一、等級森嚴的帳戶
相對以前的Windows系統Vista在帳戶管理方面有了很大的改變,其帳戶等級森嚴,權限分配更加細化,安全性也更高。
1、Guest帳戶
Guest是Vista中權限最低的帳戶,默認情況下它是禁用的。對于這個帳戶大家容易忽略,其實它并不是可有可無的,在局域網的網絡共享中和某些特殊環境下會用到它。
(1).激活Guest帳戶
以管理員身份運行命令提示符(cmd.exe),輸入命令“net user guest /active:yes”即可激活Guest。(圖1)
(2).Guest帳戶改名
Guest帳戶默認是空密碼,這帶有一定的安全隱患,因為攻擊者可以通過提權等操作利用默認的guest帳戶入侵系統,給Guest帳戶改名是個不錯的方法。因為是系統默認帳戶,在常規情況下是沒法改名的,我們可以通過組策略來完成。其操作步驟是:
“開始→運行”,在其中輸入Secpol.msc回車打開“本地安全策略”,在左側窗格中依次展開“安全設置→本地策略→安全選項”,在右側找到并雙擊打開“帳戶:重命名來賓帳戶”,然后在其中輸入新的名稱比如gslw即可。(圖2)
(3).添加輸入法
有的時候我們用Guest帳戶登錄系統進行某些操作,但Vista系統在默認情況下,使用來賓(guest)帳戶登錄,在任務欄是不會顯示輸入法圖標,這為我們的操作帶了了不變,其實我們可以通過下面操作在任務欄中顯示輸入法圖標。“開始→運行”,在其中輸入ctfmon回車后就會任務欄中出現輸入法圖標。(圖3)
2、Administrator帳戶
Administrator是Vista系統的特殊管理員帳戶,它不同一其他管理員組的用戶有某些特殊權限,出于安全考慮它在默認情況下是禁用的。在進行系統相關的操作是我們需要管理員權限才能進行,因此需要開啟該帳戶。
(1).激活Administrator帳戶
“開始→運行”輸入msconfig打開“系統配置實用程序”,點擊“工具”選項卡,選擇“UAC”然后選擇禁用。重啟系統后,在當前用戶的命令提示符下輸入命令“net user administrator /active:yes”即可激活Administrator。(圖4)
(2).重命名
和Guest一樣Administrator是系統用戶,默認情況下它也是空密碼,我們除了要為其設置密碼外,安全其間最好為其改名,這樣可以防止對其密碼的暴力破解。
“開始→運行”,在其中輸入Secpol.msc回車打開本地安全組策略,在左側窗格中依次展開“安全設置→本地策略→安全選項”,在右側找到并雙擊打開“帳戶:重命名系統管理員帳戶”,然后在其中輸入新的名稱比如Admin即可。(圖5)
3、System帳戶
System是Vista系統中擁有最高的權限的帳戶,我們是沒有辦法用其登錄系統的,這個和2000/XP/2003類似,但是在Vista以前的系統中我們可以變通地讓某些系統組件以System權限運行,但這在Vista中卻無法實現,可見Vista對System的權限進行了加強。
比如在XP的命令提示符(cmd.exe)中輸入命令“taskkill /f /im explorer.exe” 結束當前賬戶的explorer即圖形用戶界面的Shell。然后在命令提示符下繼續輸入“at time /interactive %systemroot%explorer.exe”并回車。其中“time”為當前系統時間稍后的一個時間,比如間隔一秒,當前系統時間可以在命令提示符下輸入“time”命令獲得。一秒鐘后會重新加載用戶配置,以SYSTEM身份啟動Windows的shell進程Explorer.exe,獲得一個具有System權限的圖形用戶界面。
經過筆者測試,這在Vista中是無法實現的見圖6。因為Vista的安全增強功能使得本地用戶不能以交互方式運行計劃任務,只有運行在System權限下的服務才可以選擇“允許服務與桌面交互”。這樣的限制加強了Vista的安全,能夠有效防止提權。(圖6)
#p#副標題#e#
二、帳戶的安全
在Vista中每個帳戶都有自己的配置文件系統環境,都綁定了權限。保護帳戶的安全除了設置強壯的密碼外,還有如下保障措施。
1.帳戶鎖定
當Vista帳戶密碼不夠“強壯”時,非法用戶很容易通過多次重試“猜”出用戶密碼而登錄系統,存在很大的安全風險。那如何來防止黑客猜解或者爆破系統密碼呢?
