帳號管理游刃有余

在網(wǎng)絡(luò)環(huán)境中，計(jì)算機(jī)系統(tǒng)總會(huì)不可避免地受到黑客或木馬程序的襲擊。而黑客、木馬程序襲擊系統(tǒng)經(jīng)常采用的方法，就是想方設(shè)法竊取計(jì)算機(jī)系統(tǒng)中的賬號密碼，并通過竊取到手的賬號暗中進(jìn)行各種破壞操作，由于該方法有很強(qiáng)的隱蔽性，常常能夠有效躲避殺毒軟件或其他安全工具的查殺。所以，我們應(yīng)該在平時(shí)加強(qiáng)對系統(tǒng)用戶賬號的管理，不讓用戶賬號隨意被黑客、木馬程序非法利用!

控制帳號遠(yuǎn)程登錄權(quán)限

在局域網(wǎng)工作環(huán)境中，為了方便其他用戶訪問共享資源，我們往往要在本地系統(tǒng)中事先為其他用戶創(chuàng)建好不同的共享帳號，允許他們合法登錄本地系統(tǒng)。不過，在同時(shí)存在多個(gè)用戶帳號的情況下，很容易發(fā)生其他帳號意外登錄本地系統(tǒng)執(zhí)行惡意操作的現(xiàn)象，所以我們應(yīng)該對這些共享帳號的遠(yuǎn)程登錄權(quán)限進(jìn)行嚴(yán)格控制，下面就是具體的控制步驟：

首先依次單擊本地系統(tǒng)中的“開始”I“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，輸入“gpedit.msc”命令，單擊回車鍵后，進(jìn)入到系統(tǒng)組策略編輯界面。在該編輯界面的左側(cè)顯示區(qū)域中，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”I“計(jì)算機(jī)配置”I“window s設(shè)置”I“安全設(shè)置”I“本地策略”I“用戶權(quán)力指派”節(jié)點(diǎn)上，找到該節(jié)點(diǎn)下的“在本地登錄”組策略選項(xiàng)。

其次用鼠標(biāo)雙擊目標(biāo)組策略選項(xiàng)，打開的選項(xiàng)設(shè)置對話框，在這里我們能看到可以登錄本地系統(tǒng)的所有用戶帳號信息，將其中的“users”組帳號選中，并按“刪除”按鈕，將目標(biāo)組帳號從允許登錄的用戶列表中刪除。當(dāng)然，按照同樣的操作方法，將其他不信任的用戶帳號也依次刪除掉。

接著按下“添加用戶或組”按鈕，切換到帳號選擇對話框，從中選擇并導(dǎo)入能遠(yuǎn)程登錄本地系統(tǒng)的合法帳號名稱，該帳號可以是域用戶賬號，只是在這里不能將本地系統(tǒng)管理員帳號添加到拒絕登錄用戶列表中。

下面返回到“本地計(jì)算機(jī)策略”I“計(jì)算機(jī)配置”I“Windows設(shè)置”I“安全設(shè)置”I“本地策略”I“用戶權(quán)力指派”節(jié)點(diǎn)上，找到該節(jié)點(diǎn)下的“拒絕本地登錄”組策略選項(xiàng)，用鼠標(biāo)雙擊該組策略選項(xiàng)，在其后彈出的選項(xiàng)設(shè)置對話框中單擊“添加用戶或組”按鈕，將不允許登錄本地系統(tǒng)的用戶賬號選中導(dǎo)入進(jìn)來。只是要提醒大家的是，拒絕本地登錄列表中的用戶賬號擁有更高的優(yōu)先權(quán)，對于同時(shí)出現(xiàn)在允許登錄和禁止登錄列表中的用戶來說，則以禁止登錄列表中的賬號信息為準(zhǔn)。經(jīng)過上述設(shè)置，我們就能輕松控制用戶賬號的遠(yuǎn)程登錄權(quán)限了。

不讓重點(diǎn)賬號顯示出來

在多位用戶共同使用同一臺(tái)計(jì)算機(jī)的情況下，當(dāng)系統(tǒng)啟動(dòng)成功后，我們會(huì)看到所有的用戶賬號名稱會(huì)同時(shí)顯示在登錄界面中。為了安全起見，我們有時(shí)需要將一些重要的用戶賬號名稱隱藏起來，這該如何實(shí)現(xiàn)呢?很簡單，可以按照如下步驟來操作：

