靈活管控賬號還系統安全

榮耀

來賓賬號為windows系統內置賬號，通常作為用戶臨時訪問系統使用，其他人借助該賬號能方便訪問計算機。默認狀態下，該賬號擁有的操作權限最少，利用該賬號登錄計算機后，無法創建或修改密碼，一些應用程序也無法自由安裝。

在Windows系統環境下，為了控制操作安全性，微軟使用了權限控制機制，也就是說，不同用戶賬號獲取的操作權限不盡相同。如果在平時操作過程中，不對用戶賬號進行妥善管理和控制，那么安全系數再高的操作系統，也會遭遇到各種各樣的安全威脅。所以，為了還系統運行安全，我們有必要對各種不同類型的用戶賬號，進行靈活管理與控制！

管控來賓賬號

來賓賬號為windows系統內置賬號，通常作為用戶臨時訪問系統使用，其他人借助該賬號能方便訪問計算機。默認狀態下，該賬號擁有的操作權限最少，利用該賬號登錄計算機后，無法創建或修改密碼，一些應用程序也無法自由安裝。

在安全性要求不高的場合下，善于使用來賓賬號，可以避免頻繁輸入共享訪問密碼，提高共享訪問效率。要使用來賓賬號進行共享訪問時，首先應開啟來賓賬號。在Windows7系統中進行這項操作時，可以單擊“開始”“控制面板”命令，打開系統控制面板窗口，用鼠標逐一雙擊“用戶賬戶”“管理其他賬戶”選項；從賬號列表中選擇沒有開啟的來賓賬號，并用鼠標雙擊對應圖標，按下其后界面中的“啟用”按鈕（如圖1所示），那樣一來來賓賬號就能被成功啟動運行了。其次允許來賓賬號訪問網絡。依次選擇“開始”“運行”選項，彈出系統運行對話框，輸入“gpedit msc”命令并回車，切換到系統組策略編輯界面，將鼠標定位到“計算機設置”“Windows設置”“安全設置”“本地策略”“用戶權限分配”節點上，用鼠標右擊該節點下的“從網絡訪問此計算機”選項，選擇右鍵菜單中的“屬性”命令，彈出如圖1所示的組策略屬性對話框，點擊“添加用戶或組”按鈕，展開用戶選擇設置框，選擇并導入來賓賬號，確認之后本地系統就能允許其他用戶通過來賓賬號，訪問本地系統中的共享資源了。第三開啟來賓訪問模式。執行“gpedit msc”命令，彈出組策略編輯界面，將鼠標定位到該編輯界面左側區域中的“計算機設置”“Windows設置”“安全設置”“本地策略”“安全選項”節點上，雙擊該節點下的“網絡訪問：本地賬戶的共享和安全模型”組策略，選中其后界面中的“僅來賓一對本地用戶進行身份驗證，其身份為來賓”選項，確認之后Windows系統日后就不會強制用戶輸入共享訪問密碼了。結束上述幾項設置操作后，使用來賓賬號訪問共享資源，訪問效率就會大大提升了。

要是感覺啟用來賓賬號，會對重要計算機系統的運行帶來安全隱患時，我們不妨立即禁用該賬號。禁用操作也很簡單，只要依次單擊“開始”“控制面板”命令，在彈出的系統控制面板窗口中，逐一雙擊“用戶賬戶”“管理其他賬戶”圖標，之后按下“關閉來賓賬戶”按鈕即可。

管控標準賬號

標準賬號往往由用戶自己獨立創建，它隸屬于“Users”組賬號，一般具有普通操作權限，這種類型賬號能夠開啟運行安裝在Windows系統中的大多數應用程序，并可以對系統進行有限度的操作配置。

在創建標準賬號時，依次選擇“開始”“控制面板”“所有控制面板項”“用戶賬戶”“管理賬戶”選項，在賬戶管理界面中按下“創建一個新賬戶”按鈕，彈出新賬戶創建對話框，設置好新賬號名稱，同時選中“標準用戶”選項，點擊“創建賬戶”按鈕即可。創建好新的標準賬號后，雙擊該賬號名稱，切換到對應賬號管理對話框，按下“創建密碼”按鈕，設置好該賬號的登錄密碼，確保系統登錄安全。

