扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:zdnet安全频道 来源:论坛整理 2008年9月15日
关键字: Windows Vista Vista
Vista是多用户系统,我们可以拥有一个或者多个帐户。选择相应的帐户登录系统是大家最熟悉不过的事情了,但是你真的非常了解这些帐户吗?也许它就是我们最熟悉的陌生人。
一、等级森严的帐户
相对以前的Windows系统Vista在帐户管理方面有了很大的改变,其帐户等级森严,权限分配更加细化,安全性也更高。
1、Guest帐户
Guest是Vista中权限最低的帐户,默认情况下它是禁用的。对于这个帐户大家容易忽略,其实它并不是可有可无的,在局域网的网络共享中和某些特殊环境下会用到它。
(1).激活Guest帐户
以管理员身份运行命令提示符(cmd.exe),输入命令“net user guest /active:yes”即可激活Guest。(图1)
(2).Guest帐户改名
Guest帐户默认是空密码,这带有一定的安全隐患,因为攻击者可以通过提权等操作利用默认的guest帐户入侵系统,给Guest帐户改名是个不错的方法。因为是系统默认帐户,在常规情况下是没法改名的,我们可以通过组策略来完成。其操作步骤是:
“开始→运行”,在其中输入Secpol.msc回车打开“本地安全策略”,在左侧窗格中依次展开“安全设置→本地策略→安全选项”,在右侧找到并双击打开“帐户:重命名来宾帐户”,然后在其中输入新的名称比如gslw即可。(图2)
(3).添加输入法
有的时候我们用Guest帐户登录系统进行某些操作,但Vista系统在默认情况下,使用来宾(guest)帐户登录,在任务栏是不会显示输入法图标,这为我们的操作带了了不变,其实我们可以通过下面操作在任务栏中显示输入法图标。“开始→运行”,在其中输入ctfmon回车后就会任务栏中出现输入法图标。(图3)
2、Administrator帐户
Administrator是Vista系统的特殊管理员帐户,它不同一其他管理员组的用户有某些特殊权限,出于安全考虑它在默认情况下是禁用的。在进行系统相关的操作是我们需要管理员权限才能进行,因此需要开启该帐户。
(1).激活Administrator帐户
“开始→运行”输入msconfig打开“系统配置实用程序”,点击“工具”选项卡,选择“UAC”然后选择禁用。重启系统后,在当前用户的命令提示符下输入命令“net user administrator /active:yes”即可激活Administrator。(图4)
(2).重命名
和Guest一样Administrator是系统用户,默认情况下它也是空密码,我们除了要为其设置密码外,安全其间最好为其改名,这样可以防止对其密码的暴力破解。
“开始→运行”,在其中输入Secpol.msc回车打开本地安全组策略,在左侧窗格中依次展开“安全设置→本地策略→安全选项”,在右侧找到并双击打开“帐户:重命名系统管理员帐户”,然后在其中输入新的名称比如Admin即可。(图5)
3、System帐户
System是Vista系统中拥有最高的权限的帐户,我们是没有办法用其登录系统的,这个和2000/XP/2003类似,但是在Vista以前的系统中我们可以变通地让某些系统组件以System权限运行,但这在Vista中却无法实现,可见Vista对System的权限进行了加强。
比如在XP的命令提示符(cmd.exe)中输入命令“taskkill /f /im explorer.exe” 结束当前账户的explorer即图形用户界面的Shell。然后在命令提示符下继续输入“at time /interactive %systemroot%\explorer.exe”并回车。其中“time”为当前系统时间稍后的一个时间,比如间隔一秒,当前系统时间可以在命令提示符下输入“time”命令获得。一秒钟后会重新加载用户配置,以SYSTEM身份启动Windows的shell进程Explorer.exe,获得一个具有System权限的图形用户界面。
经过笔者测试,这在Vista中是无法实现的见图6。因为Vista的安全增强功能使得本地用户不能以交互方式运行计划任务,只有运行在System权限下的服务才可以选择“允许服务与桌面交互”。这样的限制加强了Vista的安全,能够有效防止提权。(图6)
二、帐户的安全
在Vista中每个帐户都有自己的配置文件系统环境,都绑定了权限。保护帐户的安全除了设置强壮的密码外,还有如下保障措施。
1.帐户锁定
当Vista帐户密码不够“强壮”时,非法用户很容易通过多次重试“猜”出用户密码而登录系统,存在很大的安全风险。那如何来防止黑客猜解或者爆破系统密码呢?
