引言：伴隨著信息化技術(shù)的日益發(fā)展，網(wǎng)絡(luò)已成為很多單位賴以生存的重要資源，不過(guò)，越來(lái)越多的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)卻成為單位面臨的重大難題。盡管有不少安全風(fēng)險(xiǎn)來(lái)自外網(wǎng)環(huán)境，但有資料表明，在所有安全事件中，由終端賬號(hào)引起的內(nèi)網(wǎng)安全事件，所占比例正逐步上升。

伴隨著信息化技術(shù)的日益發(fā)展，網(wǎng)絡(luò)已成為很多單位賴以生存的重要資源，不過(guò)，越來(lái)越多的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)卻成為單位面臨的重大難題。盡管有不少安全風(fēng)險(xiǎn)來(lái)自外網(wǎng)環(huán)境，但有資料表明，在所有安全事件中，由終端賬號(hào)引起的內(nèi)網(wǎng)安全事件，所占比例正逐步上升。很顯然，為了保障單位內(nèi)網(wǎng)安全，我們需要高度重視終端系統(tǒng)的賬號(hào)使用安全?，F(xiàn)在，本文就從終端系統(tǒng)著手，總結(jié)幾則安全使用賬號(hào)的技巧！

監(jiān)控賬號(hào)創(chuàng)建安全

要是終端系統(tǒng)接入到局域網(wǎng)或Internet網(wǎng)絡(luò)中時(shí)，那么網(wǎng)絡(luò)中一些惡意程序可能會(huì)通過(guò)網(wǎng)絡(luò)連接，在終端系統(tǒng)中偷偷創(chuàng)建非法用戶賬號(hào)，日后它們就會(huì)利用該非法賬號(hào)控制或監(jiān)控終端系統(tǒng)的運(yùn)行狀態(tài)了。為了保護(hù)終端計(jì)算機(jī)系統(tǒng)的運(yùn)行安全，我們可以加大監(jiān)控力度，自動(dòng)監(jiān)控用戶賬號(hào)的創(chuàng)建狀態(tài)，日后如果有陌生用戶賬號(hào)私下創(chuàng)建時(shí)，管理員可以在第一時(shí)間發(fā)現(xiàn)。

以Windows 7系統(tǒng)為例，在監(jiān)控賬號(hào)創(chuàng)建安全時(shí)，依次單擊“開始”、“運(yùn)行”命令，展開系統(tǒng)運(yùn)行對(duì)話框，輸入“secpol.msc”命令，開啟系統(tǒng)安全策略編輯器運(yùn)行狀態(tài)。將鼠標(biāo)定位于左側(cè)列表中的“本地策略”分支上，再選中指定下的“審核策略”、“審核賬戶管理”選項(xiàng)，通過(guò)雙擊鼠標(biāo)方式打開選項(xiàng)設(shè)置框，選中“成功”、“失敗”選項(xiàng)，單擊“確定”按鈕保存設(shè)置操作。

接著用鼠標(biāo)右鍵單擊Windows系統(tǒng)桌面上的“計(jì)算機(jī)”圖標(biāo)，選擇快捷菜單中的“管理”命令，展開計(jì)算機(jī)管理窗口，依次展開“系統(tǒng)工具”、“本地用戶和組”、“用戶”選項(xiàng)，同時(shí)用鼠標(biāo)右擊“用戶”選項(xiàng)，并執(zhí)行快捷菜單中的“新建用戶”命令，打開新建用戶對(duì)話框，在其中任意創(chuàng)建一個(gè)用戶帳號(hào)。

之后進(jìn)入Windows系統(tǒng)的控制面板窗口，逐一展開“管理工具”、“事件查看器”，切換到Win7系統(tǒng)事件查看器窗口，逐一跳轉(zhuǎn)到該窗口左側(cè)顯示區(qū)域中的“Windows日志”、“安全”分支上，隨后在“安全”分支下找到先前任意生成的用戶帳號(hào)。用鼠標(biāo)右鍵單擊這個(gè)用戶賬號(hào)，單擊快捷菜單中的“將任務(wù)附加到此事件”命令，這個(gè)時(shí)候系統(tǒng)屏幕上會(huì)展開附加任務(wù)向?qū)гO(shè)置對(duì)話框，依照向?qū)崾?，逐一定義好報(bào)警方式、報(bào)警內(nèi)容，再按“完成”按鈕即可。日后，即使網(wǎng)絡(luò)中的惡意程序悄悄在終端計(jì)算機(jī)系統(tǒng)中創(chuàng)建了非法用戶賬號(hào)，系統(tǒng)屏幕上會(huì)立即出現(xiàn)警報(bào)信息，根據(jù)具體的提示內(nèi)容，就能識(shí)別出當(dāng)前時(shí)刻是否有非法用戶賬號(hào)創(chuàng)建了。

