限制用戶賬戶權(quán)力的幾大設(shè)置

　　提到“系統(tǒng)安全”這樣的字眼，相信多數(shù)人會(huì)條件反射地想到各種防火墻工具、防病毒軟件等，并且會(huì)片面認(rèn)為只要在系統(tǒng)中有了它們的存在，系統(tǒng)安全就會(huì)高枕無(wú)憂。其實(shí)，系統(tǒng)的安全單純靠“防”是防不住的，還需要你有足夠的安全意識(shí)。比如當(dāng)我們?cè)谟懻撓到y(tǒng)安全性和便利性之間的權(quán)衡問(wèn)題時(shí)，將天平過(guò)度向便利性傾斜有時(shí)會(huì)帶來(lái)災(zāi)難性的后果。因此，犧牲掉一定的便利性，通過(guò)限制用戶賬戶權(quán)力來(lái)加強(qiáng)系統(tǒng)安全，應(yīng)是值得注意并且不可回避的問(wèn)題,今天就來(lái)探討下這一無(wú)法回避的關(guān)鍵.

　　對(duì)賬戶名的隱藏

　　在本刊2005年第5期的“系統(tǒng)安全從賬號(hào)設(shè)置做起”一文中，作者曾經(jīng)提出：通過(guò)“用戶賬號(hào)”中的“更改用戶登錄和注銷(xiāo)的方式”任務(wù)設(shè)置，取消“使用歡迎屏幕”選項(xiàng)來(lái)進(jìn)行用戶登錄。不過(guò)這樣每次登錄的時(shí)候都要輸入用戶名和密碼，有時(shí)覺(jué)得比較麻煩。其實(shí)完全可以保留使用歡迎屏幕——只要隱藏某些用戶賬戶就行了(本文針對(duì)windows 2000/XP系統(tǒng))。具體可以通過(guò)修改注冊(cè)表實(shí)現(xiàn)：

　　1. 在“開(kāi)始”菜單的“運(yùn)行”處運(yùn)行“regedit”命令，進(jìn)入注冊(cè)表編輯器;

　　2. 打開(kāi)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList, 創(chuàng)建一個(gè)新的DWORD值，將這個(gè)值的名稱(chēng)設(shè)為要隱藏的賬戶名，并將值設(shè)為0。

　　如此，你隱藏的賬戶(如管理員賬戶)就不會(huì)出現(xiàn)在歡迎屏幕上。而要登錄到歡迎屏幕上沒(méi)有的賬戶，可以按兩次Ctrl+Alt+Delete顯示出“登錄到Windows”對(duì)話框，輸入用戶名和密碼即可。不過(guò)，以這種方式隱藏的賬戶是不能使用快速用戶切換功能的，因?yàn)榘磧纱蜟trl+Alt+Delete的技巧只能在沒(méi)有其他人登錄進(jìn)計(jì)算機(jī)時(shí)方能奏效。

　　作者在寢室就是把自己的管理員賬戶隱藏了起來(lái)，只在歡迎屏幕上留了個(gè)公用賬戶，同學(xué)要進(jìn)系統(tǒng)只需輸入密碼即可。如此既方便了同學(xué)，又阻止了好事者對(duì)我管理員密碼的追問(wèn)。

　　通過(guò)自動(dòng)登錄來(lái)強(qiáng)制進(jìn)入特定賬戶

　　當(dāng)然，還可以做得更絕，就是使用看起來(lái)似乎并不安全的自動(dòng)登錄功能。如此一來(lái)，你就可以強(qiáng)制其他用戶進(jìn)入一個(gè)特定賬戶，而不用激起他們猜測(cè)其它賬戶的密碼的好奇心。具體方法：

　　1. 在“開(kāi)始”菜單的“運(yùn)行”處運(yùn)行control userpasswords2命令，進(jìn)入“用戶賬戶”，在“用戶”標(biāo)簽一欄，取消“要使用本機(jī)，用戶必須輸入用戶名和密碼”復(fù)選框，并單擊“確定”(如圖1);

　用戶賬戶

    　2. 其后，Windows會(huì)彈出一個(gè)提示框(如圖2)，要求你輸入每次計(jì)算機(jī)啟動(dòng)時(shí)自動(dòng)登錄所使用的賬戶的用戶名和密碼。

Windows會(huì)彈出一個(gè)提示框

　　當(dāng)然，還可在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon主鍵中進(jìn)行其它的設(shè)置來(lái)進(jìn)一步控制自動(dòng)登錄過(guò)程：

　　1. 其實(shí)，用戶在完成自動(dòng)登錄后，完全可以注銷(xiāo)賬戶，然后重新返回到歡迎屏幕，再選擇其它賬戶登錄。如此，設(shè)置自動(dòng)登錄就顯得意義不大了。為了避免這種情況的發(fā)生，可以在上面提到的主鍵中添加一個(gè)名為ForceAutoLogon的字符串值，并將這個(gè)值設(shè)為1。這樣，系統(tǒng)即便是在注銷(xiāo)之后也會(huì)自動(dòng)登錄到指定的賬戶;

　　2. 在默認(rèn)情況下，在啟動(dòng)時(shí)可以按住Shift鍵來(lái)阻止自動(dòng)登錄。要消除Shift鍵對(duì)自動(dòng)登錄的影響，可以添加一個(gè)名為IgnoreShiftOverride的字符串值，并將該值設(shè)為1;