首先依次單擊本地系統(tǒng)中的“開始”I“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，輸入“regedit”命令，單擊回車鍵后，進(jìn)入到系統(tǒng)注冊表編輯界面。在該編輯界面的左側(cè)顯示區(qū)域中，將鼠標(biāo)定位到HKEY—LoCALMACHINENSOFTWARE＼Microsoft＼Windows NT＼CurrentVersionXWinlogon＼SpecialAccounts＼UserList節(jié)點(diǎn)上，在該節(jié)點(diǎn)下面我們能看到所有用戶賬號的列表信息通過對它們的屬性信息進(jìn)行修改調(diào)整，就能實(shí)現(xiàn)隱藏或顯示用戶賬號的目的了。

比方說，要想讓登錄界面出現(xiàn)administrator賬號名稱，只要用鼠標(biāo)右鍵單擊UserList節(jié)點(diǎn)，依次執(zhí)行右鍵菜單中的“新建”I“Dword值”命令，并將新創(chuàng)建的雙字節(jié)鍵值取名為administrator，同時(shí)用鼠標(biāo)雙擊該鍵值，切換到編輯雙字節(jié)鍵值對話框，輸入數(shù)字“I”，單擊“確定”按鈕保存設(shè)置操作，如此一來，日后計(jì)算機(jī)系統(tǒng)重新啟動(dòng)成功后，我們就能在Windows系統(tǒng)登錄界面看到administrator賬號的“身影”了。很明顯，如果將administrator賬號的數(shù)值設(shè)置為“0”，那么該賬號日后就不會(huì)顯示在系統(tǒng)登錄界面中了。

同樣地，我們可以在UserList節(jié)點(diǎn)下，手工創(chuàng)建好與重要用戶賬號名稱相同的雙字節(jié)鍵值，并通過將該鍵值的數(shù)值設(shè)置為“0”或“1”，來實(shí)現(xiàn)控制重要用戶賬號的隱藏或顯示狀態(tài)。日后要想利用隱藏賬號登錄本地系統(tǒng)時(shí)，只要在Windows系統(tǒng)登錄界面中同時(shí)按兩下“Ctrl+Alt+Del”復(fù)合鍵，就能切換到傳統(tǒng)系統(tǒng)登錄界面，在這里輸入隱藏賬號的名稱和用戶名，就能順利完成系統(tǒng)登錄操作了。

巧妙提升賬號操作權(quán)限

大家知道，在Windows系統(tǒng)環(huán)境下，除了guest、administrator等系統(tǒng)賬號外，其實(shí)還有一個(gè)非常特別的用戶賬號，該賬號就是system賬號，它的操作權(quán)限甚至比administrator賬號還要高。不過，與普通的用戶賬號相比，我們往往無法直接使用該賬號登錄系統(tǒng)；其實(shí)，該用戶賬號早已經(jīng)隱藏到Window s系統(tǒng)中了，甚至連校驗(yàn)用戶登錄系統(tǒng)的Lsass、Winlogon等特殊進(jìn)程也都是以system賬號運(yùn)行的。那么，有沒有辦法將自己的用戶賬號操作權(quán)限提升為system賬號權(quán)限呢?

要想讓系統(tǒng)切換到system賬號權(quán)限狀態(tài)，必須要借助“psexec”這樣的小工具才能完成。首先同時(shí)按下鍵盤中的Ct rI+Alt+Del復(fù)合鍵，并單擊“啟動(dòng)任務(wù)管理器”按鈕，彈出任務(wù)管理器窗口，點(diǎn)選其中的“進(jìn)程”標(biāo)簽，打開對應(yīng)標(biāo)簽設(shè)置頁面，從中找到并選中“explorer，exe”進(jìn)程選項(xiàng)，再用鼠標(biāo)右鍵單擊該選項(xiàng)，執(zhí)行右鍵菜單中的“結(jié)束進(jìn)程”命令，將“explorer.exe”進(jìn)程強(qiáng)行關(guān)閉掉。

其次選擇“應(yīng)用程序”標(biāo)簽，單擊對應(yīng)標(biāo)簽設(shè)置頁面中的“新任務(wù)”按鈕，在命令文本框中輸入代碼“f：＼a a a＼Psexec—s—i—dexplorer”，其中假設(shè)Psexec程序被解壓保存到“f：＼aa a”文件夾中了，單擊“確定”按鈕后，“explorer，exe”進(jìn)程就會(huì)被自動(dòng)重新啟動(dòng)，之后我們使用的用戶賬號就具有system賬號權(quán)限了。

賬號管理界面巧妙修復(fù)

