系統(tǒng)管理員安全設(shè)置

swolook 2010-04-20

展開全文

　操作系統(tǒng)的安全是電腦網(wǎng)絡(luò)安全體系中最基礎(chǔ)、也是最重要的一環(huán)，如果把操作系統(tǒng)比作一座城池的話，那么用戶登錄帳戶就是這座城池的大門。為了守住系統(tǒng)大門、抵擋黑客木馬入侵，對用戶帳戶進(jìn)行有效的安全設(shè)置是非常重要的。但是在Windows操作系統(tǒng)中，有一個著名的Administrator超級管理員帳戶漏洞，該漏洞的存在使得系統(tǒng)無形中對黑客木馬開了一道隱形的大門，面臨巨大的安全威脅。
　　為了處理Administrator漏洞給電腦系統(tǒng)帶來的安全威脅，本文詳細(xì)介紹了該漏洞的成因以及解決方法，希望能為讀者提供一些參考。　

　　(圖：系統(tǒng)帳戶安全設(shè)置不當(dāng)，黑客即可遠(yuǎn)程入侵)
　　用戶帳戶的重要性
　　在處理各種安全威脅時，很多人都把關(guān)注點放在了如何防御網(wǎng)頁掛馬、如何提防優(yōu)盤病毒上，雖然網(wǎng)頁掛馬和移動存儲是病毒傳播的兩大重要載體，但大家往往忽視了操作系統(tǒng)用戶帳戶的安全性。事實上，如果我們把守好用戶帳戶這個“大門”，就能有效抵擋很多網(wǎng)絡(luò)安全威脅。
　　Windows系統(tǒng)的用戶帳戶機(jī)制
　　Windows操作系統(tǒng)為用戶提供了用戶帳戶機(jī)制來管理系統(tǒng)，用戶帳戶擁有不同的分級權(quán)限。以Windows XP為例，將用戶帳戶分成“組”和“用戶”這種體系結(jié)構(gòu)。它把多個用戶列入不同的組中，每個組都有不同的權(quán)限。例如，除了SYSTEM這個最高權(quán)限的組外(即擁有運行各種系統(tǒng)服務(wù)權(quán)限的組)，擁有最常用、最高權(quán)限的用戶組就是Administrators了，而超級管理員帳戶Administrator就隸屬于該組。而Administrator帳戶可以說擁有對系統(tǒng)至高無上的操作權(quán)限，能夠新建、刪除各種帳戶、對硬盤文件進(jìn)行各種操作、隨意安裝各種軟件程序、修改各種系統(tǒng)和網(wǎng)絡(luò)設(shè)置……因此，可以說，Administrator這個擁有最高權(quán)限的超級管理員帳戶是黑客和木馬的最愛?！?/font>

　　(圖：當(dāng)用戶帳戶被黑客突破，電腦還有什么安全可言?)
　　著名的“Administrator超級大漏洞”
　　由于對Administrator帳戶處理不當(dāng)而帶來的麻煩，可謂是數(shù)不勝數(shù)。在Windows XP中，最著名的當(dāng)屬“Administrator超級大漏洞”。因為在安裝系統(tǒng)過程中，用戶在新建帳戶的同時，系統(tǒng)會缺省產(chǎn)生一個Administrator超級管理員帳戶，而許多人往往不會為這個帳戶設(shè)置密碼，這就讓用戶自建的帳戶形同虛設(shè)——在XP登錄界面連續(xù)按兩次Ctrl+Alt+Del組合鍵就可以打開傳統(tǒng)登錄窗口，輸入Administrator和空密碼即可登錄系統(tǒng)，從而可對電腦系統(tǒng)進(jìn)行任何操作。因此，這是對超級管理員帳戶Administrator處理不當(dāng)而留下的自然性漏洞。對于許多黑客來說，通過該漏洞就可不費吹灰之力得到對系統(tǒng)的最高控制權(quán)限?！　?/font>

