電腦系統(tǒng)安全從密碼設(shè)置做起

一、啟動(dòng)密碼的設(shè)置與取消：

設(shè)置啟動(dòng)密碼

1. 點(diǎn)擊菜單“開(kāi)始→運(yùn)行”，在運(yùn)行對(duì)話框中輸入“Syskey”，點(diǎn)“確定”彈出“保證Windows XP賬戶數(shù)據(jù)庫(kù)的安全”對(duì)話框。

2. 在彈出的對(duì)話框中點(diǎn)擊“更新”按鈕，彈出“啟動(dòng)密碼”對(duì)話框.

3. 選中“密碼啟動(dòng)”，在下面輸入系統(tǒng)啟動(dòng)是時(shí)的密碼，然后點(diǎn)擊“確定”按鈕就可以了。

　取消啟動(dòng)密碼

　　如果要取消這個(gè)系統(tǒng)啟動(dòng)密碼的話，按照上面的步驟操作后，在“啟動(dòng)密碼”對(duì)話框中,選擇“系統(tǒng)產(chǎn)生的密碼”下面的“在本機(jī)上保存啟動(dòng)密碼”就可以了，確定后系統(tǒng)密碼就會(huì)保存到硬盤上，在下次啟動(dòng)電腦時(shí)就不會(huì)再出現(xiàn)啟動(dòng)密碼的窗口了。

使用啟動(dòng)密碼

　“啟動(dòng)密碼”就是在系統(tǒng)啟動(dòng)時(shí)顯示的，在重新啟動(dòng)系統(tǒng)后，首先出現(xiàn)的就是提示你輸入“啟動(dòng)密碼”，輸入了正確的密碼后就會(huì)出現(xiàn)Windows XP的登錄界面，輸入用戶名和密碼就算完全登錄系統(tǒng)了，現(xiàn)在你的系統(tǒng)就有了二重密碼保護(hù)。

制作啟動(dòng)密碼“鑰匙盤”

　　“鑰匙盤”就相當(dāng)于一把鑰匙，在啟動(dòng)的時(shí)候只有這張磁盤才能打開(kāi)啟動(dòng)密碼。 制作“鑰匙盤”的方法很簡(jiǎn)單，還是在“運(yùn)行”對(duì)話框中輸入“Syskey”，在彈出的對(duì)話框中點(diǎn)擊“更改”按鈕，然后在“啟動(dòng)密碼”中,選中“系統(tǒng)產(chǎn)生的密碼”下面的“在軟盤上保存啟動(dòng)密碼”。點(diǎn)擊“確定”按鈕后會(huì)提示你輸入密碼，然后就會(huì)讓你在軟驅(qū)中插入一張軟盤來(lái)制作“鑰匙盤”，插入后點(diǎn)擊“確定”按鈕，稍等片刻就好了。

　　當(dāng)重新啟動(dòng)電腦時(shí)，這次不是要求你輸入啟動(dòng)密碼了，而是讓你插入“鑰匙盤”，如果你沒(méi)有這張盤就不能啟動(dòng)電腦。如果需要取消或者更改啟動(dòng)密碼時(shí)，也必須插入這張“鑰匙盤”才能更改。

二、登錄密碼的設(shè)置與取消：

1.首先點(diǎn)擊“開(kāi)始”，選擇“控制面板”。

2.進(jìn)入“控制面板”界面后選擇“用戶賬戶”。

3.進(jìn)入“用戶帳戶”界面后選擇“更改用戶”。

4.在彈出的界面中選擇你的登錄賬戶。

5.然后選擇“創(chuàng)建密碼”。

6.輸入兩遍密碼后點(diǎn)擊“創(chuàng)建密碼”，就完成了你的登錄密碼設(shè)置。

三、為administrator賬號(hào)變身：

　　為administrator賬號(hào)設(shè)置了登錄密碼并不等于就安全了，如果密碼設(shè)置得比較簡(jiǎn)單或是強(qiáng)度不夠，還是有可能被輕易地探測(cè)出來(lái)；但是如果登錄密碼設(shè)置得過(guò)于復(fù)雜，對(duì)于用戶自己來(lái)講又比較麻煩。如何解決這個(gè)矛盾？為administrator賬號(hào)變身不失為一個(gè)好的選擇。為administrator賬號(hào)變身也就是將賬號(hào)名稱改為其他的、別人不易知曉的名稱，變共知為未知。這樣即使登錄密碼設(shè)置的比較簡(jiǎn)單，其他用戶在不知道登錄賬號(hào)名稱的情況下，也很難非法進(jìn)入系統(tǒng)。為administrator賬號(hào)變身是通過(guò)設(shè)置組策略來(lái)實(shí)現(xiàn)的。具體的操作如下：

