點(diǎn)上，雙擊該節(jié)點(diǎn)下的“拒絕從網(wǎng)絡(luò)訪問(wèn)這臺(tái)計(jì)算機(jī)”選項(xiàng)，彈出如圖2所示的選項(xiàng)設(shè)置對(duì)話框，看看來(lái)賓賬戶有沒(méi)有出現(xiàn)在這里，要是無(wú)法找到它的“身影”，可以按下“添加用戶或組”按鈕，從其后出現(xiàn)的賬戶選擇框中，將來(lái)賓賬戶選中并添加進(jìn)來(lái)，單擊“確定”按鈕后保存設(shè)置即可。這樣，普通用戶將無(wú)法以來(lái)賓賬戶，從網(wǎng)絡(luò)訪問(wèn)本地Windows系統(tǒng)了。

其次，不要將共享訪問(wèn)權(quán)限授予來(lái)賓賬戶，以防非法用戶輕易偷窺到局域網(wǎng)中的重要隱私信息。打開(kāi)系統(tǒng)組策略編輯窗口，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“安全設(shè)置”、“本地策略”、“安全選項(xiàng)”節(jié)點(diǎn)上，雙擊該節(jié)點(diǎn)下的“網(wǎng)絡(luò)訪問(wèn)：本地賬戶的共享和安全模式”組策略，在其后界面中將網(wǎng)絡(luò)訪問(wèn)方式從“僅來(lái)賓，本地用戶以來(lái)賓身份驗(yàn)證”，選擇為“經(jīng)典-本地用戶以自己的身份驗(yàn)證”，確認(rèn)后退出設(shè)置對(duì)話框。這樣，用戶日后進(jìn)行共享訪問(wèn)時(shí)，缺省使用的賬戶就不是來(lái)賓賬戶了，而是事先在本地計(jì)算機(jī)中配置的特定賬戶，正確輸入特定賬戶名稱(chēng)和密碼后，共享訪問(wèn)才能安全順利進(jìn)行。

第三，拒絕來(lái)賓賬戶被非法偽裝。很多狡猾用戶有時(shí)會(huì)通過(guò)賬號(hào)克隆方式，將來(lái)賓賬戶偽裝成特權(quán)賬戶，進(jìn)行一些非法活動(dòng)，即使進(jìn)入計(jì)算機(jī)管理窗口，也無(wú)法分辨出偽裝的來(lái)賓賬戶是否正常。為了拒絕來(lái)賓賬戶被非法偽裝，可以想辦法刪除Windows系統(tǒng)中的該賬戶：進(jìn)入系統(tǒng)運(yùn)行對(duì)話框，輸入“regedt32”命令，彈出系統(tǒng)注冊(cè)表編輯窗口。在該窗口左側(cè)顯示區(qū)域，依次展開(kāi)注冊(cè)表節(jié)點(diǎn)“hkey_local_machinesamsam”，默認(rèn)狀態(tài)下用戶看不到該節(jié)點(diǎn)下的任何內(nèi)容，打開(kāi)該節(jié)點(diǎn)的右鍵菜單，單擊“權(quán)限”命令，在其后的權(quán)限編輯框中將“administrators”賬戶權(quán)限修改為“完全控制”。這個(gè)時(shí)候，指定節(jié)點(diǎn)下的鍵值內(nèi)容就能正常看到了，將與來(lái)賓賬戶相關(guān) 的“hkey_local_machinesamsamdomainsaccountusers