计算机安全技术TOOLS教程课件4.3.1 账号安全管理.docVIP

4.3.1 账号安全管理 1．重命名和禁用默认的账户 安装好Windows XP Professional后，系统会自动建立两个账户：Administrator和Guest。 在Windows XP Professional中，右键单击桌面上【我的电脑】图标，选择【管理】菜单项，打开【计算机管理】窗口，如图4-2所示。在左边列表中找到并展开【本地用户和组】，单击【用户】，可以看到系统中的账户。 （1）Administrator账户 Administrator（管理员）账户拥有计算机的最高管理权限，每一台计算机至少需要一个拥有管理员权限账户，但不一定必须使用Administrator这个名称。黑客入侵计算机系统的常用手段之一就是试图获得管理员账户的密码。如果系统的管理员账户的名称没有修改，那么黑客将轻易得知管理员账户的名称，接下来就是寻找密码了。比较安全的做法是对系统的管理员账户的名称进行修改，这样，如果黑客要得到计算机系统的管理员权限，需要同时猜测账户的名称和密码，增加了黑客入侵的难度。 （2）Guest账户 在Windows XP Professional中，Guest账户即所谓的来宾账户，只有基本的权限并且默认是禁用的。如果不需要Guest账户，一定禁用它，因为Guest也为黑客入侵提供了方便。 禁用Guest账户的方法是，在图4-2右边窗口中，双击Guest账户，在弹出的【Guest属性】对话框中选中【账户已停用】。 注意： 在Windows XP Home中，不允许停用Guest账户，那么一定要为Guest账户设置复杂的密码。不要忘记为所有账户设置足够复杂的密码。 图4-3 本地安全设置 2．可靠的密码 （1）密码策略 尽管绝对安全的密码是不存在的，但是相对安全的密码还是可以实现的。在开始菜单中打开【运行】对话框，输入secpol.msc打开【本地安全设置】窗口，如图4-3所示，展开【账户策略】，单击【密码策略】，右侧有6项关于密码的设置策略，通过这些策略的配置，就可以建立完备密码策略，这样密码就可以得到最大限度的保护。关于这六个策略的说明见表4-1。 （2）操作系统的登录密码 Windows XP的登录密码存放在系统的C:\WINDOWS\system32\config下的sam文件中，sam文件就是存放账号和密码的数据库文件。当登录系统时，系统会自动和sam进行比较，如果发现此账号和密码与sam文件中的加密数据符合，用户就会顺利登录，如果错误则无法登录。 注意： 为了保障密码安全性，用户应该过一段时间就要更改自己的密码。 （3）给账户双重加密 虽然为账户设置了复杂的密码，但密码总有被破解的可能。此时可以为账户设置双重加密。 在开始菜单中打开【运行】对话框，输入syskey打开【保证Windows XP账户数据库的安全】对话框，如图4-4所示，选中【启用加密】，单击【确定】按钮，这样程序就对账户完成了双重加密，不过这个加密过程对用户来说是透明的。 注意： 该项操作是不可逆，一旦启用加密则不可以禁用。 图4-4 保证Windows XP账户数据库的安全 图4-5 启动密码 如果想更进一步体验这种双重加密功能，那么可以在图4-4中单击【更新】按钮，打开【启动密码】对话框，如图4-5所示，这里有【启动密码】和【系统产生的密码】两个选项。 如果选择【启动密码】，那么需要自己设置一个密码，这样在登录Windows XP之前需要先输入这个密码，然后才能选择登录的账户。 如果选择【系统产生的密码】，那么又有两个选项，系统的默认选项是【在本机上保存启动密码】，如果选择该选项，那么程序仅在后台完成加密过程，在用户登录时不要求输入任何密码，因为密码就保存在计算机的内部。如果对安全要求很高，那么可以选择【在软盘上保存启动密码】，单击【确定】按钮之后会提示在软驱里放入一张软盘，创建完毕后会在软盘上生成一个StartKey.Key文件，以后每次启动系统时必须放入该软盘才能登录，此时相当于系统有了一张可以随身携带的钥匙盘。 注意： 如果选择【在软盘上保存启动密码】，则建议创建一张备用盘。 3．最小特权原则