51CTO獨家:Windows Server 2008下“管”好Guest帳戶
原創(chuàng)【51CTO.com 專家特稿】Guest帳戶用還是不用,這是個問題?在默認狀態(tài)下,很多Windows系統(tǒng)都會自動關閉Guest帳戶的啟用運行狀態(tài),許多對系統(tǒng)安全比較看重的用戶,也會毫不猶豫地對Guest帳戶“痛下殺手”,不讓其啟動運行,在這些用戶看來,只要開啟了Guest帳戶,那么Windows系統(tǒng)遭遇黑客攻擊將會不可避免!事實上,我們只要對Guest帳戶進行巧妙管理,完全可以在享受Guest帳戶帶給自己便利的同時,也能有效保證系統(tǒng)的運行安全!這不,現(xiàn)在本文就以Windows Server 2008系統(tǒng)為操作藍本,向各位用戶貢獻幾則“管”好Guest帳戶的訣竅,希望大家能從下面的內(nèi)容中獲得幫助!
Guest帳戶的潛在威脅
為了保證系統(tǒng)能夠始終安全、穩(wěn)定運行,Windows Server 2008系統(tǒng)特意為那些非系統(tǒng)管理員用戶提供了一個操作帳戶,使用該帳戶來管理操作系統(tǒng)時,普通用戶只能訪問對應系統(tǒng)中的少部分系統(tǒng)資源,同時不能隨意對系統(tǒng)的各種參數(shù)設置進行自行修改。從表面上來看,Guest帳戶的啟用運行并沒有多大實際威脅,不過Internet網(wǎng)絡中的許多狡猾黑客常常會利用Guest帳戶,來想方設法間接竊取系統(tǒng)的管理員權(quán)限,如此一來啟用運行了Guest帳戶的話,那就相當于人為地為系統(tǒng)多開了一扇后門,從而為黑客或木馬的非法攻擊帶來了便利。
為了盡可能地避免各種非法攻擊,Windows Server 2008系統(tǒng)在默認狀態(tài)下會自動關閉運行Guest帳戶的。如果發(fā)現(xiàn)Guest帳戶已經(jīng)處于啟用狀態(tài)時,我們可以嘗試按照下面的操作,來暫時關閉該帳戶的運行狀態(tài):
首先以系統(tǒng)管理員權(quán)限登錄進入Windows Server 2008系統(tǒng),打開該系統(tǒng)的“開始”菜單,從中依次點選“程序”/“管理工具”命令,在彈出的系統(tǒng)管理工具列表中,雙擊“計算機管理”圖標,打開對應系統(tǒng)的計算機管理窗口;其次在該管理窗口的左側(cè)顯示區(qū)域,用鼠標依次展開“系統(tǒng)工具”/“本地用戶和組”/“用戶”分支選項,在對應“用戶”分支選項的右側(cè)顯示區(qū)域,檢查Guest帳戶的啟用狀態(tài)是否正常,一旦發(fā)現(xiàn)它已經(jīng)正常啟動運行時,我們可以直接用鼠標雙擊該帳戶圖標,打開如圖1所示的屬性設置窗口;
圖一
下面在該設置窗口中,選中“帳戶已禁用”選項,再單擊“確定”按鈕,如此一來Windows Server 2008系統(tǒng)中的Guest帳戶就已經(jīng)被成功禁用了。
當然,如果我們不想讓其他用戶隨意啟用運行Guest帳戶時,還可以采用一種比較極端的方法,來將Guest帳戶的名稱從系統(tǒng)中直接刪除掉;要進行這樣的操作時,我們可以按照如下操作步驟來進行:
首先用鼠標逐一點選Windows Server 2008系統(tǒng)的“開始”/“運行”命令,在彈出的系統(tǒng)運行對話框中,輸入字符串命令“regedit”,單擊回車鍵后,打開對應系統(tǒng)的注冊表編輯窗口;其次在該注冊表編輯窗口的左側(cè)顯示區(qū)域,依次展開HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names分支選項,并從該分支下面選中Guest子項,再將該子項選中,同時依次單擊注冊表編輯窗口菜單欄中的“編輯”/“刪除”命令,直接將Guest子項從系統(tǒng)注冊表中刪除干凈,最后按F5功能鍵刷新一下系統(tǒng)注冊表,就能使上述設置正式生效了。
