電腦系統(tǒng)安全從密碼設(shè)置做起

一、啟動密碼的設(shè)置與取消：

設(shè)置啟動密碼

1. 點(diǎn)擊菜單“開始→運(yùn)行”，在運(yùn)行對話框中輸入“Syskey”，點(diǎn)“確定”彈出“保證Windows XP賬戶數(shù)據(jù)庫的安全”對話框。

2. 在彈出的對話框中點(diǎn)擊“更新”按鈕，彈出“啟動密碼”對話框.

3. 選中“密碼啟動”，在下面輸入系統(tǒng)啟動是時的密碼，然后點(diǎn)擊“確定”按鈕就可以了。

　取消啟動密碼

　　如果要取消這個系統(tǒng)啟動密碼的話，按照上面的步驟操作后，在“啟動密碼”對話框中,選擇“系統(tǒng)產(chǎn)生的密碼”下面的“在本機(jī)上保存啟動密碼”就可以了，確定后系統(tǒng)密碼就會保存到硬盤上，在下次啟動電腦時就不會再出現(xiàn)啟動密碼的窗口了。

使用啟動密碼

　“啟動密碼”就是在系統(tǒng)啟動時顯示的，在重新啟動系統(tǒng)后，首先出現(xiàn)的就是提示你輸入“啟動密碼”，輸入了正確的密碼后就會出現(xiàn)Windows XP的登錄界面，輸入用戶名和密碼就算完全登錄系統(tǒng)了，現(xiàn)在你的系統(tǒng)就有了二重密碼保護(hù)。

制作啟動密碼“鑰匙盤”

　　“鑰匙盤”就相當(dāng)于一把鑰匙，在啟動的時候只有這張磁盤才能打開啟動密碼。 制作“鑰匙盤”的方法很簡單，還是在“運(yùn)行”對話框中輸入“Syskey”，在彈出的對話框中點(diǎn)擊“更改”按鈕，然后在“啟動密碼”中,選中“系統(tǒng)產(chǎn)生的密碼”下面的“在軟盤上保存啟動密碼”。點(diǎn)擊“確定”按鈕后會提示你輸入密碼，然后就會讓你在軟驅(qū)中插入一張軟盤來制作“鑰匙盤”，插入后點(diǎn)擊“確定”按鈕，稍等片刻就好了。

　　當(dāng)重新啟動電腦時，這次不是要求你輸入啟動密碼了，而是讓你插入“鑰匙盤”，如果你沒有這張盤就不能啟動電腦。如果需要取消或者更改啟動密碼時，也必須插入這張“鑰匙盤”才能更改。

二、登錄密碼的設(shè)置與取消：

1.首先點(diǎn)擊“開始”，選擇“控制面板”。

2.進(jìn)入“控制面板”界面后選擇“用戶賬戶”。

3.進(jìn)入“用戶帳戶”界面后選擇“更改用戶”。

4.在彈出的界面中選擇你的登錄賬戶。

5.然后選擇“創(chuàng)建密碼”。

6.輸入兩遍密碼后點(diǎn)擊“創(chuàng)建密碼”，就完成了你的登錄密碼設(shè)置。

三、為administrator賬號變身：

　　為administrator賬號設(shè)置了登錄密碼并不等于就安全了，如果密碼設(shè)置得比較簡單或是強(qiáng)度不夠，還是有可能被輕易地探測出來；但是如果登錄密碼設(shè)置得過于復(fù)雜，對于用戶自己來講又比較麻煩。如何解決這個矛盾？為administrator賬號變身不失為一個好的選擇。為administrator賬號變身也就是將賬號名稱改為其他的、別人不易知曉的名稱，變共知為未知。這樣即使登錄密碼設(shè)置的比較簡單，其他用戶在不知道登錄賬號名稱的情況下，也很難非法進(jìn)入系統(tǒng)。為administrator賬號變身是通過設(shè)置組策略來實(shí)現(xiàn)的。具體的操作如下：

　　(1)在“開始”菜單的“運(yùn)行”處運(yùn)行g(shù)pedit.msc命令，進(jìn)入組策略編輯器；

　　(2)在組策略編輯器窗口，依次展開“計算機(jī)配置”—〉“windows設(shè)置”—〉“安全設(shè)置”—〉“本地策略”—〉“安全選項”，在右側(cè)窗格中，雙擊“賬號，重命名系統(tǒng)管理員賬號”策略，在策略屬性窗口中，輸入新的內(nèi)置的管理員賬號的名稱，點(diǎn)擊“確定”即可。

為了增強(qiáng)登錄的安全性，我們也可以通過啟用“安全選項”策略子集中的“交互式登錄：不顯示上次登錄的用戶名”策略來隱藏登錄系統(tǒng)時在登錄窗口中自動顯示的用戶名稱，這樣即使其他用戶能夠物理地接觸到這臺計算機(jī)，也很難通過探測的方法進(jìn)入系統(tǒng)。設(shè)置方法同設(shè)置“賬號：重命名系統(tǒng)管理員賬號”策略類似，雙擊“交互式登錄：不顯示上次登錄的用戶名”策略，在屬性窗口中，選擇“已啟用”選項。

四、guest賬號：

guest賬號同樣也是Windows XP系統(tǒng)內(nèi)建的用戶，和users（受限用戶）組中的賬號擁有同樣的訪問能力，但是受到的限制更多。由于我們通常很少使用該用戶賬號登錄系統(tǒng)，因此也就不太關(guān)心guest賬號的安全了。正是由于我們對guest賬號的忽略，使得很多惡意程序利用這個疏漏入侵到系統(tǒng)中實(shí)施破壞或竊取信息。對guest賬號的安全可以采取以下兩個安全措施：