為了強制用戶創建安全的標準賬戶，可以依次選擇“開始”“運行”選項，彈出系統運行對話框，輸入“gpeditmsc”命令并回車，切換到系統組策略編輯界面，將鼠標定位到“計算機設置”“Windows設置”“安全設置”“賬戶策略”“密碼策略”節點上，用鼠標右擊該節點下的“密碼必須符合復雜性要求”選項，彈出如圖2所示的組策略屬性對話框，選中“已啟用”選項，確認之后標準用戶日后在創建密碼時，必須要符合復雜性要求，而不能簡單地只使用數字或字母。同樣地，根據實際要求，設置好密碼長度最小值、密碼最短使用期限、密碼最長使用期限等組策略。

有的時候，有些用戶為了圖省事，會將計算機系統設置成自動登錄，如果這樣的話，標準用戶賬號的密碼不管設置得都復雜，一點作用都沒有。所以，考慮到安全問題，我們應該強制計算機系統對用戶賬號進行身份驗證，而不允許用戶使用自動登錄：

首先在重要計算機系統中依次單擊“開始”“運行”選項，彈出系統運行文本框，輸入“regedit”命令并回車，切換到系統注冊表編輯窗口。在該窗口左側區域，將鼠標定位到HKEY-LOCAL_MACHINE＼S0FTWARE＼Microsoft＼Windows NT＼CurrentVersion＼winlogon注冊表分支上，逐一刪除該分支下的“Aut0Adminlogon”、“DefaultPassword”

、“DefaultUserName”等鍵值，之后刷新系統注冊表并返回。

其次在系統運行框中輸入“controluserpasswords2”命令并回車，彈出用戶賬戶設置框，選擇“用戶”標簽，選中需要登錄重要計算機系統的特定用戶賬號，再將“要使用本機，用戶必須輸入用戶和密碼”等選項選中，確認之后計算機系統日后就會強制特定標準用戶賬號進行身份驗證了。

如果強制標準用戶賬號在遠程桌面連接Vista以上版本系統時，必須進行身份驗證的話，只要開啟對應系統自帶的網絡身份驗證功能即可。例如，在Windows7系統中開啟這項功能時，不妨用鼠標右鍵單擊系統桌面上的“計算機”圖標，選擇右鍵菜單中的“屬性”命令，打開系統管理界面，按下該界面左側顯示區域中的“遠程設置”按鈕，展開如圖3所示的遠程設置對話框，選中“只允許運行帶網絡身份驗證的遠程桌面的計算機連接（更安全）”選項，確認之后Windows 7系統的網絡身份驗證功能就被成功啟用起來了。管控超級賬號

這里所說的超級賬號，主要指的是Administrator之類的系統管理員賬號，這類賬號擁有最高等級的操作權限，用戶使用該賬號往往能夠對計算機系統的任何設置進行修改，不過在默認狀態下，這類賬號不能對操作系統文件進行直接修改或刪除。考慮到安全方面的原因，Windows7系統缺省停用了Administrator用戶賬號，如果需要使用該賬號時，可以采用兩種不同方式進行啟用。

一是在計算機管理界面中啟用。用鼠標右鍵單擊Windows7系統桌面上的“計算機”圖標，執行快捷菜單中的“管理”命令，彈出計算機管理窗口，在該窗口左側列表區域，依次選擇“計算機管理（本地）”“系統工具”“本地用戶和組”“用戶”分支，在該分支下用鼠標雙擊Administrator用戶賬號，彈出如圖4所示的Administrator賬號屬性對話框，在這里我們會發現Windows7系統默認選中了“賬戶已禁用”選項，取消該選項的選中狀態，同時選中“用戶不能更改密碼”等選項，單擊“確定”按鈕后保存設置操作，這樣Administrator用戶賬號就會被成功啟用了。

