Guest帳戶用還是不用這是個問題?在默認狀態下很多Windows系統都會自動關閉Guest帳戶的啟用運行狀態許多對系統安全比較看重的用戶也會毫不猶豫地對Guest帳戶痛下殺手不讓其啟動運行在這些用戶看來只要開啟了Guest帳戶那麼Windows系統遭遇黑客攻擊將會不可避免!事實上我們只要對Guest帳戶進行巧妙管理完全可以在享受Guest帳戶帶給自己便利的同時也能有效保證系統的運行安全!這不現在本文就以Windows Server 系統為操作藍本向各位用戶貢獻幾則管好Guest帳戶的訣竅希望大家能從下面的內容中獲得幫助!
Guest帳戶的潛在威脅
為了保證系統能夠始終安全穩定運行Windows Server 系統特意為那些非系統管理員用戶提供了一個操作帳戶使用該帳戶來管理操作系統時普通用戶只能訪問對應系統中的少部分系統資源同時不能隨意對系統的各種參數設置進行自行修改從表面上來看Guest帳戶的啟用運行並沒有多大實際威脅不過Internet網絡中的許多狡猾黑客常常會利用Guest帳戶來想方設法間接竊取系統的管理員權限如此一來啟用運行了Guest帳戶的話那就相當於人為地為系統多開了一扇後門從而為黑客或木馬的非法攻擊帶來了便利
為了盡可能地避免各種非法攻擊Windows Server 系統在默認狀態下會自動關閉運行Guest帳戶的如果發現Guest帳戶已經處於啟用狀態時我們可以嘗試按照下面的操作來暫時關閉該帳戶的運行狀態
首先以系統管理員權限登錄進入Windows Server 系統打開該系統的開始菜單從中依次點選程序/管理工具命令在彈出的系統管理工具列表中雙擊計算機管理圖標打開對應系統的計算機管理窗口其次在該管理窗口的左側顯示區域用鼠標依次展開系統工具/本地用戶和組/用戶分支選項在對應用戶分支選項的右側顯示區域檢查Guest帳戶的啟用狀態是否正常一旦發現它已經正常啟動運行時我們可以直接用鼠標雙擊該帳戶圖標打開如圖所示的屬性設置窗口
圖一
下面在該設置窗口中選中帳戶已禁用選項再單擊確定按鈕如此一來Windows Server 系統中的Guest帳戶就已經被成功禁用了
當然如果我們不想讓其他用戶隨意啟用運行Guest帳戶時還可以采用一種比較極端的方法來將Guest帳戶的名稱從系統中直接刪除掉要進行這樣的操作時我們可以按照如下操作步驟來進行
首先用鼠標逐一點選Windows Server 系統的開始/運行命令在彈出的系統運行對話框中輸入字符串命令regedit單擊回車鍵後打開對應系統的注冊表編輯窗口其次在該注冊表編輯窗口的左側顯示區域依次展開HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names分支選項並從該分支下面選中Guest子項再將該子項選中同時依次單擊注冊表編輯窗口菜單欄中的編輯/刪除命令直接將Guest子項從系統注冊表中刪除干淨最後按F功能鍵刷新一下系統注冊表就能使上述設置正式生效了
Guest帳戶的調教
雖然Guest帳戶的啟用運行會給Windows Server 系統帶來不小的安全威脅不過我們只要對Guest帳戶進行合適調教仍然可以在享受Guest帳戶帶給自己便利的同時不降低系統的安全運行性能
為Guest帳戶換名
在局域網可信任工作環境中用戶之間常常需要進行共享交流如果直接將Guest帳戶關閉運行的話那麼局域網中的其他用戶往往就不能正常訪問Windows Server 系統中的共享資源了為了方便訪問共享資源我們可以嘗試為Windows Server 系統中的Guest帳戶進行換名確保局域網中的普通用戶仍然可以快速地訪問共享資源下面就是具體的設置操作
首先打開Windows Server 系統的開始菜單從中點選運行命令打開對應系統的運行對話框在其中輸入字符串命令gpeditmsc單擊確定按鈕進入Windows Server 系統的組策略控制台窗口其次在組策略控制台窗口的左側顯示區域將鼠標定位於計算機配置分支選項在目標分支選項下面依次點選Windows設置/本地策略/安全選項在對應安全選項下面找到帳戶重命名來賓帳戶目標組策略選項並用鼠標右鍵單擊該選項從彈出的快捷菜單中執行屬性命令打開目標組策略選項設置窗口如圖所示
圖二
在該設置窗口中將Guest帳戶的默認名稱修改為自己想要的名稱例如我們假設將它修改為normal再單擊確定按鈕保存好上述設置操作如此一來Guest帳戶的名稱就被成功修改為normal了
為Guest帳戶授權