Guest帳戶的“調(diào)教”
雖然Guest帳戶的啟用運行會給Windows Server 2008系統(tǒng)帶來不小的安全威脅,不過我們只要對Guest帳戶進行合適“調(diào)教”,仍然可以在享受Guest帳戶帶給自己便利的同時,不降低系統(tǒng)的安全運行性能。
1、為Guest帳戶換名
在局域網(wǎng)可信任工作環(huán)境中,用戶之間常常需要進行共享交流,如果直接將Guest帳戶關閉運行的話,那么局域網(wǎng)中的其他用戶往往就不能正常訪問Windows Server 2008系統(tǒng)中的共享資源了。為了方便訪問共享資源,我們可以嘗試為Windows Server 2008系統(tǒng)中的Guest帳戶進行換名,確保局域網(wǎng)中的普通用戶仍然可以快速地訪問共享資源,下面就是具體的設置操作:
首先打開Windows Server 2008系統(tǒng)的“開始”菜單,從中點選“運行”命令,打開對應系統(tǒng)的運行對話框,在其中輸入字符串命令“gpedit.msc”,單擊“確定”按鈕,進入Windows Server 2008系統(tǒng)的組策略控制臺窗口;其次在組策略控制臺窗口的左側(cè)顯示區(qū)域,將鼠標定位于“計算機配置”分支選項,在目標分支選項下面依次點選“Windows設置”/“本地策略”/“安全選項”,在對應“安全選項”下面,找到“帳戶:重命名來賓帳戶”目標組策略選項,并用鼠標右鍵單擊該選項,從彈出的快捷菜單中執(zhí)行“屬性”命令,打開目標組策略選項設置窗口,如圖2所示;
圖二
#p#在該設置窗口中,將Guest帳戶的默認名稱修改為自己想要的名稱,例如我們假設將它修改為“normal”,再單擊“確定”按鈕保存好上述設置操作,如此一來Guest帳戶的名稱就被成功修改為“normal”了。
2、為Guest帳戶授權(quán)
我們知道,一旦開通了Guest帳戶后,非法攻擊者可能會利用該帳號進行遠程枚舉SAM和共享,這樣可能會獲得Windows Server 2008系統(tǒng)的有效控制權(quán)限,但是如果簡單地將該帳號關閉運行,我們又不能享受到共享訪問的便利與快捷。其實,我們可以為Guest帳戶授予合適的共享訪問權(quán)限,確保擁有該帳號的用戶只能簡單讀取目標共享資源內(nèi)容,而不能隨意進行更改或其他方面的危險操作,這樣就能實現(xiàn)在啟用Guest帳戶的情況下Windows Server 2008系統(tǒng)運行仍然安全的目的,下面就是具體的設置步驟:
首先打開Windows Server 2008系統(tǒng)的資源管理器窗口,從中找到目標共享資源,用鼠標右鍵單擊目標共享文件夾圖標,從彈出的快捷菜單中執(zhí)行“屬性”命令,打開目標共享文件夾的屬性設置對話框;其次單擊該對話框中的“安全”標簽,并在對應標簽設置頁面中單擊“權(quán)限”按鈕,在其后出現(xiàn)的權(quán)限設置窗口中,我們可以非常清楚地看到訪問此目標文件夾的所有用戶,刪除管理員和Guest帳戶之外的其他所有用戶帳戶;
下面選中Guest帳戶選項,再為該帳戶授權(quán)合適的共享訪問權(quán)限,例如可以授予“讀取”權(quán)限或“列出文件夾目錄”權(quán)限等,最后單擊“確定”按鈕保存好上述設置操作就可以了。
3、強行Guest用密碼
在啟用Guest帳戶的情況下,Windows Server 2008系統(tǒng)在默認狀態(tài)下會允許Guest帳戶不使用密碼,就能直接訪問到其中的目標共享資源,很明顯,這樣一來Windows Server 2008系統(tǒng)就容易遭遇非法訪問或其他安全威脅。為了讓Windows Server 2008系統(tǒng)運行更安全,我們可以為Guest帳戶設置一個“強壯”的密碼,并且想辦法讓Windows Server 2008系統(tǒng)要求Guest帳戶必須輸入密碼才能完成共享訪問操作,下面就是具體的設置步驟:
