限制用戶賬戶權限來加強系統安全

 　　當我們在討論系統安全性和便利性之間的權衡問題時，將天平過度向便利性傾斜有時會帶來災難性的後果。因此，犧牲掉一定的便利性，通過限制用戶賬戶權力來加強系統安全，應是值得注意並且不可回避的問題。

　　對賬戶名的隱藏

　　具體可以通過修改注冊表實現：

　　1. 在“開始”菜單的“運行”處運行“regedit”命令，進入注冊表編輯器;

　　2. 打開HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/SpecialAccounts/UserList, 創建一個新的DWORD值，將這個值的名稱設為要隱藏的賬戶名，並將值設為0 xp系統下載。

　　如此，你隱藏的賬戶(如管理員賬戶)就不會出現在歡迎屏幕上。而要登錄到歡迎屏幕上沒有的賬戶，可以按兩次Ctrl+Alt+Delete顯示出“登錄到Windows”對話框，輸入用戶名和密碼即可。不過，以這種方式隱藏的賬戶是不能使用快速用戶切換功能的，因為按兩次Ctrl+Alt+Delete的技巧只能在沒有其他人登錄進計算機時方能奏效。

　　作者在寢室就是把自己的管理員賬戶隱藏了起來，只在歡迎屏幕上留了個公用賬戶，同學要進系統只需輸入密碼即可。如此既方便了同學，又阻止了好事者對我管理員密碼的追問。

　　通過自動登錄來強制進入特定賬戶

　　當然，還可以做得更絕，就是使用看起來似乎並不安全的自動登錄功能。如此一來，你就可以強制其他用戶進入一個特定賬戶，而不用激起他們猜測其它賬戶的密碼的好奇心。具體方法：

　　1. 在“開始”菜單的“運行”處運行control userpasswords2命令，進入“用戶賬戶”，在“用戶”標簽一欄，取消“要使用本機，用戶必須輸入用戶名和密碼”復選框，並單擊“確定”(如圖1);

　　2. 其後，Windows會彈出一個提示框(如圖2)，要求你輸入每次計算機啟動時自動登錄所使用的賬戶的用戶名和密碼。

　　當然，還可在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon主鍵中進行其它的設置來進一步控制自動登錄過程：

　　1. 其實，用戶在完成自動登錄後，完全可以注銷賬戶，然後重新返回到歡迎屏幕，再選擇其它賬戶登錄。如此，設置自動登錄就顯得意義不大了。為了避免這種情況的發生，可以在上面提到的主鍵中添加一個名為ForceAutoLogon的字符串值，並將這個值設為1。這樣，系統即便是在注銷之後也會自動登錄到指定的賬戶;

　　2. 在默認情況下，在啟動時可以按住Shift鍵來阻止自動登錄。要消除Shift鍵對自動登錄的影響，可以添加一個名為IgnoreShiftOverride的字符串值，並將該值設為1;

　　3. 還可限制自動登錄能夠進行的次數，使其達到這個次數後，自動關閉這個功能。如此需要添加一個名為AutoLogonCount的DWORD值，將其設為希望使用自動登錄的次數。這樣，計算機每次啟動並執行自動登錄時，AutoLogonCount的值就會減1。減到0時，Windows就會將AutoAdminLogon的值改為0(關閉自動登錄)並刪除AutoLogonCount值。

　　強烈建議給自己留一道後門，如果你按照上述全部方法設置之後，就再也不能用其它賬戶進行登錄了。當然，你所指定的賬戶若至少是user級(那已經算是比較安全的級別了)，那雖然不能修改注冊表，還至少能夠運行control userpasswords2命令，如此還有回旋的余地。

　　限制對硬盤分區和文件夾的使用

　　你若是覺得限制用戶賬戶權力還不夠，某些分區也不希望別人使用或是只給予他們讀取和運行的權力，那麼可以對其安全屬性進行設置(前提條件是系統應為windows xp Pro且你的分區必須是NTFS格式，這樣其屬性中才有“安全”標簽欄，若還是FAT格式，建議用PQMagic等軟件將其轉為NTFS格式，這樣對系統安全較有利)。具體步驟如下：

　　1. 以管理員身份登錄系統後，在“我的電腦”中，右擊某個分區，選擇“屬性”—〉“安全”，在“安全”標簽欄中，可以添加或刪除該分區所隸屬的組或用戶，選定某個用戶後可以對其權限進行選擇設置(如圖3);

　　2. 若要添加用戶，就點擊“添加”，在“選擇用戶或組”窗口，點擊“高級”，進而點擊“立即查找”，在窗口下方的用戶組列表中選擇一個用戶，確定後返回“安全”標簽，此時可以在“組或用戶名稱”欄中看到添加的用戶;

　　3. 選定一個用戶後點“刪除”即可將其刪去。這樣，你可以去掉其他用戶，使該分區僅隸屬於管理員用戶，當以其他用戶賬戶登錄系統時，便不能進入和使用該分區深度xp系統下載。

　　若不想做得太絕，也為了自己以用戶身份登錄時的方便，可以僅保留管理員用戶和Everyone用戶：

　　點選Everyone用戶，在下面的權限欄中僅點選“讀取和運行”項(同時自動選定“列出文件夾目錄”和“讀取”權限)，如此其他用戶便不能在該分區中寫入新信息了。

　　當然，也可讓分區中的某個文件夾不被其他用戶使用，操作同上(只是右擊對象換為文件夾)。不過，此處必須解決一個問題，即“父系繼承權”。在刪除文件夾所隸屬的某個用戶時會跳出一個安全提示框(如圖4)，提示你不能刪除用戶。這是因為該文件夾所在的分區或文件夾，它們所隸屬的該用戶並未被刪除，所以不能執行刪除操作(但可執行添加操作)。這時應切斷子文件夾對父系文件夾權限的繼承，具體操作如下：

　　在“屬性”的“安全”欄點擊“高級”按鈕，在“權限”標簽欄下取消“從父項繼承那些可以應用到子對象的權限項目，包括那些在此明確定義的項目”復選框(如圖5)。確定後會跳出一個安全提示框，選“復制”按鈕，完成操作。這樣就能夠執行刪除操作了。

　　注意：以上所有操作，均要求用戶以管理員或是其組成員身份登錄系統。