　　(圖：系統(tǒng)缺省產(chǎn)生的Administrator超級大漏洞，通過傳統(tǒng)登錄窗口就可進(jìn)入)
　　由此可知，如果我們沒有處理好系統(tǒng)默認(rèn)產(chǎn)生的Administrator帳戶，就等于在“城墻”上開了一道隱形的大門，黑客木馬們?nèi)肭窒到y(tǒng)就如入無人之境。為了補(bǔ)上這個超級大漏洞，本文給出了一些方法和建議，僅供參考。　

　　(圖：系統(tǒng)缺省產(chǎn)生而又被用戶忽視的Administrator帳戶給電腦留下了一個隱形漏洞)
　　一、Administrator漏洞是如何產(chǎn)生的
　　Administrator漏洞的產(chǎn)生有兩種情況：
　　第一種是用戶使用全自動、無人監(jiān)守方式安裝系統(tǒng)時，會自動生成Administrator帳戶。這樣雖然系統(tǒng)安裝好后只有這一個帳戶，但由于Administrator是超級管理員帳戶，擁有對系統(tǒng)最高的控制權(quán)限，因此也就給黑客和木馬們留下了可乘之機(jī)。當(dāng)用戶因為瀏覽掛馬網(wǎng)頁或使用優(yōu)盤導(dǎo)致中毒時，病毒木馬就擁有了對系統(tǒng)進(jìn)行各種破壞性操作的最高權(quán)限，就算用戶給賬號設(shè)置了密碼也無法應(yīng)對中了毒的系統(tǒng);而且一旦被黑客突破密碼進(jìn)入系統(tǒng)，黑客也可以對用戶的系統(tǒng)進(jìn)行任意操作。以上種種情況，是因為用戶平時使用Administrator帳戶作為主帳戶，這樣不但自己對系統(tǒng)擁有最高的操作權(quán)限，黑客和木馬們也有了這個權(quán)限?！　?/font>

　　(圖：隸屬于Administrators組的Administrator是擁有最高權(quán)限的超級管理員帳戶)
　　第二種情況是用戶使用手動方式安裝操作系統(tǒng)時，在創(chuàng)建用戶帳戶這一步，用戶往往會給自己新建一個帳戶，而沒有注意系統(tǒng)會缺省產(chǎn)生一個Administrator超級管理員帳戶(甚至不給它設(shè)置密碼)，這樣用戶以后就一直使用自己創(chuàng)建的帳戶登錄系統(tǒng)，而系統(tǒng)缺省產(chǎn)生的Administrator帳戶就成了一個安全隱患——黑客們突破不了用戶自建的帳戶，但總可以輕易登錄沒有密碼保護(hù)的Administrator帳戶吧?　　

　　(圖：在登錄界面連按兩次Ctrl+Alt+Del組合鍵就可用傳統(tǒng)登錄界面登錄Administrator帳戶)
　　以上介紹的兩種情況說明，不管我們平時是用系統(tǒng)自動產(chǎn)生的唯一帳戶Administrator，還是使用自建帳戶而忽視了超級管理員帳戶Administrator，都存在安全隱患。Administrator帳戶的高權(quán)限，給黑客木馬們帶來了無盡的想象。不管我們是用唯一的Administrator帳戶登錄系統(tǒng)，還是用自建系統(tǒng)而忽視缺省的Administrator，只要沒有對它進(jìn)行有效的安全設(shè)置，那么我們的系統(tǒng)在黑客面前就是“透明的”、“赤裸的”。
　　二、黑客木馬阻擊戰(zhàn)：改名、停用、刪除Administrator帳戶
　　為了修補(bǔ)Administrator這個“自然”產(chǎn)生的、致命的超級大漏洞，我們需要對它進(jìn)行有效的安全設(shè)置，來杜絕黑客們遠(yuǎn)程或他人近程對自己系統(tǒng)的長驅(qū)直入。在這里有四種方法可以對Administrator帳戶進(jìn)行安全設(shè)置和限制：
　　1、把超級管理員帳戶Administrator改名;
　　2、把超級管理員帳戶Administrator停用;
　　3、把超級管理員帳戶Administrator刪除;
　　4、自己另外創(chuàng)建一個以Administrator為名的受限制的非管理員帳戶，以迷惑黑客(前提是先刪除真正的Administrator超級管理員帳戶)。
　　這四種方法可以分別單獨使用，也可以結(jié)合起來使用，具體我們可根據(jù)自己的實際需求來選擇。
　　接下來我們就詳細(xì)介紹一下這四種方法，內(nèi)容如下：
　　首先，我們介紹一下測試電腦的操作系統(tǒng)配置情況：
　　測試機(jī)安裝的操作系統(tǒng)是Windows XP Professional SP3，只有一個用戶帳戶Administrator(超級管理員帳戶)。為了介紹修復(fù)Administrator漏洞的四種方法，我們另外新建了一個名為Garfield的用戶帳戶(同時隸屬于Administrators組和Users組)。
　　在控制面板——用戶帳戶中，點擊“創(chuàng)建一個新帳戶”：　