強(qiáng)制賬號(hào)密碼安全

大家知道，現(xiàn)在很多終端系統(tǒng)由于默認(rèn)存在許多安全漏洞，它遭遇病毒、木馬攻擊的可能性十分大，而病毒木馬又會(huì)通過(guò)網(wǎng)絡(luò)登錄方式進(jìn)行傳播、擴(kuò)散，所以限制終端系統(tǒng)隨意通過(guò)網(wǎng)絡(luò)進(jìn)行登錄或共享，是保護(hù)終端系統(tǒng)安全的重要途徑之一。

要做到這一點(diǎn)，首先要強(qiáng)制用戶賬號(hào)必須使用復(fù)雜密碼。只要依次單擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“gpedit.msc”命令，開啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。逐一跳轉(zhuǎn)到編輯器左側(cè)區(qū)域中的“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows設(shè)置”、“安全設(shè)置”、“賬戶策略”、“密碼策略”節(jié)點(diǎn)上，雙擊指定節(jié)點(diǎn)下的“密碼長(zhǎng)度最小值”選項(xiàng)，展開密碼長(zhǎng)度最小值設(shè)置對(duì)話框，輸入“8”或更大的數(shù)值，單擊“確定”按鈕后，用戶賬號(hào)密碼最小位數(shù)將不能低于8個(gè)字符。

接著要讓賬號(hào)密碼不斷變化，以防別人輕易猜中。將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows設(shè)置”、“安全設(shè)置”、“賬戶策略”、“密碼策略”節(jié)點(diǎn)上，雙擊指定節(jié)點(diǎn)下的“密碼最長(zhǎng)使用期限”組策略選項(xiàng)，打開組策略屬性框，輸入定期變換密碼內(nèi)容的間隔時(shí)間，例如輸入“30”，單擊“確定”按鈕后退出設(shè)置對(duì)話框。這樣，終端計(jì)算機(jī)系統(tǒng)日后會(huì)每隔30天就提示用戶更改密碼內(nèi)容。

第三強(qiáng)制使用賬號(hào)鎖定功能。如果賬號(hào)密碼設(shè)置得不夠復(fù)雜時(shí)，非法用戶很可能會(huì)通過(guò)暴力破解方式，“猜”出登錄密碼而進(jìn)行惡意操作，這樣就會(huì)存在相當(dāng)大的安全風(fēng)險(xiǎn)。那如何來(lái)防止非法用戶猜解或者爆破遠(yuǎn)程連接密碼呢？很簡(jiǎn)單！可以強(qiáng)制啟用賬號(hào)鎖定功能。在系統(tǒng)組策略編輯窗口左側(cè)區(qū)域，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)設(shè)置”、“Windows設(shè)置”、“安全設(shè)置”、“賬戶策略”、“賬戶鎖定策略”節(jié)點(diǎn)上，雙擊指定節(jié)點(diǎn)下的“賬戶鎖定閾值”組策略，在其后對(duì)話框中設(shè)置好觸發(fā)用戶賬號(hào)被鎖定的登錄嘗試失敗次數(shù)，該數(shù)值范圍在0到999之間，默認(rèn)為“0”，也就是說(shuō)，系統(tǒng)默認(rèn)不限制登錄次數(shù)。管理員可以依照工作實(shí)際，輸入賬戶鎖定次數(shù)，日后輸入錯(cuò)誤密碼次數(shù)超過(guò)規(guī)定后，對(duì)應(yīng)用戶賬號(hào)就會(huì)被強(qiáng)行鎖定起來(lái)。

保障賬號(hào)盜用安全

在進(jìn)行遠(yuǎn)程網(wǎng)絡(luò)連接的時(shí)候，惡意用戶有時(shí)會(huì)通過(guò)Windows系統(tǒng)缺省的Administrator賬號(hào)和Guest賬號(hào)，對(duì)重要終端系統(tǒng)進(jìn)行登錄測(cè)試，要是登錄測(cè)試成功，將會(huì)繼續(xù)通過(guò)不同形式來(lái)非法提權(quán)，以竊取重要終端系統(tǒng)的所有操作權(quán)限。為了保障賬號(hào)盜用安全，建議大家將缺省的用戶賬號(hào)名稱調(diào)整為其他名稱，以防止它們被非法用戶輕松盜用。

例如，要調(diào)整“Administrator”賬號(hào)的用戶賬號(hào)名稱時(shí)，可以逐一單擊“開始”、“運(yùn)行”命令，展開系統(tǒng)運(yùn)行文本框，在其中執(zhí)行“secpol.msc”命令，進(jìn)入系統(tǒng)安全組策略控制臺(tái)窗口。在左側(cè)顯示窗格中，逐一跳轉(zhuǎn)到“安全設(shè)置”、“本地策略”、“安全選項(xiàng)”節(jié)點(diǎn)上，找到指定節(jié)點(diