绝不忽悠 打造超级安全稳固的Vista航母

满天星

　　引言：Windows Vista（下称Vista）是支持多用户帐户的操作系统，当用户在系统内建立帐户后，Vista都会分配（独立的）空间给对应的用户。这样的系统设置，可以在一定程度上保证非授权用户无法访问其它帐户下的文件。
　　通过对用户帐户类型的设置，还可以限定不同帐户的系统操作级别（比如管理员或普通用户），从而防止受限的用户修改系统配置，以避免系统或其他用户资料的被修改、删除等。
　　
　　居心叵测之人在窥视你的Vista呢
　　虽然Vista系统的这一功能给用户带来了方便，但同时也带来了危险。在系统默设置下，用户帐户具有很大的设置漏洞，如果这些安全隐患不手动予以解决，这些潜在的威胁说不定什么时候就让你“欲哭无泪”了。
　　上面的叙述太“苍白”，我给大家举个例子。在安装Vista时，用户设置的第一个帐户具有管理员权限。与此同时，系统默认的管理员用户（也即Administrator）也是管理员权限的身份，并且这个拥有管理员权限的用户密码默认是空！任何一个用户只需敲一个“回车”就可以登录并控制计算机。
　　有网友说了，Vista不是有UAC（用户帐户控制）吗？利用它不就可以保护西贡了么？这样的说法只说对了一小部分，Vista需要手动修改系统默认配置的地方还有很多。用户需要打造一个非常全面、稳固的Vista系统来保护我计算机才行！
　　2.禁止用户修改注册表
　　在前面，我们将“非授权”用户“正式登录”的部分通道堵死了，可如果他们进入安全模式（“非正式登录”），或者是授权用户登录系统，依然可能修改注册表。这又该怎么办呢？很简单，禁用注册表就可以了。
　　使用你的帐户（须是管理员权限）登录Vista系统，运行注册表编辑器，右键单击“HKEY_LOCAL_MACHINE”，选择“权限”，在打开的“HKEY_ LOCAL_MACHINE的权限”窗口中，选择对应用户名，然后取消勾选“读取”项（如图4）即可。
　　
　　图4 取消对应用户的读取权限
　　特别提醒：
　　使用该方法时，要特别谨慎、小心！本文是以Everyone为例说明的，大家在实际操作过程中，切不可选择该用户。具体原因，笔者将另文告诉大家。
　　3.限制管理员数量 指定个别用户权限
　　建立Vista用户帐户时，应该尽量减少具有管理员权限的帐户数量，管理员帐户的数量越少，计算机系统受到修改和破坏的几率越少。如果普通权限用户对所拥有的权限不满意，管理员用户可以通过“新建组”或者修改“组权利”的方式，让普通用户权限获得一定程度的权利提升。
　　打开“控制面板”→“管理工具”→“本地安全策略”，打开“本地安全设置”，在随后打开的窗口中顺次打开“本地策略”→“用户权限分配”（如图5）。

　　图5 赋予/删除特定用户的权限
　　在上图中，你可以双击“策略”列表中的某个选项，然后再选定某个用户，单击“删除”按钮即可撤销这个用户的权限。同理，你也可以双击“策略”列表中的某选项，然后在弹出的窗口中点击“添加用户点击”来赋予某个用户权限。
　　二、非请勿入 超复杂密码拒绝龌龊小人
　　密码，这是一个“古老”的手法，这个手法既非常有效，又非常脆弱。千万不要以为设置了密码就万事大吉，这是大大的错误认识，稍有计算机常识的人都可以通过各式各样的的途径破解密码。因此来说，如果没有对帐户进行锁定设置，其他人就可以使用“暴力破解”的方法，直至密码被破解出来。
　　有朋友会说，这种方法虽然听着可怕，但是效果很差，而且未必会有效。这样的认识也是不对的，因为对于“弱口令”来说，这样的方法着实有效！因此，密码设置一定要复杂！
　　1.密码设置要复杂
　　为了防止普通用户随意设置密码，管理员应该使用安全策略强制他设置符合复杂性要求的密码，以增加破解的难度。
　　登录系统，依次打开“控制面板”→“管理工具”→“本地安全策略”打开“本地安全设置”，点击“帐户策略”→“密码策略”，双击策略列表中“密码必须符合复杂性要求”（如图5）。
　　
　　图6 强制用户必须给帐户设置复杂密码
　　在属性窗口中选择“已启用”，最后点击“确定”按钮，设置完毕后，在再双击策略列表中“密码长度最小值”，在属性窗口中设置密码最少为8个字符。
　　小提示：
　　帐户密码符合复杂性要求时，密码必须至少为6个字符，且不包含全部或部分的用户帐户名，否则，用户设置密码时会无法通过。其中，密码是包含来自以下四个类别中的三个的字符：英文大写字母（从A到Z）、英文小写字母（从a到z）、数字（从0到9）和非字母字符（如!、$、#、%）等。