1．停用guest賬號

在實(shí)際的應(yīng)用中，我們很少會使用到guest賬號，因此將guest賬號停用不會影響到我們的正常使用，同時也可以徹底消除由guest賬號引起的一些安全隱患。在“控制面板”的“用戶賬號”中不能進(jìn)行g(shù)uest賬號的停用設(shè)置，這需要通過“計算機(jī)管理”功能來完成。

（1）右鍵單擊桌面的“我的電腦”，選擇“管理”命令，進(jìn)入“計算機(jī)管理”窗口；

（2）在“計算機(jī)管理”中，依次展開“系統(tǒng)工具”—〉“本地用戶和組”—〉“用戶”，在右側(cè)窗格中雙擊“guest”項，在屬性設(shè)置窗口，選擇“賬號已停用”選項，點(diǎn)擊“確定”完成設(shè)置。

2．為用戶名稱變身

如果在應(yīng)用中要使用guest賬號，那么除了需要給guest賬號設(shè)置登錄密碼外，也可以采取類似于給administrator賬號變身的方法，將guest賬號的名稱改為其他的名稱。設(shè)置方法和administrator賬號變身的方法類似，只需要在組策略編輯器中，設(shè)置“安全選項”策略子集中的“賬號：重命名來賓賬號”策略的屬性就可以了，這里就不再過多地進(jìn)行介紹。

五、為用戶設(shè)置合適的身份：

在Windows XP系統(tǒng)中，administrator用戶通過“控制面板”的“用戶賬號”添加本地用戶的類型只有兩種：要么是隸屬于administrators組的管理員身份，要么是隸屬于users組的受限用戶身份。如果用戶身份為受限用戶，很多項目將被禁用，通常不能滿足實(shí)際應(yīng)用的要求。

但是用戶全被設(shè)置為管理員身份，每個用戶登錄系統(tǒng)后都可以隨意地對系統(tǒng)設(shè)置進(jìn)行更改，任意的設(shè)置其他用戶的訪問權(quán)限，勢必會造成系統(tǒng)的混亂，甚至引起系統(tǒng)的崩潰，這種情況在共用的計算機(jī)中尤為甚之。例如：administrator用戶為了加強(qiáng)系統(tǒng)的安全，使用組策略編輯器對系統(tǒng)進(jìn)行很多的策略設(shè)置，可是其他具有管理員權(quán)限的用戶登錄系統(tǒng)后可能會有意或無意地將這些設(shè)置進(jìn)行更改，從而導(dǎo)致系統(tǒng)安全性降低。那么如何才能合理地設(shè)置用戶的身份呢。

其實(shí)，在Windows XP系統(tǒng)中，用戶賬號的類型不只是管理員和受限用戶兩種。根據(jù)不同的應(yīng)用目的，Windows XP內(nèi)置了多種用戶類型，如：擁有大部分管理權(quán)限的Power User用戶類型、擁有管理網(wǎng)絡(luò)功能配置權(quán)限的Network Configuration Operator用戶類型、擁有遠(yuǎn)程登錄權(quán)限的Remote Desktop User用戶類型等等。administrator用戶可以根據(jù)具體的應(yīng)用需求為其他的用戶設(shè)置適當(dāng)?shù)纳矸荨＿@種設(shè)置用戶身份的操作需要通過“計算機(jī)管理”功能實(shí)現(xiàn)。下面以將用戶jack的身份由受限用戶改為Power User為例介紹操作步驟：

（1）右鍵單擊桌面的“我的電腦”，選擇“管理”命令，在“計算機(jī)管理”中，依次展開 “系統(tǒng)工具”—〉“本地用戶和組”—〉“組”，在右側(cè)窗格中可以查看到不同用戶類型組能夠進(jìn)行操作的權(quán)限；

（2）點(diǎn)擊左側(cè)“本地用戶和組”下的“用戶”，雙擊要設(shè)置身份的用戶項，在該用戶的“屬性”窗口的“隸屬于”標(biāo)簽頁中，點(diǎn)擊“添加”按鈕；

（3）在“選擇組”窗口，點(diǎn)擊“高級”，并進(jìn)而點(diǎn)擊“立即查找”，在窗口下方的用戶組列表中選擇“Power Users”，點(diǎn)擊“確定”返回，再次點(diǎn)擊“確定”返回“選擇組”窗口，此時可以在“隸屬于”組列表中看到增加了“Power Users”項。

（4）點(diǎn)擊“確定”完成設(shè)置。

經(jīng)過上述的用戶身份設(shè)置，當(dāng)用戶使用jack賬號登錄系統(tǒng)后，由于受到操作權(quán)限的限制，當(dāng)用戶試圖進(jìn)行一些操作時，將被提示沒有權(quán)限執(zhí)行此操作。例如，當(dāng)jack用戶執(zhí)行g(shù)pedit.msc命令試圖打開組策略編輯器時，將會得到警告信息。

上述用戶類型的設(shè)置方法和Windows NT4.0/Windows 2000 Server/Windows 2003 Server系統(tǒng)中用戶賬號的設(shè)置方法類似。使用過這些系統(tǒng)的朋友可能會更熟悉一些。

注意：文中提到的所有操作，都要求用戶以administrator用戶或administrators組成員的賬號身份登錄系統(tǒng)。

看了上面的介紹，作為管理員的你是否感覺到系統(tǒng)中用戶賬號的設(shè)置還不夠安全，沒有關(guān)系，趕快行動吧。只有提高了用戶賬號的安全性，才能為系統(tǒng)的安全打下一個堅實(shí)的基礎(chǔ)。