　　將新帳戶命名為Garfield：　　

　　將該新帳戶設(shè)置為“計算機(jī)管理員”：　

　　現(xiàn)在，系統(tǒng)里已經(jīng)有兩個計算機(jī)管理員帳戶了，分別是系統(tǒng)缺省產(chǎn)生的Administrator和自己新建的Garfield帳戶：　　

　　下圖是兩個帳戶的屬性，可以看出Administrator和Garfield這兩個計算機(jī)管理員帳戶都隸屬于Administrators組：　　

　　為了區(qū)分兩個帳戶，我們分別對之設(shè)置了不同的帳戶頭像和桌面背景。下圖是Administrator帳戶的桌面設(shè)置情況：　　

　　下圖是Garfield帳戶的桌面設(shè)置情況：　

　　在配置好Administrator和Garfield這兩個計算機(jī)管理員帳戶后，接下來我們就開始介紹如何對Administrator帳戶進(jìn)行安全設(shè)置和限制(注：以下的操作都是在登錄Garfield帳戶后進(jìn)行的，即在Garfield帳戶環(huán)境下對Administrator帳戶進(jìn)行各種操作)：
　　1、把超級管理員帳戶Administrator改名
　　黑客們對電腦系統(tǒng)進(jìn)行遠(yuǎn)程登錄時，往往會首先挑Administrator帳戶下手，因為該帳戶不但擁有最高的操作權(quán)限，而且往往都是空密碼。因此，杜絕該帳戶漏洞的一個重要方法，就是把Administrator改名。
　　點擊“開始”菜單——“運行”，在彈出的“運行”對話框中輸入gpedit.msc并回車，打開組策略編輯窗口：　

　　在組策略編輯窗口中，定位到計算機(jī)配置——Windows 設(shè)置——安全設(shè)置——本地策略——安全選項，然后雙擊右側(cè)窗口中的“帳戶：重命名系統(tǒng)管理員帳戶”：　

　　在彈出的“帳戶：重命名系統(tǒng)管理員帳戶”屬性窗口中，將Administrator改名為SuperAdmin：　　

　　這樣，系統(tǒng)默認(rèn)存在的超級管理員帳戶Administrator的登錄名稱就變成了SuperAdmin，它和我們自己之前創(chuàng)建的Garfield帳戶共同隸屬于Administrators用戶組：　

　　在把Administrator帳戶改名為SuperAdmin后，黑客若想用Administrator這個登錄名稱遠(yuǎn)程登錄我們的電腦，就會出現(xiàn)如下提示，顯示無法登錄：　