二是通過DOS命令啟用。依次選擇“開始”“所有程序”“附件”“命令提示符”選項，用鼠標右鍵單擊“命令提示符”選項，執行右鍵菜單中的“以管理員身份運行”命令，切換到系統DOS命令行工作窗口。在該窗口命令提示符下輸入字符串命令“net user administrator/active：yes”，單擊回車鍵后，Windows系統會返回命令成功完成的提示信息，這就意味著系統管理員Administrator賬號已經被成功啟用。日后如果想暫停使用系統管理員Administrator賬號時，只要在DOS命令行窗口中再執行“net useradministrator/actlve：no”字符串命令即可。

如果我們想創建一個其他名稱的系統管理員賬號時，可以依次選擇“開始”“控制面板”“所有控制面板項”“用戶賬戶”“管理賬戶”選項，在賬戶管理界面中按下“創建一個新賬戶”按鈕，彈出新賬戶創建對話框，設置好合適的系統管理員賬號名稱，同時選中“管理員”選項，點擊“創建賬戶”按鈕即可。創建好了系統管理員權限的賬號后，還必須為該賬號設置相對復雜的登錄密碼，確保該賬號的使用安全。

管控特殊賬號

除了上面幾種類型的用戶賬號外，windows系統中還存在system、Trustedlnstaller這些特殊類型的賬號，它們所擁有的操作權限比系統管理員賬號還高，所以對待特殊類型賬號，我們必須予以高度重視。

與Administrator用戶賬號一樣，System賬號也屬于管理員賬號，只是它們在權限上有所不同。在平時操作計算機的過程中，經常會遇到丟失密碼、無法刪除文件、不能清除頑固惡意程序以及其他一些要求高權限操作的問題，對待這類問題，我們只有使用System之類的最高權限賬號才能解決，而使用其他賬號嘗試操作時，系統都會提示沒有操作權限。

TrustedInstaller賬號屬于虛擬賬號，它的操作權限比Admini strato r用戶賬號還要高一些，不過也不是最高權限賬號，它只是擁有最高的磁盤訪問權限。所以，當遇到有的頑固文件，無法在管理員權限狀態下被刪除時，不妨嘗試在TrustedInstaller賬號模式下，對其進行刪除，相信多半會成功刪除掉的。缺省狀態下，Trustedlnstaller賬號對所有系統文件擁有完全控制權限，而類似Administrator這樣的系統管理員賬號只擁有“只讀”或“只讀和運行”操作權限，這正是系統管理員賬號成功登錄系統后，不能刪除系統文件的主要原因。

管控隱藏賬號

在網絡安全形勢日趨嚴重的今天，計算機系統遭遇病毒、木馬攻擊的現象越來越頻繁。而這些惡意程序攻擊系統十分擅長的手段，就是悄悄在Windows系統中生成隱藏賬號，同時利用隱藏賬號進行各種攻擊、破壞操作，這種攻擊手段不但隱蔽性好，而且能輕易躲避殺毒軟件和安全工具的“圍剿”。所以，我們必須在平時對系統中的隱藏賬號創建行為進行嚴格監控，一旦發現有隱藏賬號，立即將其刪除。

在Windows7系統對隱藏賬號的創建行為進行即時監控時，可以通過該系統事件查看器內置的附加任務功能來實現。先依次雙擊“開始”“控制面板”“管理工具”“本地安全策略”圖標，切換到安全策略設置界面，展開“本地策略”“審核策略”節點，雙擊該節點下的“審核賬戶管理”策略，選中其后界面中的“成功”、“失敗”選項（如圖5所示），確認后返回。

其次右擊系統桌面上“計算機”圖標，選擇快捷菜單中的“管理”選項，展開計算機管理界面中的“本地用戶和組”“用戶”節點，在該節點下任意創建一個用戶賬號。再依次點擊“開始”“控制面板”“管理工具”“事件查看器”，定位到事件查看器中的“Windows日志”“安全”分支上，右擊之前生成的用戶賬號創建記錄，執行“將任務附加到此事件”命令，彈出基本任務向導設置框，選中“顯示消息”選項，定義好消息標題與報警內容，單擊“完成”按鈕返回。

