帳號(hào)管理游刃有余

在網(wǎng)絡(luò)環(huán)境中，計(jì)算機(jī)系統(tǒng)總會(huì)不可避免地受到黑客或木馬程序的襲擊。而黑客、木馬程序襲擊系統(tǒng)經(jīng)常采用的方法，就是想方設(shè)法竊取計(jì)算機(jī)系統(tǒng)中的賬號(hào)密碼，并通過(guò)竊取到手的賬號(hào)暗中進(jìn)行各種破壞操作，由于該方法有很強(qiáng)的隱蔽性，常常能夠有效躲避殺毒軟件或其他安全工具的查殺。所以，我們應(yīng)該在平時(shí)加強(qiáng)對(duì)系統(tǒng)用戶賬號(hào)的管理，不讓用戶賬號(hào)隨意被黑客、木馬程序非法利用!

控制帳號(hào)遠(yuǎn)程登錄權(quán)限

在局域網(wǎng)工作環(huán)境中，為了方便其他用戶訪問(wèn)共享資源，我們往往要在本地系統(tǒng)中事先為其他用戶創(chuàng)建好不同的共享帳號(hào)，允許他們合法登錄本地系統(tǒng)。不過(guò)，在同時(shí)存在多個(gè)用戶帳號(hào)的情況下，很容易發(fā)生其他帳號(hào)意外登錄本地系統(tǒng)執(zhí)行惡意操作的現(xiàn)象，所以我們應(yīng)該對(duì)這些共享帳號(hào)的遠(yuǎn)程登錄權(quán)限進(jìn)行嚴(yán)格控制，下面就是具體的控制步驟：

首先依次單擊本地系統(tǒng)中的“開(kāi)始”I“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“gpedit.msc”命令，單擊回車鍵后，進(jìn)入到系統(tǒng)組策略編輯界面。在該編輯界面的左側(cè)顯示區(qū)域中，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”I“計(jì)算機(jī)配置”I“window s設(shè)置”I“安全設(shè)置”I“本地策略”I“用戶權(quán)力指派”節(jié)點(diǎn)上，找到該節(jié)點(diǎn)下的“在本地登錄”組策略選項(xiàng)。

其次用鼠標(biāo)雙擊目標(biāo)組策略選項(xiàng)，打開(kāi)的選項(xiàng)設(shè)置對(duì)話框，在這里我們能看到可以登錄本地系統(tǒng)的所有用戶帳號(hào)信息，將其中的“users”組帳號(hào)選中，并按“刪除”按鈕，將目標(biāo)組帳號(hào)從允許登錄的用戶列表中刪除。當(dāng)然，按照同樣的操作方法，將其他不信任的用戶帳號(hào)也依次刪除掉。

接著按下“添加用戶或組”按鈕，切換到帳號(hào)選擇對(duì)話框，從中選擇并導(dǎo)入能遠(yuǎn)程登錄本地系統(tǒng)的合法帳號(hào)名稱，該帳號(hào)可以是域用戶賬號(hào)，只是在這里不能將本地系統(tǒng)管理員帳號(hào)添加到拒絕登錄用戶列表中。

下面返回到“本地計(jì)算機(jī)策略”I“計(jì)算機(jī)配置”I“Windows設(shè)置”I“安全設(shè)置”I“本地策略”I“用戶權(quán)力指派”節(jié)點(diǎn)上，找到該節(jié)點(diǎn)下的“拒絕本地登錄”組策略選項(xiàng)，用鼠標(biāo)雙擊該組策略選項(xiàng)，在其后彈出的選項(xiàng)設(shè)置對(duì)話框中單擊“添加用戶或組”按鈕，將不允許登錄本地系統(tǒng)的用戶賬號(hào)選中導(dǎo)入進(jìn)來(lái)。只是要提醒大家的是，拒絕本地登錄列表中的用戶賬號(hào)擁有更高的優(yōu)先權(quán)，對(duì)于同時(shí)出現(xiàn)在允許登錄和禁止登錄列表中的用戶來(lái)說(shuō)，則以禁止登錄列表中的賬號(hào)信息為準(zhǔn)。經(jīng)過(guò)上述設(shè)置，我們就能輕松控制用戶賬號(hào)的遠(yuǎn)程登錄權(quán)限了。