首先以系統(tǒng)管理員權(quán)限登錄進入Windows Server 2008系統(tǒng),打開該系統(tǒng)的“開始”菜單,從中依次點選“程序”/“管理工具”命令,在彈出的系統(tǒng)管理工具列表中,雙擊“計算機管理”圖標,打開對應系統(tǒng)的計算機管理窗口;
其次在該管理窗口的左側(cè)顯示區(qū)域,用鼠標依次展開“系統(tǒng)工具”/“本地用戶和組”/“用戶”分支選項,在對應“用戶”分支選項的右側(cè)顯示區(qū)域,用鼠標右鍵單擊Guest帳戶,從彈出的快捷菜單中執(zhí)行“屬性”命令,打開Guest帳戶的屬性設置窗口,在該設置窗口中選中“用戶下次登錄時須更改密碼”選項,再重新啟動一下Windows Server 2008系統(tǒng),我們就可以為該帳戶設置比較“強壯”的密碼了;
其次依次點選Windows Server 2008系統(tǒng)的“開始”/“運行”命令,在彈出的系統(tǒng)運行對話框中,輸入字符串命令“gpedit.msc”,單擊回車鍵后,打開對應系統(tǒng)的組策略控制臺窗口;
下面在組策略控制臺窗口的左側(cè)顯示區(qū)域,將鼠標定位于“計算機配置”分支選項,在目標分支選項下面依次點選“Windows設置”/“本地策略”/“安全選項”,在對應“安全選項”下面,找到“網(wǎng)絡訪問:本地帳戶的共享和安全模式”目標組策略選項,并用鼠標右鍵單擊該選項,從彈出的快捷菜單中執(zhí)行“屬性”命令,打開目標組策略選項設置窗口,如圖3所示,選中其中的“經(jīng)典—對本地用戶進行身份驗證,不改變其本來身份”選項,再單擊“確定”按鈕保存好上述設置操作,如此一來我們?nèi)蘸笠訥uest帳戶訪問Windows Server 2008系統(tǒng)中的目標共享資源時,系統(tǒng)就會自動要求我們輸入共享訪問密碼,而那些不知道Guest帳戶密碼的用戶,自然也就不能隨意訪問目標共享資源內(nèi)容了,這樣的話Windows Server 2008系統(tǒng)的運行安全性在一定程度上就能得到有效保證了。
圖三
4、允許Guest訪問網(wǎng)絡
有的時候,在啟用Guest帳戶的情況下,我們無法順利地訪問到Windows Server 2008系統(tǒng)中的目標共享資源,但是使用其他用戶帳戶訪問目標共享資源時,系統(tǒng)卻一切正常,這是什么原因呢?出現(xiàn)這種現(xiàn)象,主要是Windows Server 2008系統(tǒng)在默認狀態(tài)下,禁止Guest帳戶使用網(wǎng)絡訪問局域網(wǎng)共享資源的,因此當我們決定啟用運行Guest帳戶后,必須要及時修改Windows Server 2008系統(tǒng)的組策略參數(shù),讓其允許Guest正常訪問網(wǎng)絡:
首先按照前面的操作步驟進入Windows Server 2008系統(tǒng)的組策略控制臺窗口,依次展開該窗口左側(cè)顯示區(qū)域中的“計算機配置”/“Windows設置”/“本地策略”/“用戶權(quán)限指派”分支選項,在“用戶權(quán)限分配”分支選項的右側(cè)顯示區(qū)域,找到“拒絕從網(wǎng)絡訪問這臺計算機”目標組策略項目;其次用鼠標雙擊“拒絕從網(wǎng)絡訪問這臺計算機”目標組策略項目,打開如圖4所示的組策略屬性設置窗口,從中選中Guest帳戶,并單擊“刪除”按鈕,最后單擊“確定”按鈕保存好上述設置操作,這樣一來Windows Server 2008系統(tǒng)日后就能允許Guest帳戶正常通過網(wǎng)絡訪問目標共享資源了。
圖四
【編輯推薦】