依次單擊“開始”I“控制面板”命令，單擊控制面板窗口中的用戶賬戶圖標(biāo)，就能在賬戶管理頁面中對所有賬號進(jìn)行管理操作了。其實(shí)，賬戶管理頁面是一個(gè)簡單的html頁面，該頁面中的每個(gè)功能選項(xiàng)都是html超級鏈接。所以，Windows系統(tǒng)的用戶賬戶管理頁面很容易受到損壞，例如，有的時(shí)候打開該頁面時(shí)，會(huì)發(fā)現(xiàn)該程序界面一片空白，同時(shí)系統(tǒng)會(huì)彈出參數(shù)無效之類的錯(cuò)誤。出現(xiàn)這種類型的錯(cuò)誤，多半是Windows系統(tǒng)中有關(guān)html顯示的動(dòng)態(tài)鏈接庫文件注冊狀態(tài)受到了破壞。此時(shí)，我們可以嘗試按照如下操作步驟，來巧妙修復(fù)受損的賬號管理界面：

首先依次單擊本地系統(tǒng)中的“開始”I“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，輸入“cmd”命令，單擊回車鍵后，切換到DOS命令行狀態(tài)，在該狀態(tài)下輸入字符串命令“regsvr32／soymu—uo＼system32＼jscript。dll”，單擊回車鍵后，重新注冊一下jscript.dlI動(dòng)態(tài)鏈接庫文件。

按照同樣的操作方法，在DO S命令行狀態(tài)下，分別重新注冊一下mshtml，dll、vbscript.dll、themeui.dil、nusrmgr.cpl等系統(tǒng)文件，最后重新啟動(dòng)計(jì)算機(jī)系統(tǒng)，就能發(fā)現(xiàn)受損的賬號管理界面已經(jīng)被成功修復(fù)了。

控制用戶賬號登錄時(shí)間

大家知道，Windows系統(tǒng)默認(rèn)狀態(tài)下不會(huì)對合法用戶賬號的登錄時(shí)間進(jìn)行限制，允許其長期訪問操作。可是，在多位用戶共同使用同一臺(tái)計(jì)算機(jī)的情況下，我們有時(shí)希望對一些普通權(quán)限的用戶賬號登錄系統(tǒng)時(shí)間進(jìn)行有效控制，以提高系統(tǒng)運(yùn)行安全性。要做到這一點(diǎn)，可以借助LoginSentinel Free這樣的外力工具來幫忙。

首先從網(wǎng)上下載獲得LoginSentinel Free程序，并對其進(jìn)行常規(guī)安裝，安裝結(jié)束后直接啟動(dòng)運(yùn)行它，單擊主程序界面中的“Time restrictions”按鈕。之后，在“User”下拉列表中，我們將看到本地系統(tǒng)中的所有用戶賬號名稱，從中點(diǎn)選自己想要對其進(jìn)行控制的目標(biāo)用戶賬號。

當(dāng)選中某個(gè)用戶賬號后，在顯示時(shí)間表格設(shè)置區(qū)域，我們會(huì)看到縱坐標(biāo)單位為星期，橫坐標(biāo)單位為小時(shí)，每一個(gè)時(shí)間格單位為30分鐘，當(dāng)將某個(gè)時(shí)間格顏色調(diào)整為紅色時(shí)，那就意味著在對應(yīng)時(shí)間段內(nèi)禁止被選中的用戶賬號登錄訪問系統(tǒng)，我們可以根據(jù)實(shí)際訪問需求，逐一將合適時(shí)間格的顏色設(shè)置為紅色，組成禁止訪問系統(tǒng)時(shí)間段。如果要對連續(xù)的時(shí)間格進(jìn)行設(shè)置時(shí)，可以直接用拖動(dòng)鼠標(biāo)左鍵的方法來進(jìn)行快速設(shè)置，以便提高操作效率。

在紅色時(shí)間格內(nèi)，目標(biāo)用戶賬號是不能正常登錄本地系統(tǒng)的。要是目標(biāo)用戶賬號之前已經(jīng)在訪問系統(tǒng)，當(dāng)訪問時(shí)間到達(dá)紅色時(shí)間格后，Login Sentinel Free程序?qū)?huì)強(qiáng)行將當(dāng)前登錄賬號注銷掉，并自動(dòng)對計(jì)算機(jī)執(zhí)行關(guān)機(jī)操作。當(dāng)然，要提醒大家的是，完成設(shè)置后必須單擊“Save usersettings”按鈕來執(zhí)行設(shè)置保存操作，才能讓上述操作正式生效。如果想暫時(shí)取消目標(biāo)用戶賬號的登錄時(shí)間限制設(shè)置時(shí)，只要單擊設(shè)置界面中的“Remove user settings”按鈕即可。同樣地，我們可以依次為其他用戶賬號設(shè)置合適的系統(tǒng)登錄時(shí)間。