不讓重點(diǎn)賬號(hào)顯示出來(lái)

在多位用戶共同使用同一臺(tái)計(jì)算機(jī)的情況下，當(dāng)系統(tǒng)啟動(dòng)成功后，我們會(huì)看到所有的用戶賬號(hào)名稱會(huì)同時(shí)顯示在登錄界面中。為了安全起見(jiàn)，我們有時(shí)需要將一些重要的用戶賬號(hào)名稱隱藏起來(lái)，這該如何實(shí)現(xiàn)呢?很簡(jiǎn)單，可以按照如下步驟來(lái)操作：

首先依次單擊本地系統(tǒng)中的“開(kāi)始”I“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“regedit”命令，單擊回車鍵后，進(jìn)入到系統(tǒng)注冊(cè)表編輯界面。在該編輯界面的左側(cè)顯示區(qū)域中，將鼠標(biāo)定位到HKEY—LoCALMACHINENSOFTWARE＼Microsoft＼Windows NT＼CurrentVersionXWinlogon＼SpecialAccounts＼UserList節(jié)點(diǎn)上，在該節(jié)點(diǎn)下面我們能看到所有用戶賬號(hào)的列表信息通過(guò)對(duì)它們的屬性信息進(jìn)行修改調(diào)整，就能實(shí)現(xiàn)隱藏或顯示用戶賬號(hào)的目的了。

比方說(shuō)，要想讓登錄界面出現(xiàn)administrator賬號(hào)名稱，只要用鼠標(biāo)右鍵單擊UserList節(jié)點(diǎn)，依次執(zhí)行右鍵菜單中的“新建”I“Dword值”命令，并將新創(chuàng)建的雙字節(jié)鍵值取名為administrator，同時(shí)用鼠標(biāo)雙擊該鍵值，切換到編輯雙字節(jié)鍵值對(duì)話框，輸入數(shù)字“I”，單擊“確定”按鈕保存設(shè)置操作，如此一來(lái)，日后計(jì)算機(jī)系統(tǒng)重新啟動(dòng)成功后，我們就能在Windows系統(tǒng)登錄界面看到administrator賬號(hào)的“身影”了。很明顯，如果將administrator賬號(hào)的數(shù)值設(shè)置為“0”，那么該賬號(hào)日后就不會(huì)顯示在系統(tǒng)登錄界面中了。

同樣地，我們可以在UserList節(jié)點(diǎn)下，手工創(chuàng)建好與重要用戶賬號(hào)名稱相同的雙字節(jié)鍵值，并通過(guò)將該鍵值的數(shù)值設(shè)置為“0”或“1”，來(lái)實(shí)現(xiàn)控制重要用戶賬號(hào)的隱藏或顯示狀態(tài)。日后要想利用隱藏賬號(hào)登錄本地系統(tǒng)時(shí)，只要在Windows系統(tǒng)登錄界面中同時(shí)按兩下“Ctrl+Alt+Del”復(fù)合鍵，就能切換到傳統(tǒng)系統(tǒng)登錄界面，在這里輸入隱藏賬號(hào)的名稱和用戶名，就能順利完成系統(tǒng)登錄操作了。

巧妙提升賬號(hào)操作權(quán)限

大家知道，在Windows系統(tǒng)環(huán)境下，除了guest、administrator等系統(tǒng)賬號(hào)外，其實(shí)還有一個(gè)非常特別的用戶賬號(hào)，該賬號(hào)就是system賬號(hào)，它的操作權(quán)限甚至比administrator賬號(hào)還要高。不過(guò)，與普通的用戶賬號(hào)相比，我們往往無(wú)法直接使用該賬號(hào)登錄系統(tǒng)；其實(shí)，該用戶賬號(hào)早已經(jīng)隱藏到Window s系統(tǒng)中了，甚至連校驗(yàn)用戶登錄系統(tǒng)的Lsass、Winlogon等特殊進(jìn)程也都是以system賬號(hào)運(yùn)行的。那么，有沒(méi)有辦法將自己的用戶賬號(hào)操作權(quán)限提升為system賬號(hào)權(quán)限呢?