　　一、非理勿视 拒绝“非授权”帐户
　　保护系统和各个用户的安全，首先要给每个帐户明确的使用的权限，只有给每个帐户设定了使用权限，才能有效防止他在登录系统后进行胡乱修改等操作。
　　1.关闭Administrator和Guest帐户
　　很多XP系统老用户都知道，Windows Key这款软件它可以破解并修改Administrator帐户密码。这个问题在Vista系统下也存在，因此，为避免其他人利用它俩登录系统，所以需要先关闭这两个帐户。
　　首先用一个非Administrator（即管理员帐户）的帐户登录到Vista（以下无特别说明的，都是指使用非Administrator的帐户登录系统），依次打开“控制面板”→“管理工具”→“计算机管理”。
　　展开“系统工具”→“本地用户和组”→“用户”，在右侧窗口中双击“Administrator”，在打开的“Administrator属性”窗口中，确认系统已经勾选了“帐户已停用”（如图1）。
　　
　　图1 确认系统已是“帐户已停用”
　　接下来切换到“隶属于”选项，选中“Administrators”，点击“删除”按钮（如图2），这样设置后，Administrator帐户就被停用了，当然，他的算机管理员的权限也不复存在了。

　　图2 删除Administrators帐户
　　除上述方法外，你还可以这样设置：
　　依次打开“控制面板”→“管理工具”→“本地安全策略”，打开“本地策略”→“安全选项”，将对话框最右侧的滑动条拉至最底端，然后将Guest帐户（即来宾帐户）和Administrator帐户重命名（如图3）。

　　图3 重命名Guest（来宾）帐户
　　“重命名系统管理员帐户”的方法与“重命名来宾帐户”一样，这里不做过多说明。换个名字即可彻底关闭“Administrator”帐户，比起前面一种方法看上去内去要简单一些，但同时，安全性也低一些。
　　重命名的目的就是为了彻底关闭“Administrator”和“Guest”帐户，使得非授权用户通过这两个用户名猜测或破解他们的登录口令。
　　2.限制密码输入次数
　　如果我有记错，在XP系统下，如果某用户输入密码错误次数超过五次，系统将会在短时间内锁定该用户，拒绝登录。在Vista系统下，我们也可以使用该方法，在某人输入密码错误达到事先设定的次数后，帐户将会被锁定，在一定时间内拒绝任何人登录。
　　打开“控制面板”→“管理工具”→“本地安全策略”打开“本地安全设置”，点击“帐户策略”→“帐户锁定策略”（如图7）。
　　
　　图7 设定帐户锁定阀值
　　大家从上图中可以看到，“复位帐户锁定计数器”和“帐户锁定时间”现在是不适用，也就是不可用的状态。这是由于还没有设定最下方的“帐户锁定阀值”，用户需要先设定这个值。
　　双击红色方框内的“帐户锁定阀值”，在弹出的对话框的“帐户不锁定”空白栏内输入一个数字。本文以输入数字“2”为例（如图8），输入完毕后，系统会再弹出一对话框，让你设定锁定时间（如图9）。

　　图8 输入限定次数

　　图9 选择锁定时间
　　这样的设置就意味着，如果有人在密码输入错误超过两次后，该帐户就会被锁定30分钟。只有在30分钟后，这个用户才会被系统解锁。
　　小提示：
　　这个方法虽然很严格，但是对于指法不是很熟悉的朋友来说，最好慎用，以免输入次数超过限制，自己把自己拒绝在门外了。
　　小结：
　　笔者在这里尽可能的考虑到各种系统“疏漏”的地方，以手动设置、修改系统一些默认值来加强系统的安全性，以防止“非法用户”的“非法登录”。但是笔者也不能不承认，本文还有一处没有考虑到地方，不知道聪明的“你”是否看出来了，期待大家一一指正。