　　而只有在正確輸入改名后的SuperAdmin，我們才能登錄這個系統(tǒng)默認(rèn)產(chǎn)生的超級管理員帳戶：　

　　小結(jié)：把超級管理員帳戶Administrator改名后，能有效阻止黑客通過默認(rèn)的管理員帳戶遠(yuǎn)程登錄我們的電腦。這種方法適用于把Administrator當(dāng)作唯一使用帳戶的用戶;而對于使用自建帳戶的用戶來說，保留一個改過名的超級管理員帳戶也方便了自己以后用這個帳戶進(jìn)行高權(quán)限的修改操作。
　　2、把超級管理員帳戶Administrator停用
　　雖然把Administrator帳戶改名后能有效抵擋黑客的遠(yuǎn)程入侵，但是如果黑客用其他方法獲取了改名后的超級管理員帳戶名稱和密碼，他就可以照樣登錄我們的電腦進(jìn)行破壞，而超級管理員帳戶所擁有的高權(quán)限使得該帳戶一旦被黑客突破，我們的電腦系統(tǒng)就沒有任何安全可言。因此，最保險的方法是把超級管理員帳戶Administrator停用。
　　打開控制面板，依次點擊“性能和維護(hù)”——“管理工具”——“計算機(jī)管理”，打開“計算機(jī)管理”窗口：　

　　在計算機(jī)管理窗口中，定位到系統(tǒng)工具——本地用戶和組——用戶，然后在右側(cè)的Administrator上單擊右鍵，選擇屬性：　

　　在彈出的“Administrator 屬性”窗口中，我們勾選上“帳戶已停用”前的復(fù)選框：　

　　點擊“確定”回到計算機(jī)管理窗口，我們可以看到此時的Administrator帳戶前面已經(jīng)多了一個紅色的叉，說明該帳戶已經(jīng)被停用了：　

　　之后用Administrator登錄系統(tǒng)，會出現(xiàn)如下提示，提示該帳戶已經(jīng)被停用：　

　　小結(jié)：超級管理員帳戶Administrator被停用后，不管是黑客還是其他人都無法再通過這個帳戶登錄系統(tǒng)，這樣就有效保證了系統(tǒng)的安全。當(dāng)然如果把Administrator改名后再停用，安全效果會更好。
　　3、把超級管理員帳戶Administrator刪除
　　雖然把超級管理員帳戶Administrator改名或停用能有效阻止黑客的入侵，但對于一些技術(shù)高超的黑客來說，他們不但能通過其他方法獲取改名后的超級管理員帳戶名稱和密碼，甚至可以把停用的帳戶再啟用。為了杜絕這樣的安全隱患，我們就干脆將超級管理員帳戶Administrator刪除，讓黑客“無門可登”。
　　但Administrator是系統(tǒng)缺省的超級管理員帳戶，在整個用戶帳戶體系中有著非同一般的地位和重要性，哪能說刪就刪?的確，超級管理員帳戶Administrator不是輕易就能刪掉的，不但在控制面板中的用戶帳戶管理窗口中很難見到它的影子，就連在本地用戶管理器中也無法將它刪除。
　　在控制面板中的用戶帳戶管理窗口中，若系統(tǒng)只有Administrator這一個帳戶，則該帳戶將顯示出來但不能刪除;若系統(tǒng)還有用戶自己建立的其他帳戶，則Administrator會自動隱藏?？傊诳刂泼姘逯械挠脩魩艄芾泶翱谥惺菬o法將Administrator刪除的：　　

　　同樣，在計算機(jī)管理——系統(tǒng)工具——本地用戶和組——用戶窗口中，我們也無法刪除Administrator，提示“無法在內(nèi)置帳戶上運行此操作”：　　

　　用以上這兩種常規(guī)的方法是無法刪除Administrator這個系統(tǒng)內(nèi)置的超級管理員帳戶的，那么就沒有辦法刪除它了嗎?有，我們可以用修改注冊表的方式刪除Administrator：
　　點擊“開始”——“運行”，在彈出的“運行”對話框中輸入regedt32.exe并回車(注意不要用regedit.exe，后者沒有安全設(shè)置方面的功能)：　　