借用外力移除克隆賬號

黑客或木馬程序借助系統(tǒng)漏洞成功攻擊主機(jī)后，常常會(huì)進(jìn)行克隆賬號操作。在進(jìn)行克隆操作時(shí)，首先是激活系統(tǒng)中的一個(gè)缺省賬號，并借助專業(yè)工具提升缺省賬號的操作權(quán)限，我們從表面上看，會(huì)發(fā)現(xiàn)克隆賬號和缺省賬號并無二樣，顯然克隆賬號的隱蔽性非常強(qiáng)，因此它的安全威脅也特別大，黑客或木馬程序經(jīng)常會(huì)利用該賬號對本地系統(tǒng)進(jìn)行暗中控制。那么我們該怎樣才能在第一時(shí)間揪出潛藏在本地系統(tǒng)中的克隆賬號呢?借助外力工具LP-Check，我們就能十分方便地找到并移除安全威脅比較大的系統(tǒng)克隆賬號了。

按照常規(guī)方法下載安裝好外力工具LP—Check后，從系統(tǒng)開始菜單中打開該程序界面，默認(rèn)狀態(tài)下，本地系統(tǒng)中的所有用戶賬號都會(huì)自動(dòng)顯示在該界面中(如圖6所示)，要是某個(gè)用戶賬號的“result”列中出現(xiàn)了“Shadow Administrator”字眼時(shí)，那就意味著該用戶賬號已經(jīng)被悄悄克隆了，而且LP_Check程序還會(huì)自動(dòng)將克隆賬號的數(shù)量統(tǒng)計(jì)并顯示出來。

找打克隆賬號后，我們又該如何將它從系統(tǒng)中徹底移除呢?考慮到本地系統(tǒng)中的所有用戶賬號信息都已經(jīng)存儲(chǔ)在系統(tǒng)注冊表中了，我們可以使用systemNi號權(quán)限來徹底移除安全威脅比較大的克隆賬號。按照之前介紹的方法，將系統(tǒng)狀態(tài)切換到system賬號權(quán)限下，依次單擊“開始”I“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，輸入“regedit”命令，單擊回車鍵后，進(jìn)入到系統(tǒng)注冊表編輯界面，將鼠標(biāo)定位到HKEY—LOCAL_MACHINE＼SAM＼SAM＼Domains＼Account＼Users＼Names節(jié)點(diǎn)上，在目標(biāo)節(jié)點(diǎn)下就能看到包含克隆賬號在內(nèi)的所有潛藏用戶賬號了，將之前找到的克隆賬號選中并刪除，再重新啟動(dòng)計(jì)算機(jī)系統(tǒng)即可。

強(qiáng)制顯示上次登錄賬號

在多賬號系統(tǒng)環(huán)境下，如果我們想了解上一次究竟是哪位用戶賬號登錄系統(tǒng)時(shí)，該如何查看呢?其實(shí)，Vista以上版本操作系統(tǒng)新推出了“在用戶登錄期間顯示有關(guān)以前登錄的信息”功能，我們可以巧妙借助這項(xiàng)功能，來強(qiáng)制系統(tǒng)顯示以前登錄系統(tǒng)的狀態(tài)信息，包括以前登錄系統(tǒng)的用戶賬號名稱等，要是發(fā)生陌生賬號的身影時(shí)，就應(yīng)該及時(shí)刪除它，防止它威脅本地系統(tǒng)的正常安全，下面就是啟用強(qiáng)制登錄顯示功能的具體操作步驟：

首先逐一點(diǎn)選“開始”I“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，在其中執(zhí)行“gpedit.msc”命令，彈出系統(tǒng)組策略編輯窗口。該編輯窗口的左側(cè)區(qū)域，將鼠標(biāo)定位到“計(jì)算機(jī)配置”I“管理模板”I“windows組件”I“Windows登錄選項(xiàng)”節(jié)點(diǎn)上，找到該節(jié)點(diǎn)下的“在用戶登錄期間顯示有關(guān)以前登錄的信息”選項(xiàng)，并用鼠標(biāo)雙擊該選項(xiàng)，切換到選項(xiàng)設(shè)置對話框。

