攘外必先安内 改改Windows 2000/XP的安全登录设置

　　一、管理员帐号的重命名
    首先，应该将管理员账号（Administrator）施以“易容术”（重命名），这样就可以防止一些穷举密码工具的骚扰。比如说我的管理员账号改名为“你的仆人”，这样就算有无聊的人想搞破坏，由于不知道我的系统管理员帐号名称，所以无法“篡位”成功。
    1.鼠标右键单击“我的电脑”图标，在弹出菜单上单击“管理”菜单项；
    2.在随后打开的“计算机管理”窗口左侧的控制台树定位到“计算机管理→系统工具→本地用户和组→用户”分支；
    3.在右面的详细窗格里用鼠标右键单击管理员账号，在弹出菜单上选择“重命名”菜单项即可。

　　二、不显示上次登录的用户名
    前面说到为了防止恶意穷举登录密码，特地把管理员账号改名，但是光这样还没有从根本上防止黑客恶意猜出管理员帐号，因为系统会默认显示上一次的登录名，所以我们要禁用这个功能。
    1.依次单击“‘开始’菜单→管理工具→‘本地安全策略’策略”，即可打开“本地安全设置”窗口（图1）；
    2.在左侧控制台树里定位到“安全设置→本地策略→‘安全选项’”分支，然后在右侧详细窗格里定位到“交互式登录 不显示上次的用户名”项目，并双击它；
    3.在打开的属性设置对话框里选择“已启用”单选框，然后单击“确定”按钮即可（图2）。
    为了防止某些木马程序“乔装打扮”成系统登录界面来骗取帐号、密码，我们可以强制用户必须按Ctrl+Alt+Del调出登录窗口，方法是双击“交互式登录 不需要按Ctrl＋Alt＋Del”项目，然后选择“已停用”单选框即可。
    利用本地安全策略还可以对审核事件进行设置。记住，完善的安全日志能够帮助我们更好地分析安全问题。但是Windows 2000/XP缺省不纪录任何审核事件，我们可以根据需要启用相关项目的安全日志记录。具体方法是在控制台树上定位到“本地策略 →‘审核策略’”分支，比如我们要对登录事件进行审核，只需双击该项目，然后勾选“成功”和“失败”复选框即可。这样我们可以很方便地追查系统登录的情况，最大限度地防止黑客入侵。

　　三、不允许管理员帐号“出差”
    大家知道，在linux/UNIX里root用户帐号（超级用户）是无法进行远程登录的，这样就确保黑客们无法获得对系统的最大控制权。然而Windows在确省状态下允许用户使用管理员组的帐号进行远程登录，尽管这方便了用户的远程管理，却也给黑客开了安全之门。不过现在Windows XP已经从UNIX那里“偷师”了这个绝招，下面就让它来“秀”一下吧！

1.依次单击“‘开始’菜单→管理工具→‘本地安全策略’策略”，即可打开“本地安全设置”窗口；
    2.在左侧控制台树里定位到“安全设置→本地策略→‘用户权利指派’”分支；
    3.双击右侧详细窗格里的“拒绝从网络访问这台计算机”选项，即可弹出如图3所示的对话框；
    4.可以看到里面已经默认有一个SUPPORT_388945a0帐户，这是一个帮助和支持服务的提供商帐户，现在我们要添加管理员组，先是单击“添加用户或组”按钮；
    5.在弹出的“选择用户或组”对话框上单击“对象类型”按钮，然后在弹出的对话框上确保勾选“组”复选框（图4）；
    6.单击“确定”按钮回到“选择用户或组”对话框，单击其上的“高级”按钮，然后单击“立即查找”按钮，即可在其下的列表里出现本地计算机的所有用户和组（图5）；
    7.选中其中的“Administrators”选项（注意并不是Administrator，表示管理员用户组）。然后连续单击两次“确定”按钮，即可返回如图6所示的对话框，单击“确定”按钮即可。

    好了，现在管理员组的成员已经被勒令只能乖乖地待在家里，想要从网络登录？没门！