　　在彈出的注冊表編輯器窗口中，定位到HEKY_LOCAL_MACHINE/SAM，在SAM子鍵上點右鍵選擇“權(quán)限…”菜單：　

　　在“SAM 的權(quán)限”設(shè)置窗口中，選中“組或用戶名稱”下的“Administrators (GARFIELDPC\Administrators)”用戶組(即自己創(chuàng)建的Garfield帳戶所在的用戶組)，然后確保“Administrators 的權(quán)限”下的“完全控制”已經(jīng)勾上了“允許”。這樣就設(shè)置了SAM子鍵為自己能夠完全讀寫：　　

　　同樣，我們再定位到HKEY_LOCAL_MACHINE/SECURITY，在SECURITY子鍵上點右鍵選擇“權(quán)限…”菜單：　　

　　在“SECURITY 的權(quán)限”窗口中，我們同樣設(shè)置自己能夠完全讀寫SECURITY子鍵：　

　　設(shè)置完SAM子鍵和SECURITY子鍵為自己能夠完全讀寫后，我們接下來關(guān)閉再重新啟動該注冊表編輯器(也可以按F5刷新注冊表編輯器)。這樣原先的SECURITY子鍵下就顯示出了許多原來隱藏的子鍵：　　

　　接下來我們定位到HKEY_LOCAL_MACHINE\SECURITY\SAM\Domains\Account\Users\Names\Administrator子鍵，因為我們之前可能給超級管理員帳戶設(shè)置了其他名字，所以我們要確認(rèn)該子鍵的默認(rèn)二進(jìn)制值為0X1f4(在注冊表編輯器右側(cè)“類型”下顯示的數(shù)據(jù))。首先我們把Administrator子鍵導(dǎo)出備份：　

　　然后我們再把Administrator子鍵刪除：　

　　同樣我們再定位到HKEY_LOCAL_MACHINE\SECURITY\SAM\Domains\Account\Users\000001F4子鍵，導(dǎo)出000001F4子鍵備份后，也把該子鍵刪除(這是內(nèi)置管理員賬號的SID值，Administrator一般對應(yīng)000001F4，Guest一般對應(yīng)000001F5)：　　

　　我們把以上兩個注冊表子鍵刪除以后，退出并重啟電腦，會驚喜地發(fā)現(xiàn)超級管理員帳戶Administrator已經(jīng)不見了，被刪除了。本地用戶管理器中只剩下我們自己之前創(chuàng)建的Garfield帳戶：　　

　　以后，黑客若想用Administrator帳戶登錄我們的系統(tǒng)，會出現(xiàn)如下提示，提示不存在該帳戶：　

　　小提示：（1）在刪除Administrator帳戶之前，確保我們已經(jīng)新建了另外一個管理員帳戶（如本文中在開始新建的Garfield帳戶），這樣可以避免在刪除Administrator帳戶之后出現(xiàn)因為沒了管理員帳戶而無法再登錄系統(tǒng)的尷尬；（2）在完成刪除Administrator帳戶的操作后，我們需要把SAM子鍵和SECURITY子鍵的權(quán)限設(shè)置回非完全控制狀態(tài)，以防他人用同樣方法修改注冊表。
　　小結(jié)：通過修改注冊表的方式刪除超級管理員帳戶Administrator之后，任何人包括黑客都無法再通過該帳戶登錄我們的系統(tǒng)了。整個系統(tǒng)只剩下我們自己創(chuàng)建的Garfield帳戶，再有效設(shè)置Garfield帳戶的各種操作權(quán)限，我們就可以有效保護(hù)我們的系統(tǒng)不受惡意破壞了。值得注意的是，刪除系統(tǒng)內(nèi)置的Administrator帳戶可能會引起其他方面的一些問題，如果以后我們需要恢復(fù)Administrator超級管理員帳戶，只需把之前導(dǎo)出的Administrator子鍵和000001F4子鍵導(dǎo)回注冊表即可：　