要想讓系統(tǒng)切換到system賬號(hào)權(quán)限狀態(tài)，必須要借助“psexec”這樣的小工具才能完成。首先同時(shí)按下鍵盤(pán)中的Ct rI+Alt+Del復(fù)合鍵，并單擊“啟動(dòng)任務(wù)管理器”按鈕，彈出任務(wù)管理器窗口，點(diǎn)選其中的“進(jìn)程”標(biāo)簽，打開(kāi)對(duì)應(yīng)標(biāo)簽設(shè)置頁(yè)面，從中找到并選中“explorer，exe”進(jìn)程選項(xiàng)，再用鼠標(biāo)右鍵單擊該選項(xiàng)，執(zhí)行右鍵菜單中的“結(jié)束進(jìn)程”命令，將“explorer.exe”進(jìn)程強(qiáng)行關(guān)閉掉。

其次選擇“應(yīng)用程序”標(biāo)簽，單擊對(duì)應(yīng)標(biāo)簽設(shè)置頁(yè)面中的“新任務(wù)”按鈕，在命令文本框中輸入代碼“f：＼a a a＼Psexec—s—i—dexplorer”，其中假設(shè)Psexec程序被解壓保存到“f：＼aa a”文件夾中了，單擊“確定”按鈕后，“explorer，exe”進(jìn)程就會(huì)被自動(dòng)重新啟動(dòng)，之后我們使用的用戶賬號(hào)就具有system賬號(hào)權(quán)限了。

賬號(hào)管理界面巧妙修復(fù)

依次單擊“開(kāi)始”I“控制面板”命令，單擊控制面板窗口中的用戶賬戶圖標(biāo)，就能在賬戶管理頁(yè)面中對(duì)所有賬號(hào)進(jìn)行管理操作了。其實(shí)，賬戶管理頁(yè)面是一個(gè)簡(jiǎn)單的html頁(yè)面，該頁(yè)面中的每個(gè)功能選項(xiàng)都是html超級(jí)鏈接。所以，Windows系統(tǒng)的用戶賬戶管理頁(yè)面很容易受到損壞，例如，有的時(shí)候打開(kāi)該頁(yè)面時(shí)，會(huì)發(fā)現(xiàn)該程序界面一片空白，同時(shí)系統(tǒng)會(huì)彈出參數(shù)無(wú)效之類的錯(cuò)誤。出現(xiàn)這種類型的錯(cuò)誤，多半是Windows系統(tǒng)中有關(guān)html顯示的動(dòng)態(tài)鏈接庫(kù)文件注冊(cè)狀態(tài)受到了破壞。此時(shí)，我們可以嘗試按照如下操作步驟，來(lái)巧妙修復(fù)受損的賬號(hào)管理界面：

首先依次單擊本地系統(tǒng)中的“開(kāi)始”I“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“cmd”命令，單擊回車鍵后，切換到DOS命令行狀態(tài)，在該狀態(tài)下輸入字符串命令“regsvr32／soymu—uo＼system32＼jscript。dll”，單擊回車鍵后，重新注冊(cè)一下jscript.dlI動(dòng)態(tài)鏈接庫(kù)文件。

按照同樣的操作方法，在DO S命令行狀態(tài)下，分別重新注冊(cè)一下mshtml，dll、vbscript.dll、themeui.dil、nusrmgr.cpl等系統(tǒng)文件，最后重新啟動(dòng)計(jì)算機(jī)系統(tǒng)，就能發(fā)現(xiàn)受損的賬號(hào)管理界面已經(jīng)被成功修復(fù)了。

控制用戶賬號(hào)登錄時(shí)間

大家知道，Windows系統(tǒng)默認(rèn)狀態(tài)下不會(huì)對(duì)合法用戶賬號(hào)的登錄時(shí)間進(jìn)行限制，允許其長(zhǎng)期訪問(wèn)操作?？墒牵诙辔挥脩艄餐褂猛慌_(tái)計(jì)算機(jī)的情況下，我們有時(shí)希望對(duì)一些普通權(quán)限的用戶賬號(hào)登錄系統(tǒng)時(shí)間進(jìn)行有效控制，以提高系統(tǒng)運(yùn)行安全性。要做到這一點(diǎn)，可以借助LoginSentinel Free這樣的外力工具來(lái)幫忙。

