Windows XP是一個支持多用戶帳戶的操作系統,在每個帳戶建立後,Windows XP都會分配獨立的私人空間給相應的用戶,這樣可以保證非授權用戶無法訪問其他人的私人文件,同時通過對用戶帳戶類型的設置,可以限定不同帳戶的系統操作級別,從而防止受限制的用戶修改系統配置信息,影響系統或其他用戶資料的安全。
這是Windows XP給我們帶來便利的一面,但另一方面在Windows XP默認的安裝設置下,有很多帳戶方面的安全隱患沒有解決,如當第一次安裝Windows XP時,需要我們設置自己的用戶帳戶,第一個設置的帳戶具有計算機管理員的權限,但同時系統默認的另一個具有計算機管理員權限的帳戶Administrator,在Windows XP的歡迎畫面中無法看到,由於其初始密碼為空,所以如果不關閉Administrator帳戶或者修改Administrator帳戶密碼,別人就可以使用Administrator帳戶獲得計算機的最高使用權限,對計算機安全造成重大隱患,因此需要修改Windows XP帳戶的相關設置,才能保證用戶帳戶的安全達到最大化。
一、了解Windows XP用戶帳戶
Windows XP默認的用戶帳戶主要包括兩大類:計算機管理員帳戶與受限帳戶,計算機管理員通過給予不同用戶名不同的帳戶類型,達到用戶權限分配的目的。但這只是Windows XP默認的一種用戶權限分配方法,當你需要對具體的權限進行修改時,就需要了解用戶、組和用戶權利指派的概念。Windows XP將利用組策略的方式列出具體的權利,通過用戶權限指派將權限賦予到相應的組,每個組都是一定數量權限的組合,再將每個用戶帳戶劃歸到組中,每個用戶帳戶可以歸屬多個組,這樣就可以在用戶帳戶與具體的權利之間建立關聯。
二、用權利打造帳戶“防火牆”第一關
保護系統和每個用戶的使用安全,首先就是明確每個用戶的權限,防止因越權使用,破壞其他用戶或系統權限。
1.關閉系統默認的Administrator和Guest帳戶
為了防止別人使用軟件(如Windows Key)破解修改Administrator帳戶的密碼,避免匿名登錄,所以需要先關閉以上兩個帳戶。
用一個非Administrator的計算機管理員級的帳戶登錄到Windows XP(以下介紹的操作如無特別說明都是使用非Administrator的計算機管理員級帳戶登錄Windows XP系統),打開“控制面板”→“管理工具”→“計算機管理”。
點擊“系統工具”→“本地用戶和組”→“用戶”,雙擊用戶列表框中“Administrator”帳戶,在“Administrator屬性”窗口中,勾選“帳戶已停用”(如圖1),再點擊“隸屬於”,選中“Administrators”,點擊“刪除”,這樣Administrator帳戶被停用,其計算機管理員的權限也被剝奪了。
在注冊表編輯器中,選中HKEY_LOCAL _MACHINE,單擊右鍵,選擇菜單“權限”,打開“HKEY_ LOCAL_MacHINE的權限”窗口,選中“Users”,勾去“Users的權限”下的“讀取”項(如圖3)。這樣就可以防止普通用戶修改注冊表使安全模式恢復正常。
3.限制計算機管理員帳戶數量
在建立Windows XP用戶帳戶時,應盡可能減少擁有計算機管理員級別的帳戶數量,這樣別人獲取高級權限的機會也會減少。如果普通用戶對自己的權限感到不滿意,作為計算機管理員可以通過新建組或者修改原來組的權利的方式,讓普通用戶獲得一定程度的權利提升。
登錄到Windows XP,從“控制面板”→“管理工具”→“本地安全策略”打開“本地安全設置”,點擊“本地策略”→“用戶權利指派”(如圖4),單擊需要增加的權利策略,在彈出的屬性窗口中,點擊“添加用戶或組”,再選擇相應的組名或帳戶名,然後確定即完成權利的增加。相反,如果在屬性窗口中,選中已經添加了的用戶或組,點擊“刪除”,即可收回相應的權利。
三、用密碼打造帳戶“防火牆”第二關
密碼是一種常見的帳戶登錄保護措施,但如果認為設置了密碼就萬事大吉,肯定是不行的,別人可以通過各種可能的途徑破解你的密碼,如果沒有對帳戶進行鎖定設置,任何人都可以使用枚舉法進行逐個密碼的破解操作,直到試成功為止,雖然這種方法不一定非常有效,但畢竟會給別人以機會。所以我們的密碼“防火牆”的目標是:不給別人機會。
1.密碼設置要復雜
為了防止普通用戶隨意設置密碼,我們就需要使用安全策略強制其設置符合復雜性要求的密碼,以增加破解的難度。
登錄到Windows XP,從“控制面板”→“管理工具”→“本地安全策略”打開“本地安全設置”,點擊“帳戶策略”→“密碼策略”,雙擊策略列表中“密碼必須符合復雜性要求”(如圖5),在屬性窗口中選擇“已啟用”,確定。再雙擊策略列表中“密碼長度最小值”,在屬性窗口中設置密碼最少為8個字符。
小提示:帳戶密碼符合復雜性要求時,密碼必須至少為6個字符,不包含全部或部分的用戶帳戶名,包含來自以下四個類別中的三個的字符: 英文大寫字母(從 A 到 Z)、英文小寫字母(從 a 到 z)、數字(從 0 到 9)和非字母字符(如!、$、#、%)等。
2.帳戶鎖定,防止破解