其次看看其中的“已啟動(dòng)”選項(xiàng)有沒有被選中，如果看到它還沒有處于選中狀態(tài)時(shí)，應(yīng)該重新選中它，并單擊“確定”按鈕執(zhí)行設(shè)置保存操作，這樣windows系統(tǒng)日后啟動(dòng)成功后，就會(huì)自動(dòng)顯示出上次登錄系統(tǒng)的用戶賬號以及其他狀態(tài)信息了，要是有陌生賬號在本次登錄系統(tǒng)之前悄悄登錄過計(jì)算機(jī)系統(tǒng)，那么我們就能及時(shí)發(fā)現(xiàn)它的身影，并能了解到它的登錄時(shí)間了，之后立即刪除陌生用戶賬號即可。

自動(dòng)監(jiān)控賬號創(chuàng)建操作

黑客、木馬程序常常會(huì)偷偷在系統(tǒng)后臺(tái)創(chuàng)建用戶賬號，而且創(chuàng)建成功的用戶賬號不容易被人及時(shí)發(fā)現(xiàn)。為了保護(hù)系統(tǒng)運(yùn)行安全，我們應(yīng)該想辦法監(jiān)控用戶賬號偷偷創(chuàng)建操作，保證可以及時(shí)揪出陌生用戶賬號。事實(shí)上，通過Wiaqdows 7系統(tǒng)事件查看器內(nèi)置的附加任務(wù)到事件功能，就能輕松實(shí)現(xiàn)對偷偷創(chuàng)建用戶賬號動(dòng)作進(jìn)行自動(dòng)報(bào)警提示，根據(jù)報(bào)警提示我們自然就能在第一時(shí)間發(fā)現(xiàn)陌生賬號了。下面就是自動(dòng)監(jiān)控用戶賬號創(chuàng)建操作的具體設(shè)置過程：

首先逐一點(diǎn)選“開始”I“控制面板”I“管理工具”I“本地安全策略”選項(xiàng)，切換到安全策略設(shè)置界面，在該界面左側(cè)顯示區(qū)域，展開“本地策略”I“審核策略”節(jié)點(diǎn)，打開該節(jié)點(diǎn)下的“審核賬戶管理”選項(xiàng)設(shè)置對話框，選擇“成功”、“失敗”等選項(xiàng)，單擊“確定”按鈕保存設(shè)置操作，這樣Windows 7系統(tǒng)就能自動(dòng)記憶保存用戶賬戶管理方面的任何變化了，包括用戶賬號的創(chuàng)建、刪除等事件。

其次將報(bào)警提示任務(wù)附加到用戶賬號創(chuàng)建事件上，實(shí)現(xiàn)即時(shí)報(bào)警的功能。在附加報(bào)警提示任務(wù)到事件上時(shí)，可以用鼠標(biāo)右擊Windows 7系統(tǒng)的“計(jì)算機(jī)”圖標(biāo)，從彈出的快捷菜單中選擇“管理”命令，彈出計(jì)算機(jī)管理窗口，展開該窗口左側(cè)區(qū)域中的“本地用戶和組”I“用戶”節(jié)點(diǎn)，在該節(jié)點(diǎn)下自由創(chuàng)建一個(gè)用戶賬號。之后，依次單擊“開始”I“控制面板”I“管理工具”I“事件查看器”選項(xiàng)，切換到事件查看器窗口，依次展開“Windows日志”I“安全”節(jié)點(diǎn)，選中并用鼠標(biāo)右鍵單擊之前創(chuàng)建的用戶賬號事件，從右鍵菜單中點(diǎn)選“將任務(wù)附加到此事件”命令，彈出附加任務(wù)向?qū)υ捒颍勒漳J(rèn)提示單擊“下一步”按鈕，打開設(shè)置對話框，選擇“顯示消息”選項(xiàng)，同時(shí)定義好消息提示標(biāo)題與內(nèi)容，再單擊“完成”按鈕返回。

這樣，黑客、木馬程序日后只要在Windows 7系統(tǒng)中偷偷創(chuàng)建用戶賬號，我們就能立即看到之前設(shè)置好的報(bào)警提示，根據(jù)報(bào)警提示時(shí)間和內(nèi)容，就能知道系統(tǒng)中有陌生賬號被偷偷創(chuàng)建了，這時(shí)應(yīng)該進(jìn)入用戶賬號管理界面，找出陌生的用戶賬號，將它們立即刪除或停用，也可以修改陌生賬號的密碼。