　　(1)在“開(kāi)始”菜單的“運(yùn)行”處運(yùn)行g(shù)pedit.msc命令，進(jìn)入組策略編輯器；

　　(2)在組策略編輯器窗口，依次展開(kāi)“計(jì)算機(jī)配置”—〉“windows設(shè)置”—〉“安全設(shè)置”—〉“本地策略”—〉“安全選項(xiàng)”，在右側(cè)窗格中，雙擊“賬號(hào)，重命名系統(tǒng)管理員賬號(hào)”策略，在策略屬性窗口中，輸入新的內(nèi)置的管理員賬號(hào)的名稱，點(diǎn)擊“確定”即可。

為了增強(qiáng)登錄的安全性，我們也可以通過(guò)啟用“安全選項(xiàng)”策略子集中的“交互式登錄：不顯示上次登錄的用戶名”策略來(lái)隱藏登錄系統(tǒng)時(shí)在登錄窗口中自動(dòng)顯示的用戶名稱，這樣即使其他用戶能夠物理地接觸到這臺(tái)計(jì)算機(jī)，也很難通過(guò)探測(cè)的方法進(jìn)入系統(tǒng)。設(shè)置方法同設(shè)置“賬號(hào)：重命名系統(tǒng)管理員賬號(hào)”策略類似，雙擊“交互式登錄：不顯示上次登錄的用戶名”策略，在屬性窗口中，選擇“已啟用”選項(xiàng)。

四、guest賬號(hào)：

guest賬號(hào)同樣也是Windows XP系統(tǒng)內(nèi)建的用戶，和users（受限用戶）組中的賬號(hào)擁有同樣的訪問(wèn)能力，但是受到的限制更多。由于我們通常很少使用該用戶賬號(hào)登錄系統(tǒng)，因此也就不太關(guān)心guest賬號(hào)的安全了。正是由于我們對(duì)guest賬號(hào)的忽略，使得很多惡意程序利用這個(gè)疏漏入侵到系統(tǒng)中實(shí)施破壞或竊取信息。對(duì)guest賬號(hào)的安全可以采取以下兩個(gè)安全措施：

1．停用guest賬號(hào)

在實(shí)際的應(yīng)用中，我們很少會(huì)使用到guest賬號(hào)，因此將guest賬號(hào)停用不會(huì)影響到我們的正常使用，同時(shí)也可以徹底消除由guest賬號(hào)引起的一些安全隱患。在“控制面板”的“用戶賬號(hào)”中不能進(jìn)行g(shù)uest賬號(hào)的停用設(shè)置，這需要通過(guò)“計(jì)算機(jī)管理”功能來(lái)完成。

（1）右鍵單擊桌面的“我的電腦”，選擇“管理”命令，進(jìn)入“計(jì)算機(jī)管理”窗口；

（2）在“計(jì)算機(jī)管理”中，依次展開(kāi)“系統(tǒng)工具”—〉“本地用戶和組”—〉“用戶”，在右側(cè)窗格中雙擊“guest”項(xiàng)，在屬性設(shè)置窗口，選擇“賬號(hào)已停用”選項(xiàng)，點(diǎn)擊“確定”完成設(shè)置。

2．為用戶名稱變身

如果在應(yīng)用中要使用guest賬號(hào)，那么除了需要給guest賬號(hào)設(shè)置登錄密碼外，也可以采取類似于給administrator賬號(hào)變身的方法，將guest賬號(hào)的名稱改為其他的名稱。設(shè)置方法和administrator賬號(hào)變身的方法類似，只需要在組策略編輯器中，設(shè)置“安全選項(xiàng)”策略子集中的“賬號(hào)：重命名來(lái)賓賬號(hào)”策略的屬性就可以了，這里就不再過(guò)多地進(jìn)行介紹。

五、為用戶設(shè)置合適的身份：

在Windows XP系統(tǒng)中，administrator用戶通過(guò)“控制面板”的“用戶賬號(hào)”添加本地用戶的類型只有兩種：要么是隸屬于administrators組的管理員身份，要么是隸屬于users組的受限用戶身份。如果用戶身份為受限用戶，很多項(xiàng)目將被禁用，通常不能滿足實(shí)際應(yīng)用的要求。