首先從網(wǎng)上下載獲得LoginSentinel Free程序，并對(duì)其進(jìn)行常規(guī)安裝，安裝結(jié)束后直接啟動(dòng)運(yùn)行它，單擊主程序界面中的“Time restrictions”按鈕。之后，在“User”下拉列表中，我們將看到本地系統(tǒng)中的所有用戶賬號(hào)名稱，從中點(diǎn)選自己想要對(duì)其進(jìn)行控制的目標(biāo)用戶賬號(hào)。

當(dāng)選中某個(gè)用戶賬號(hào)后，在顯示時(shí)間表格設(shè)置區(qū)域，我們會(huì)看到縱坐標(biāo)單位為星期，橫坐標(biāo)單位為小時(shí)，每一個(gè)時(shí)間格單位為30分鐘，當(dāng)將某個(gè)時(shí)間格顏色調(diào)整為紅色時(shí)，那就意味著在對(duì)應(yīng)時(shí)間段內(nèi)禁止被選中的用戶賬號(hào)登錄訪問(wèn)系統(tǒng)，我們可以根據(jù)實(shí)際訪問(wèn)需求，逐一將合適時(shí)間格的顏色設(shè)置為紅色，組成禁止訪問(wèn)系統(tǒng)時(shí)間段。如果要對(duì)連續(xù)的時(shí)間格進(jìn)行設(shè)置時(shí)，可以直接用拖動(dòng)鼠標(biāo)左鍵的方法來(lái)進(jìn)行快速設(shè)置，以便提高操作效率。

在紅色時(shí)間格內(nèi)，目標(biāo)用戶賬號(hào)是不能正常登錄本地系統(tǒng)的。要是目標(biāo)用戶賬號(hào)之前已經(jīng)在訪問(wèn)系統(tǒng)，當(dāng)訪問(wèn)時(shí)間到達(dá)紅色時(shí)間格后，Login Sentinel Free程序?qū)?huì)強(qiáng)行將當(dāng)前登錄賬號(hào)注銷掉，并自動(dòng)對(duì)計(jì)算機(jī)執(zhí)行關(guān)機(jī)操作。當(dāng)然，要提醒大家的是，完成設(shè)置后必須單擊“Save usersettings”按鈕來(lái)執(zhí)行設(shè)置保存操作，才能讓上述操作正式生效。如果想暫時(shí)取消目標(biāo)用戶賬號(hào)的登錄時(shí)間限制設(shè)置時(shí)，只要單擊設(shè)置界面中的“Remove user settings”按鈕即可。同樣地，我們可以依次為其他用戶賬號(hào)設(shè)置合適的系統(tǒng)登錄時(shí)間。

借用外力移除克隆賬號(hào)

黑客或木馬程序借助系統(tǒng)漏洞成功攻擊主機(jī)后，常常會(huì)進(jìn)行克隆賬號(hào)操作。在進(jìn)行克隆操作時(shí)，首先是激活系統(tǒng)中的一個(gè)缺省賬號(hào)，并借助專業(yè)工具提升缺省賬號(hào)的操作權(quán)限，我們從表面上看，會(huì)發(fā)現(xiàn)克隆賬號(hào)和缺省賬號(hào)并無(wú)二樣，顯然克隆賬號(hào)的隱蔽性非常強(qiáng)，因此它的安全威脅也特別大，黑客或木馬程序經(jīng)常會(huì)利用該賬號(hào)對(duì)本地系統(tǒng)進(jìn)行暗中控制。那么我們?cè)撛鯓硬拍茉诘谝粫r(shí)間揪出潛藏在本地系統(tǒng)中的克隆賬號(hào)呢?借助外力工具LP-Check，我們就能十分方便地找到并移除安全威脅比較大的系統(tǒng)克隆賬號(hào)了。