日后，只要Windows7系統中有隱藏賬號被創建時，系統就會立即彈出既定的報警提示，提醒用戶有人悄悄在系統后臺生成了隱藏賬號。

一旦確認系統中存在危險的隱藏賬號，我們必須在第一時間將其刪除掉。可是，隱藏賬號具有隱蔽性，直接刪除很有難度，我們可以根據隱藏賬號類型，選用不同的刪除方法。

一些隱藏賬號只是在普通賬號名稱后面加了“$”，在刪除這類具有系統管理員權限的隱藏賬號時，先在系統運行框中輸入“cmd”命令，單擊回車鍵后，在DOS命令行窗口中執行“net localgroupadministrators”命令，顯示出所有具有管理員權限的隱藏賬號。假設，找到了一個“1234$”的隱藏賬號，那么通過“netuser 1234$/delete”命令，就能將找到的隱藏賬號刪除掉了。

此外，帶有“$”后綴的隱藏賬號，往往能夠直接出現在系統計算機管理窗口中，在該窗口中可以直接刪除這類隱藏賬號。用鼠標右鍵單擊系統桌面上的“計算機”圖標，選擇右鍵菜單中的“管理”選項，切換到計算機管理窗口，展開“本地用戶和組”“用戶”節點，在該節點下選中“$”字符的隱藏賬號，用鼠標右鍵單擊該賬號，執行“刪除”命令，就能將目標隱藏賬號刪除掉了。

也有一些隱藏賬號是惡意程序采用修改注冊表鍵值方式植入到系統中的，我們只有從系統注冊表著手，才能刪除這類隱藏賬號。依次選擇“開始”“運行”選項，在系統運行框中執行“regedit”命令，展開系統注冊表編輯界面。將鼠標定位到HKEY_LOCAL_MACHINE＼SAM＼SAM＼Domains＼Account＼Users＼Names節點上，在該節點下會顯示出所有的用戶賬號，逐一對比這里的賬號與計算機管理窗口中的賬號，要是某個陌生賬號出現在注冊表中，而沒有出現在計算機管理窗口中時，那就說明該賬號就是隱藏賬號。此時，只要右擊確認的隱藏賬號，執行右鍵菜單中的“刪除”命令，就能將這個相對狡猾的隱藏賬號刪除了。

備份還原賬號

在重要計算機系統中，為了防止系統賬號信息發生丟失，我們應該在Windows系統工作正常的狀態下，注意對用戶賬號進行備份。在進行賬號備份操作時，不妨逐一點選“開始”“運行”命令，彈出系統運行對話框，輸入“credwiz”命令并回車，彈出如圖6所示的備份向導對話框。將其中的“備份存儲的用戶名和密碼”選中，單擊“下一步”按鈕，定義好備份文件的名稱和存儲路徑，按下“保存”按鈕結束用戶賬號備份任務。

日后，當發生系統崩潰或用戶賬號丟失現象時，只要再次執行“credwiz”命令，從彈出的還原向導對話框中，選擇“還原存儲的用戶名和密碼”選項，單擊“下一步”按鈕，打開文件選擇對話框，導入事先準備好的賬號備份文件，就能快速將用戶賬號信息恢復到以前的正常狀態了。

追蹤顯示賬號

有的時候，為了安全起見，我們想了解在本次使用計算機的過程中，有沒有陌生用戶偷偷登錄過系統。要做到這一點，可以開啟Windows系統的“在用戶登錄期間顯示有關以前登錄的信息”功能，來強制追蹤顯示用戶賬號登錄痕跡，下面就是具體的啟用步驟：

首先逐一點選“開始”“運行”選項，在彈出的系統運行文本框中執行“gpedit.msc”命令，展開組策略編輯窗口。在該窗口左側區域，將鼠標定位到“計算機配置”“管理模板”I“Windows組件”“Windows登錄選項”節點上，雙擊該節點下的“在用戶登錄期間顯示有關以前登錄的信息”選項，打開如圖7所示的選項設置對話框。

其次看看其中的“已啟動”是否處于選中狀態，如果看到它還沒有被選中時，只要將其重新選中，單擊“確定”按鈕返回，這樣Windows系統就能追蹤顯示用戶賬號登錄痕跡了。