其實,要避免這一情況,通過組策略設置帳戶鎖定策略即可完美解決。此時當某一用戶嘗試登錄系統輸入錯誤密碼的次數達到一定閾值即自動將該帳戶鎖定,在帳戶鎖定期滿之前,該用戶將不可使用,除非管理員手動解除鎖定。其設置方法如下:
在開始菜單的搜索框輸入“Gpedit.msc”打開組策略對象編輯器,然后依次點擊定位到“計算機設置→Windows設置→安全設置→帳戶策略→帳戶鎖定策略”策略項下。雙擊右側的“帳戶鎖定閾值”,此項設置觸發用戶帳戶被鎖定的登錄嘗試失敗的次數。該值在0到999之間,默認為0表示登錄次數不受限制。大家可以根據自己的安全策略進行設置,我們設置為5。(圖7)
2、記錄帳戶登錄
一般情況下,用戶對自己的計算機使用情況都比較熟悉,比如你會記得上一次你登錄系統的大概時間。如果用戶還能讓Vista也記錄下登錄信息,然后你在每次登錄系統時,將前后兩次的時間比較一下,如果發現時間不一致,這就說明有人曾經試圖非法登錄你的帳戶。
實現這一登錄樣式其實一點都不難。運行組策略對象編輯器,依次展開“計算機配置”→“管理模塊”→“Windows 組件”→“登錄選項”,然后在右側對話框中選中并雙擊“在用戶登錄期間顯示有關以前登錄的信息”,然后在彈出的對話框中點選“已啟用”即可。設置完畢后,當你下次啟動計算機時,系統就會在用戶進入系統桌面前提示你上次的登錄時間了。(圖8)
3、清除帳戶信息
Vista會自作主張地記錄用戶的某些登錄的密碼信息,比如“路由器、交換機管理密碼”、“遠程桌面連接”、“網站密碼”、“MSN / Live Messenger 密碼”這些信息存在一定安全隱患,可以被人在本地獲取,我們需要清除這些記錄。
“開始→運行”輸入“control userpasswords2”打開“用戶帳戶”窗口,在“高級”選項卡下點擊“管理密碼”打開“存儲的用戶名和密碼”窗口,在其中的文本框中記錄了用戶登錄的帳戶和密碼等信息,可以根據自己的需要選擇相應的項然后刪除。(圖9)
三、帳戶使用
1、實現自動登錄
Windows Vista默認設置要求用戶進入系統前需輸入用戶名與密碼,以加強系統安全性。不過,作為個人用戶,在每次登錄Vista的時候輸入密碼是一件很煩的事情,顯得有些多此一舉,直接讓Vista自動以默認用戶的身份登錄系統也許是更佳的選擇。
不需要第三方軟件通過下面的操作就可以實現Vsita的自動登錄:以默認用戶自動登錄Vista,然后執行“開始→搜索”,在搜索框輸入“netplwiz” 按回車打開“高級用戶”控制面板。在該控制面板中,取消對“要使用本機,用戶需輸入用戶名和密碼(E)”項的勾選,系統將彈出窗口要求輸入默認登錄系統的用戶名和密碼,輸入完成后點擊“確定”。最后重啟Vista,即可實現不用輸入密碼,自動以默認用戶登錄系統。(圖10)
2、帳戶名稱困惑
我們通過Vista的“控制面板→用戶帳戶”更改了用戶名之后,會奇怪地發現在任務管理器的“用戶”選項卡中看到的還是原來的用戶名。在命令行窗口里面運行net user,列出系統中所有用戶的時候,發現也是這個情況。這是讓很多人困惑,是什么原因呢?
原來,Windows的用戶帳戶名有兩個標識,分別是“名稱”和“全名”。在第一次創建帳戶時,這兩者是完全一樣的。如果在Vista系統的“控制面板→用戶帳戶”中更改用戶名,則更改的是用戶帳戶的全名,而不是名稱。更改后在系統登錄界面看到的是用戶帳戶的全名,而在任務管理器中看到的是用戶帳戶的名稱,造成了不一致。
解決的辦法是“開始→運行”輸入lusrmgr.msc打開“本地用戶好組”工具,然后點擊“用戶”,選擇相應的用戶點擊右鍵選擇“屬性”打開該用戶的屬性窗口,在“全名”右側的文本框中可以進行修改,使得帳戶的名稱和全名統一。(圖11)
3、帳戶環境遷移
有的時候,我們在某個帳戶中完成了設置需要將部署好的設置遷移的到別的帳戶中去,以避免重復設置。右鍵“計算機”選擇“屬性”點擊“高級系統設置”打開“系統屬性”窗口。點擊“高級”選項中“用戶配置文件”下的“設置”按鈕打開“用戶配置文件”窗口。在該窗口中我們選擇相應的帳戶,然后點擊“復制到”按鈕在打開的窗口中可以對該用戶的配置文件進行保存及其將其遷移到別的帳戶中。
當然,我們也可以選擇性地進行遷移,比如我們要將將Vista現有帳戶地區和語言設置應用到別的帳戶可以這樣做。
“開始→搜索”,輸入“區域和語言選項”然后選擇并打開該工具,選擇“管理”選項卡“復制到保留帳戶”,彈出對話框其中提供了兩個帳戶,一個“默認用戶帳戶”一個是“系統帳戶”。他們的用處有點不同。默認的是新建帳戶,而系統帳戶是為Vista服務的特殊帳戶。選擇一個之后“確定”“確定”就可以了。(圖12)
總結:其實關于Vista的帳戶還有很多秘密需要我們去探究,相信只要主動探索、深入挖掘它將不再是我們熟悉的陌生人。