按照常規(guī)方法下載安裝好外力工具LP—Check后，從系統(tǒng)開(kāi)始菜單中打開(kāi)該程序界面，默認(rèn)狀態(tài)下，本地系統(tǒng)中的所有用戶賬號(hào)都會(huì)自動(dòng)顯示在該界面中(如圖6所示)，要是某個(gè)用戶賬號(hào)的“result”列中出現(xiàn)了“Shadow Administrator”字眼時(shí)，那就意味著該用戶賬號(hào)已經(jīng)被悄悄克隆了，而且LP_Check程序還會(huì)自動(dòng)將克隆賬號(hào)的數(shù)量統(tǒng)計(jì)并顯示出來(lái)。

找打克隆賬號(hào)后，我們又該如何將它從系統(tǒng)中徹底移除呢?考慮到本地系統(tǒng)中的所有用戶賬號(hào)信息都已經(jīng)存儲(chǔ)在系統(tǒng)注冊(cè)表中了，我們可以使用systemNi號(hào)權(quán)限來(lái)徹底移除安全威脅比較大的克隆賬號(hào)。按照之前介紹的方法，將系統(tǒng)狀態(tài)切換到system賬號(hào)權(quán)限下，依次單擊“開(kāi)始”I“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“regedit”命令，單擊回車鍵后，進(jìn)入到系統(tǒng)注冊(cè)表編輯界面，將鼠標(biāo)定位到HKEY—LOCAL_MACHINE＼SAM＼SAM＼Domains＼Account＼Users＼Names節(jié)點(diǎn)上，在目標(biāo)節(jié)點(diǎn)下就能看到包含克隆賬號(hào)在內(nèi)的所有潛藏用戶賬號(hào)了，將之前找到的克隆賬號(hào)選中并刪除，再重新啟動(dòng)計(jì)算機(jī)系統(tǒng)即可。

強(qiáng)制顯示上次登錄賬號(hào)

在多賬號(hào)系統(tǒng)環(huán)境下，如果我們想了解上一次究竟是哪位用戶賬號(hào)登錄系統(tǒng)時(shí)，該如何查看呢?其實(shí)，Vista以上版本操作系統(tǒng)新推出了“在用戶登錄期間顯示有關(guān)以前登錄的信息”功能，我們可以巧妙借助這項(xiàng)功能，來(lái)強(qiáng)制系統(tǒng)顯示以前登錄系統(tǒng)的狀態(tài)信息，包括以前登錄系統(tǒng)的用戶賬號(hào)名稱等，要是發(fā)生陌生賬號(hào)的身影時(shí)，就應(yīng)該及時(shí)刪除它，防止它威脅本地系統(tǒng)的正常安全，下面就是啟用強(qiáng)制登錄顯示功能的具體操作步驟：

首先逐一點(diǎn)選“開(kāi)始”I“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，在其中執(zhí)行“gpedit.msc”命令，彈出系統(tǒng)組策略編輯窗口。該編輯窗口的左側(cè)區(qū)域，將鼠標(biāo)定位到“計(jì)算機(jī)配置”I“管理模板”I“windows組件”I“Windows登錄選項(xiàng)”節(jié)點(diǎn)上，找到該節(jié)點(diǎn)下的“在用戶登錄期間顯示有關(guān)以前登錄的信息”選項(xiàng)，并用鼠標(biāo)雙擊該選項(xiàng)，切換到選項(xiàng)設(shè)置對(duì)話框。

其次看看其中的“已啟動(dòng)”選項(xiàng)有沒(méi)有被選中，如果看到它還沒(méi)有處于選中狀態(tài)時(shí)，應(yīng)該重新選中它，并單擊“確定”按鈕執(zhí)行設(shè)置保存操作，這樣windows系統(tǒng)日后啟動(dòng)成功后，就會(huì)自動(dòng)顯示出上次登錄系統(tǒng)的用戶賬號(hào)以及其他狀態(tài)信息了，要是有陌生賬號(hào)在本次登錄系統(tǒng)之前悄悄登錄過(guò)計(jì)算機(jī)系統(tǒng)，那么我們就能及時(shí)發(fā)現(xiàn)它的身影，并能了解到它的登錄時(shí)間了，之后立即刪除陌生用戶賬號(hào)即可。