　　3. 還可限制自動(dòng)登錄能夠進(jìn)行的次數(shù)，使其達(dá)到這個(gè)次數(shù)后，自動(dòng)關(guān)閉這個(gè)功能。如此需要添加一個(gè)名為AutoLogonCount的DWORD值，將其設(shè)為希望使用自動(dòng)登錄的次數(shù)。這樣，計(jì)算機(jī)每次啟動(dòng)并執(zhí)行自動(dòng)登錄時(shí)，AutoLogonCount的值就會(huì)減1。減到0時(shí)，Windows就會(huì)將AutoAdminLogon的值改為0(關(guān)閉自動(dòng)登錄)并刪除AutoLogonCount值。

　　強(qiáng)烈建議給自己留一道后門(mén)，如果你按照上述全部方法設(shè)置之后，就再也不能用其它賬戶進(jìn)行登錄了。當(dāng)然，你所指定的賬戶若至少是user級(jí)(那已經(jīng)算是比較安全的級(jí)別了)，那雖然不能修改注冊(cè)表，還至少能夠運(yùn)行control userpasswords2命令，如此還有回旋的余地。

　　限制對(duì)硬盤(pán)分區(qū)和文件夾的使用

　　你若是覺(jué)得限制用戶賬戶權(quán)力還不夠，某些分區(qū)也不希望別人使用或是只給予他們讀取和運(yùn)行的權(quán)力，那么可以對(duì)其安全屬性進(jìn)行設(shè)置(前提條件是系統(tǒng)應(yīng)為windows xp Pro且你的分區(qū)必須是NTFS格式，這樣其屬性中才有“安全”標(biāo)簽欄，若還是FAT格式，建議用PQMagic等軟件將其轉(zhuǎn)為NTFS格式，這樣對(duì)系統(tǒng)安全較有利)。具體步驟如下：

　　1. 以管理員身份登錄系統(tǒng)后，在“我的電腦”中，右擊某個(gè)分區(qū)，選擇“屬性”—〉“安全”，在“安全”標(biāo)簽欄中，可以添加或刪除該分區(qū)所隸屬的組或用戶，選定某個(gè)用戶后可以對(duì)其權(quán)限進(jìn)行選擇設(shè)置;

　　2. 若要添加用戶，就點(diǎn)擊“添加”，在“選擇用戶或組”窗口，點(diǎn)擊“高級(jí)”，進(jìn)而點(diǎn)擊“立即查找”，在窗口下方的用戶組列表中選擇一個(gè)用戶，確定后返回“安全”標(biāo)簽，此時(shí)可以在“組或用戶名稱(chēng)”欄中看到添加的用戶;

　　3. 選定一個(gè)用戶后點(diǎn)“刪除”即可將其刪去。這樣，你可以去掉其他用戶，使該分區(qū)僅隸屬于管理員用戶，當(dāng)以其他用戶賬戶登錄系統(tǒng)時(shí)，便不能進(jìn)入和使用該分區(qū)。

　　若不想做得太絕，也為了自己以用戶身份登錄時(shí)的方便，可以僅保留管理員用戶和Everyone用戶：

　　點(diǎn)選Everyone用戶，在下面的權(quán)限欄中僅點(diǎn)選“讀取和運(yùn)行”項(xiàng)(同時(shí)自動(dòng)選定“列出文件夾目錄”和“讀取”權(quán)限)，如此其他用戶便不能在該分區(qū)中寫(xiě)入新信息了。

　　當(dāng)然，也可讓分區(qū)中的某個(gè)文件夾不被其他用戶使用，操作同上(只是右擊對(duì)象換為文件夾)。不過(guò)，此處必須解決一個(gè)問(wèn)題，即“父系繼承權(quán)”。在刪除文件夾所隸屬的某個(gè)用戶時(shí)會(huì)跳出一個(gè)安全提示框(如圖3)，提示你不能刪除用戶。這是因?yàn)樵撐募�夾所在的分區(qū)或文件夾，它們所隸屬的該用戶并未被刪除，所以不能執(zhí)行刪除操作(但可執(zhí)行添加操作)。這時(shí)應(yīng)切斷子文件夾對(duì)父系文件夾權(quán)限的繼承，具體操作如下：

安全提示框

　　在“屬性”的“安全”欄點(diǎn)擊“高級(jí)”按鈕，在“權(quán)限”標(biāo)簽欄下取消“從父項(xiàng)繼承那些可以應(yīng)用到子對(duì)象的權(quán)限項(xiàng)目，包括那些在此明確定義的項(xiàng)目”復(fù)選框(如圖4)。確定后會(huì)跳出一個(gè)安全提示框，選“復(fù)制”按鈕，完成操作。這樣就能夠執(zhí)行刪除操作了。

權(quán)限項(xiàng)目

　　注意：以上所有操作，均要求用戶以管理員或是其組成員身份登錄系統(tǒng)。

　　上面介紹的方法主要針對(duì)單個(gè)電腦的多用戶使用問(wèn)題，如此配置完成后，應(yīng)該能為你的電腦在開(kāi)放的環(huán)境中保證一定的安全。