　　4、另外創(chuàng)建一個以Administrator為名的受限制的非管理員帳戶
　　在刪除超級管理員帳戶Administrator之后，為了進(jìn)一步保證系統(tǒng)的安全，我們還可以自己另外再創(chuàng)建一個以Administrator為名的受限制的非管理員帳戶，這樣當(dāng)黑客想用Administrator遠(yuǎn)程登錄我們的系統(tǒng)時，實際上他想破解的是一個受限制的非管理員帳戶，沒有多大的操作權(quán)限修改系統(tǒng)，這樣不但迷惑了黑客，也進(jìn)一步提升了系統(tǒng)的安全性。具體操作如下：
　　在刪除真正的超級管理員帳戶Administrator之后，我們在本地用戶管理器中新建一個名為Administrator的非管理員帳戶：　　

　　在彈出的創(chuàng)建新用戶對話框中，輸入用戶名Administrator，設(shè)置密碼，并勾選上“用戶不能更改密碼”和“帳戶已停用”：　　

　　這樣我們就創(chuàng)建了一個名為Administrator的非管理員帳戶，并且該帳戶處于停用狀態(tài)：　

　　而且它只屬于Users用戶組，并不屬于擁有最高權(quán)限的Administrators組：　　

　　這樣，黑客就算知道了Administrator的密碼，也無法登錄(因為該帳戶我們已經(jīng)設(shè)置為停用)：　

　　就算啟用了該帳戶，黑客登入的也是一個受限的非管理員帳戶：　

　　而且不能修改密碼：　

　　此外，在組策略——計算機(jī)配置——Windows 設(shè)置——安全設(shè)置——本地策略——用戶權(quán)利指派中，我們還可以詳細(xì)設(shè)置非管理員帳戶Administrator的各種權(quán)限，來進(jìn)一步限制它對系統(tǒng)的操作權(quán)限：　　

　　小結(jié)：在刪除真正的Administrator超級管理員帳戶之后，我們通過自己創(chuàng)建的非管理員帳戶Administrator，可以進(jìn)一步迷惑黑客;而且通過對該帳戶進(jìn)行的啟用密碼、停用帳戶、限制權(quán)限等各種設(shè)置，展現(xiàn)在黑客面前的，是一個非常堅固的“虛假”Administrator帳戶。黑客就算知道該帳戶的名字，也不知道密碼;就算知道密碼，也登錄不了這個停用的帳戶;就算勉強(qiáng)登入了這個帳戶，也無法對系統(tǒng)進(jìn)行大的破壞性操作(因為他登入的是一個名為Administrator的非管理員帳戶，且經(jīng)過種種設(shè)置被限制了操作權(quán)限)。這樣一來，我們就可以用這個“虛假”的Administrator非管理員帳戶來應(yīng)付黑客，而用自己創(chuàng)建的其他帳戶來使用系統(tǒng)，安全性比直接使用Administrator超級管理員帳戶要高。
　　三、總結(jié)：
　　本文介紹了系統(tǒng)缺省產(chǎn)生的Administrator超級管理員帳戶的安全性問題，以及如何通過改名、停用、刪除和新建非管理員帳戶來提高系統(tǒng)安全性的方法。總體上來說，通過對Administrator帳戶的有效設(shè)置和安全性限制，我們可以彌補(bǔ)系統(tǒng)在帳戶機(jī)制安全性方面的漏洞，大大提高操作系統(tǒng)的安全性。不過，保護(hù)用戶帳戶的安全只是確保電腦系統(tǒng)安全的第一步，我們所面對的電腦網(wǎng)絡(luò)安全威脅是多方面的，還有網(wǎng)絡(luò)上的掛馬網(wǎng)頁、釣魚網(wǎng)站、黑客的遠(yuǎn)程攻擊、借助移動存儲設(shè)備傳播的病毒木馬、系統(tǒng)本身的BUG和漏洞，以及第三方應(yīng)用軟件的安全性漏洞等，這些都是我們需要注意的安全性問題。而對操作系統(tǒng)的用戶帳戶來說，是電腦安全的第一個大門，我們要把守好用戶帳戶這個大門，防止黑客潛入、木馬屠城。