自動(dòng)監(jiān)控賬號(hào)創(chuàng)建操作

黑客、木馬程序常常會(huì)偷偷在系統(tǒng)后臺(tái)創(chuàng)建用戶賬號(hào)，而且創(chuàng)建成功的用戶賬號(hào)不容易被人及時(shí)發(fā)現(xiàn)。為了保護(hù)系統(tǒng)運(yùn)行安全，我們應(yīng)該想辦法監(jiān)控用戶賬號(hào)偷偷創(chuàng)建操作，保證可以及時(shí)揪出陌生用戶賬號(hào)。事實(shí)上，通過(guò)Wiaqdows 7系統(tǒng)事件查看器內(nèi)置的附加任務(wù)到事件功能，就能輕松實(shí)現(xiàn)對(duì)偷偷創(chuàng)建用戶賬號(hào)動(dòng)作進(jìn)行自動(dòng)報(bào)警提示，根據(jù)報(bào)警提示我們自然就能在第一時(shí)間發(fā)現(xiàn)陌生賬號(hào)了。下面就是自動(dòng)監(jiān)控用戶賬號(hào)創(chuàng)建操作的具體設(shè)置過(guò)程：

首先逐一點(diǎn)選“開(kāi)始”I“控制面板”I“管理工具”I“本地安全策略”選項(xiàng)，切換到安全策略設(shè)置界面，在該界面左側(cè)顯示區(qū)域，展開(kāi)“本地策略”I“審核策略”節(jié)點(diǎn)，打開(kāi)該節(jié)點(diǎn)下的“審核賬戶管理”選項(xiàng)設(shè)置對(duì)話框，選擇“成功”、“失敗”等選項(xiàng)，單擊“確定”按鈕保存設(shè)置操作，這樣Windows 7系統(tǒng)就能自動(dòng)記憶保存用戶賬戶管理方面的任何變化了，包括用戶賬號(hào)的創(chuàng)建、刪除等事件。

其次將報(bào)警提示任務(wù)附加到用戶賬號(hào)創(chuàng)建事件上，實(shí)現(xiàn)即時(shí)報(bào)警的功能。在附加報(bào)警提示任務(wù)到事件上時(shí)，可以用鼠標(biāo)右擊Windows 7系統(tǒng)的“計(jì)算機(jī)”圖標(biāo)，從彈出的快捷菜單中選擇“管理”命令，彈出計(jì)算機(jī)管理窗口，展開(kāi)該窗口左側(cè)區(qū)域中的“本地用戶和組”I“用戶”節(jié)點(diǎn)，在該節(jié)點(diǎn)下自由創(chuàng)建一個(gè)用戶賬號(hào)。之后，依次單擊“開(kāi)始”I“控制面板”I“管理工具”I“事件查看器”選項(xiàng)，切換到事件查看器窗口，依次展開(kāi)“Windows日志”I“安全”節(jié)點(diǎn)，選中并用鼠標(biāo)右鍵單擊之前創(chuàng)建的用戶賬號(hào)事件，從右鍵菜單中點(diǎn)選“將任務(wù)附加到此事件”命令，彈出附加任務(wù)向?qū)?duì)話框，依照默認(rèn)提示單擊“下一步”按鈕，打開(kāi)設(shè)置對(duì)話框，選擇“顯示消息”選項(xiàng)，同時(shí)定義好消息提示標(biāo)題與內(nèi)容，再單擊“完成”按鈕返回。

這樣，黑客、木馬程序日后只要在Windows 7系統(tǒng)中偷偷創(chuàng)建用戶賬號(hào)，我們就能立即看到之前設(shè)置好的報(bào)警提示，根據(jù)報(bào)警提示時(shí)間和內(nèi)容，就能知道系統(tǒng)中有陌生賬號(hào)被偷偷創(chuàng)建了，這時(shí)應(yīng)該進(jìn)入用戶賬號(hào)管理界面，找出陌生的用戶賬號(hào)，將它們立即刪除或停用，也可以修改陌生賬號(hào)的密碼。