我們知道一旦開通了Guest帳戶後非法攻擊者可能會利用該帳號進行遠程枚舉SAM和共享這樣可能會獲得Windows Server 系統的有效控制權限但是如果簡單地將該帳號關閉運行我們又不能享受到共享訪問的便利與快捷其實我們可以為Guest帳戶授予合適的共享訪問權限確保擁有該帳號的用戶只能簡單讀取目標共享資源內容而不能隨意進行更改或其他方面的危險操作這樣就能實現在啟用Guest帳戶的情況下Windows Server 系統運行仍然安全的目的下面就是具體的設置步驟
首先打開Windows Server 系統的資源管理器窗口從中找到目標共享資源用鼠標右鍵單擊目標共享文件夾圖標從彈出的快捷菜單中執行屬性命令打開目標共享文件夾的屬性設置對話框其次單擊該對話框中的安全標簽並在對應標簽設置頁面中單擊權限按鈕在其後出現的權限設置窗口中我們可以非常清楚地看到訪問此目標文件夾的所有用戶刪除管理員和Guest帳戶之外的其他所有用戶帳戶
下面選中Guest帳戶選項再為該帳戶授權合適的共享訪問權限例如可以授予讀取權限或列出文件夾目錄權限等最後單擊確定按鈕保存好上述設置操作就可以了
強行Guest用密碼
在啟用Guest帳戶的情況下Windows Server 系統在默認狀態下會允許Guest帳戶不使用密碼就能直接訪問到其中的目標共享資源很明顯這樣一來Windows Server 系統就容易遭遇非法訪問或其他安全威脅為了讓Windows Server 系統運行更安全我們可以為Guest帳戶設置一個強壯的密碼並且想辦法讓Windows Server 系統要求Guest帳戶必須輸入密碼才能完成共享訪問操作下面就是具體的設置步驟
首先以系統管理員權限登錄進入Windows Server 系統打開該系統的開始菜單從中依次點選程序/管理工具命令在彈出的系統管理工具列表中雙擊計算機管理圖標打開對應系統的計算機管理窗口
其次在該管理窗口的左側顯示區域用鼠標依次展開系統工具/本地用戶和組/用戶分支選項在對應用戶分支選項的右側顯示區域用鼠標右鍵單擊Guest帳戶從彈出的快捷菜單中執行屬性命令打開Guest帳戶的屬性設置窗口在該設置窗口中選中用戶下次登錄時須更改密碼選項再重新啟動一下Windows Server 系統我們就可以為該帳戶設置比較強壯的密碼了
其次依次點選Windows Server 系統的開始/運行命令在彈出的系統運行對話框中輸入字符串命令gpeditmsc單擊回車鍵後打開對應系統的組策略控制台窗口
下面在組策略控制台窗口的左側顯示區域將鼠標定位於計算機配置分支選項在目標分支選項下面依次點選Windows設置/本地策略/安全選項在對應安全選項下面找到網絡訪問本地帳戶的共享和安全模式目標組策略選項並用鼠標右鍵單擊該選項從彈出的快捷菜單中執行屬性命令打開目標組策略選項設置窗口如圖所示選中其中的經典—對本地用戶進行身份驗證不改變其本來身份選項再單擊確定按鈕保存好上述設置操作如此一來我們日後以Guest帳戶訪問Windows Server 系統中的目標共享資源時系統就會自動要求我們輸入共享訪問密碼而那些不知道Guest帳戶密碼的用戶自然也就不能隨意訪問目標共享資源內容了這樣的話Windows Server 系統的運行安全性在一定程度上就能得到有效保證了
圖三
允許Guest訪問網絡
有的時候在啟用Guest帳戶的情況下我們無法順利地訪問到Windows Server 系統中的目標共享資源但是使用其他用戶帳戶訪問目標共享資源時系統卻一切正常這是什麼原因呢?出現這種現象主要是Windows Server 系統在默認狀態下禁止Guest帳戶使用網絡訪問局域網共享資源的因此當我們決定啟用運行Guest帳戶後必須要及時修改Windows Server 系統的組策略參數讓其允許Guest正常訪問網絡
首先按照前面的操作步驟進入Windows Server 系統的組策略控制台窗口依次展開該窗口左側顯示區域中的計算機配置/Windows設置/本地策略/用戶權限指派分支選項在用戶權限分配分支選項的右側顯示區域找到拒絕從網絡訪問這台計算機目標組策略項目其次用鼠標雙擊拒絕從網絡訪問這台計算機目標組策略項目打開如圖所示的組策略屬性設置窗口從中選中Guest帳戶並單擊刪除按鈕最後單擊確定按鈕保存好上述設置操作這樣一來Windows Server 系統日後就能允許Guest帳戶正常通過網絡訪問目標共享資源了
圖四
From:http://tw.wingwit.com/Article/os/xtgl/201311/9371.html