但是用戶全被設(shè)置為管理員身份，每個(gè)用戶登錄系統(tǒng)后都可以隨意地對(duì)系統(tǒng)設(shè)置進(jìn)行更改，任意的設(shè)置其他用戶的訪問(wèn)權(quán)限，勢(shì)必會(huì)造成系統(tǒng)的混亂，甚至引起系統(tǒng)的崩潰，這種情況在共用的計(jì)算機(jī)中尤為甚之。例如：administrator用戶為了加強(qiáng)系統(tǒng)的安全，使用組策略編輯器對(duì)系統(tǒng)進(jìn)行很多的策略設(shè)置，可是其他具有管理員權(quán)限的用戶登錄系統(tǒng)后可能會(huì)有意或無(wú)意地將這些設(shè)置進(jìn)行更改，從而導(dǎo)致系統(tǒng)安全性降低。那么如何才能合理地設(shè)置用戶的身份呢。

其實(shí)，在Windows XP系統(tǒng)中，用戶賬號(hào)的類型不只是管理員和受限用戶兩種。根據(jù)不同的應(yīng)用目的，Windows XP內(nèi)置了多種用戶類型，如：擁有大部分管理權(quán)限的Power User用戶類型、擁有管理網(wǎng)絡(luò)功能配置權(quán)限的Network Configuration Operator用戶類型、擁有遠(yuǎn)程登錄權(quán)限的Remote Desktop User用戶類型等等。administrator用戶可以根據(jù)具體的應(yīng)用需求為其他的用戶設(shè)置適當(dāng)?shù)纳矸荨＿@種設(shè)置用戶身份的操作需要通過(guò)“計(jì)算機(jī)管理”功能實(shí)現(xiàn)。下面以將用戶jack的身份由受限用戶改為Power User為例介紹操作步驟：

（1）右鍵單擊桌面的“我的電腦”，選擇“管理”命令，在“計(jì)算機(jī)管理”中，依次展開(kāi) “系統(tǒng)工具”—〉“本地用戶和組”—〉“組”，在右側(cè)窗格中可以查看到不同用戶類型組能夠進(jìn)行操作的權(quán)限；

（2）點(diǎn)擊左側(cè)“本地用戶和組”下的“用戶”，雙擊要設(shè)置身份的用戶項(xiàng)，在該用戶的“屬性”窗口的“隸屬于”標(biāo)簽頁(yè)中，點(diǎn)擊“添加”按鈕；

（3）在“選擇組”窗口，點(diǎn)擊“高級(jí)”，并進(jìn)而點(diǎn)擊“立即查找”，在窗口下方的用戶組列表中選擇“Power Users”，點(diǎn)擊“確定”返回，再次點(diǎn)擊“確定”返回“選擇組”窗口，此時(shí)可以在“隸屬于”組列表中看到增加了“Power Users”項(xiàng)。

（4）點(diǎn)擊“確定”完成設(shè)置。

經(jīng)過(guò)上述的用戶身份設(shè)置，當(dāng)用戶使用jack賬號(hào)登錄系統(tǒng)后，由于受到操作權(quán)限的限制，當(dāng)用戶試圖進(jìn)行一些操作時(shí)，將被提示沒(méi)有權(quán)限執(zhí)行此操作。例如，當(dāng)jack用戶執(zhí)行g(shù)pedit.msc命令試圖打開(kāi)組策略編輯器時(shí)，將會(huì)得到警告信息。

上述用戶類型的設(shè)置方法和Windows NT4.0/Windows 2000 Server/Windows 2003 Server系統(tǒng)中用戶賬號(hào)的設(shè)置方法類似。使用過(guò)這些系統(tǒng)的朋友可能會(huì)更熟悉一些。

注意：文中提到的所有操作，都要求用戶以administrator用戶或administrators組成員的賬號(hào)身份登錄系統(tǒng)。

看了上面的介紹，作為管理員的你是否感覺(jué)到系統(tǒng)中用戶賬號(hào)的設(shè)置還不夠安全，沒(méi)有關(guān)系，趕快行動(dòng)吧。只有提高了用戶賬號(hào)的安全性，才能為系統(tǒng)的安全打下一個(gè)堅(jiān)實(shí)的基礎(chǔ)。