其实,要避免这一情况,通过组策略设置帐户锁定策略即可完美解决。此时当某一用户尝试登录系统输入错误密码的次数达到一定阈值即自动将该帐户锁定,在帐户锁定期满之前,该用户将不可使用,除非管理员手动解除锁定。其设置方法如下:
在开始菜单的搜索框输入“Gpedit.msc”打开组策略对象编辑器,然后依次点击定位到“计算机设置→Windows设置→安全设置→帐户策略→帐户锁定策略”策略项下。双击右侧的“帐户锁定阈值”,此项设置触发用户帐户被锁定的登录尝试失败的次数。该值在0到999之间,默认为0表示登录次数不受限制。大家可以根据自己的安全策略进行设置,我们设置为5。(图7)
2、记录帐户登录
一般情况下,用户对自己的计算机使用情况都比较熟悉,比如你会记得上一次你登录系统的大概时间。如果用户还能让Vista也记录下登录信息,然后你在每次登录系统时,将前后两次的时间比较一下,如果发现时间不一致,这就说明有人曾经试图非法登录你的帐户。
实现这一登录样式其实一点都不难。运行组策略对象编辑器,依次展开“计算机配置”→“管理模块”→“Windows组件”→“登录选项”,然后在右侧对话框中选中并双击“在用户登录期间显示有关以前登录的信息”,然后在弹出的对话框中点选“已启用”即可。设置完毕后,当你下次启动计算机时,系统就会在用户进入系统桌面前提示你上次的登录时间了。(图8)
3、清除帐户信息
Vista会自作主张地记录用户的某些登录的密码信息,比如“路由器、交换机管理密码”、“远程桌面连接”、“网站密码”、“MSN/ Live Messenger 密码”这些信息存在一定安全隐患,可以被人在本地获取,我们需要清除这些记录。
“开始→运行”输入“control userpasswords2”打开“用户帐户”窗口,在“高级”选项卡下点击“管理密码”打开“存储的用户名和密码”窗口,在其中的文本框中记录了用户登录的帐户和密码等信息,可以根据自己的需要选择相应的项然后删除。(图9)
三、帐户使用
1、实现自动登录
Windows Vista默认设置要求用户进入系统前需输入用户名与密码,以加强系统安全性。不过,作为个人用户,在每次登录Vista的时候输入密码是一件很烦的事情,显得有些多此一举,直接让Vista自动以默认用户的身份登录系统也许是更佳的选择。
不需要第三方软件通过下面的操作就可以实现Vsita的自动登录:以默认用户自动登录Vista,然后执行“开始→搜索”,在搜索框输入“netplwiz” 按回车打开“高级用户”控制面板。在该控制面板中,取消对“要使用本机,用户需输入用户名和密码(E)”项的勾选,系统将弹出窗口要求输入默认登录系统的用户名和密码,输入完成后点击“确定”。最后重启Vista,即可实现不用输入密码,自动以默认用户登录系统。(图10)
2、帐户名称困惑
我们通过Vista的“控制面板→用户帐户”更改了用户名之后,会奇怪地发现在任务管理器的“用户”选项卡中看到的还是原来的用户名。在命令行窗口里面运行net user,列出系统中所有用户的时候,发现也是这个情况。这是让很多人困惑,是什么原因呢?
原来,Windows的用户帐户名有两个标识,分别是“名称”和“全名”。在第一次创建帐户时,这两者是完全一样的。如果在Vista系统的“控制面板→用户帐户”中更改用户名,则更改的是用户帐户的全名,而不是名称。更改后在系统登录界面看到的是用户帐户的全名,而在任务管理器中看到的是用户帐户的名称,造成了不一致。
解决的办法是“开始→运行”输入lusrmgr.msc打开“本地用户好组”工具,然后点击“用户”,选择相应的用户点击右键选择“属性”打开该用户的属性窗口,在“全名”右侧的文本框中可以进行修改,使得帐户的名称和全名统一。(图11)
3、帐户环境迁移
有的时候,我们在某个帐户中完成了设置需要将部署好的设置迁移的到别的帐户中去,以避免重复设置。右键“计算机”选择“属性”点击“高级系统设置”打开“系统属性”窗口。点击“高级”选项中“用户配置文件”下的“设置”按钮打开“用户配置文件”窗口。在该窗口中我们选择相应的帐户,然后点击“复制到”按钮在打开的窗口中可以对该用户的配置文件进行保存及其将其迁移到别的帐户中。
当然,我们也可以选择性地进行迁移,比如我们要将将Vista现有帐户地区和语言设置应用到别的帐户可以这样做。
“开始→搜索”,输入“区域和语言选项”然后选择并打开该工具,选择“管理”选项卡“复制到保留帐户”,弹出对话框其中提供了两个帐户,一个“默认用户帐户”一个是“系统帐户”。他们的用处有点不同。默认的是新建帐户,而系统帐户是为Vista服务的特殊帐户。选择一个之后“确定”“确定”就可以了。(图12)
总结:其实关于Vista的帐户还有很多秘密需要我们去探究,相信只要主动探索、深入挖掘它将不再是我们熟悉的陌生人。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者