账户安全是系统安全一个重要部分,本文介绍如何管理你的账户,使Win7更安全。
我们每天开机都要使用账户登录桌面,然后才开始使用电脑工作。可是你知道如果Win7的账户如果管理不当,就可能给日常使用带来各种安全隐患。下面就一起来看看账户管理达人有什么高招管好Win7账户。
招数1:克隆账户——为马大哈预留登陆后门
使用工具:注册表编辑器
账户作用:克隆当前管理员账户,方便自己在忘记账户密码时用它登录系统
实例解读:为自己电脑预留后门
很多马大哈朋友总是会忘记自己账户密码,如果忘记密码我们就要借助专业破解工具来破解密码。其实对于这些记性不好的朋友,我们可以在Win7建立一个隐藏克隆账户,方便在忘记密码时使用它来登陆系统。
第1步:以管理员身份启动命令提示符,输入“net user cfan$ /add”,在系统新增一个名为cfan$的标准账户。接着启动注册表编辑器,依次展开[HKEY_LOCAL_MAICHINE\SAM\SAM],右击[SAM]键值选择 “权限”,单击“添加”,将当前用户添加到列表并将账户对该键值的读取权限设置为“完全控制”。
第2步:返回注册表编辑器窗口,单击菜单栏的“查看→刷新”,刷新注册表后就可以展开[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names],这里可以看到本机所有账户名称。选中上述建立的cfan$账户,在右侧窗格可以看到它的默认值是0x3ec,这个键值对应[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users]下0003EC账户(见图1)。
小提示:
同样的现在很多黑客会使用克隆账户方法在我们系统中留下克隆账户,如果你不想预留后门,但是怀疑自己电脑有类似隐藏账户,只要展开上述键值,然后选中[Names]下需要删除的账户,然后记住其右侧窗格默认键值,这个键值对应[Users]下账户,按提示将这两个键值删除即可删除克隆账户。
第3步:比如需要克隆当前管理员账户,假设当前账户对应上述[Users]键值下000003EA,展开[000003EA],然后复制右侧窗格的F值。同上展开到 [000003EC],将复制的值粘贴到其F值处。
第4步:右击[000003EC]和[cfan$]分别导出为“3EC.reg”和“cfan.reg”。现在将cfan$帐户删除,最后再导入上述两个reg文件复原帐户即可。这样重启后即可用cfan$账户(无需密码)登录,cfan$账户在本地用户和组看不到,但可以成功登录系统且具备当前账户管理员权限(见图2)。
小提示:
要使用克隆账户登陆,必须进入组策略编辑器,依次展开“Window设置→安全设置→本地策略→安全选项”,启用右侧窗格的“交互式登录: 不显示最后的用户名”,这样才可以输入cfan$账户登陆。
招数2:定时登陆账户
使用工具:Net User命令行
账户作用:限制用户在指定时间登陆系统
实例解读:禁止用户在双休时间登录公司电脑
默认情况下建立的账户都可以随时登陆系统,不过对于企业用户,我们很多时候需要对账户的登录时间进行管理。比如为了公司文件的安全,我们需要设置档案室电脑账户,周六、周日不允许登陆,其他正常工作日可以登陆。
以管理员身份启动命令提示符,然后输入“net user cfan 123456 /add /times:M-F,8:00-17:00”(不含外双引号,下同)。这样我们就在本机建立一个名为cfan的账户(如果要提升cfan账户的权限,将其添加到Administrators组即可),登录密码是“123456”,cfan只能在上述指定时间(周一到周五,8:00-17:00)登录系统,输入“net user cfan”可以看到该账户详细登陆小时数(见图3)。
小提示:
Time的增加值限制为1小时。对于Day值,可以用全称或24小时制缩写(即 M、T、W、Th、F、Sa、Su)。可以使用12小时或24小时时间表示法。对于12小时表示法,请使用AM、PM或A.M.、P.M.。All值表示用户始终可以登录;空值(空白)意味着用户永远不能登录。用逗号分隔日期和时间,用分号分隔日期和时间单元(例如,M,4AM-5PM;T,1PM-3PM)。指定时间时不要使用空格。
现在把这个账户作为档案室专用登录账户即可,这样其他同事试图在周六或者周日这些不允许的时间登陆就会被拒绝,有效保护电脑在非上班时间的安全。
小提示:
使用Win7自带的“家长控制”也可以方便控制用户,不过它只能对标准账户进行控制,上述方法则可以对任意账户进行控制。
技巧3:特权账户——以SYSTEM身份登录系统
使用工具:SC命令
账户作用:使用内置System账户访问受限目录或者键值
实例解读:直接删除顽固病毒文件
大家知道为了系统安全,Win7内很多设置默认只对System账户开放,比如上述注册表账户键值,C:\System Volume Information目录等,很多时候我们又需要访问这些设置,比如某些病毒就会隐藏在C:\System Volume Information目录。我们要访问这些只对System账户开放的设置,我们就需要更改这些目录或者键值的权限,如果完成操作后不及时恢复默认设置,这样会给系统安全带来隐患。现在我们可以直接以System身份启动桌面进程,这样就可以轻松访问上述目录(或键值),访问完成后再退出,这样既可以查杀病毒,又无需对系统默认设置进行更改。
第1步:以管理员身份启动命令提示符,输入“SC Create SupeCMD binPath= "cmd /K start" type= own type= interact”命令,在系统中添加一个名为SuperCMD的系统服务。接着启动任务管理器,切换到“服务”标签,然后选中SuperCMD,此时系统会提示无法启动服务,但是桌面会弹出一个“交互式服务检测”窗口,点击其中的“查看消息”,这样会自动进入SYSTEM账户桌面环境(见图4)。
小提示:
SC命令创建服务的格式是: Create 服务名 binPath= 启动服务命令 type= 服务启动类型 type= 是否交互,注意命令中“=”后要用一个半角空格断开。
第2步:进入SYSTEM账户桌面环境后,在其中的命令提示符下输入“explorer.exe”启动桌面进程,现在我们就可以看到类似当前用户桌面环境,点击开始菜单即可看到现在登录的账户是SYSTEM(见图5)。
第3步:现在我们就可以开始以SYSTEM身份杀毒了,不过由于配置文件问题无法直接打开资源管理器。这时可以使用WinRAR、7ZIP等压缩软件自带的文件管理器,在其中即可轻松打开C:\System Volume Information目录,按提示删除病毒文件即可(见图6)。当然由于SYSTEM是系统内置高特权账户,不过SYSTEM仍然有很多我们也可以在此以SYSTEM身份删除系统顽固文件等操作。
小提示:
编辑:北京信诚IT保姆IT外包部 http:// www.xcitbm.com www.xcit.com.cn |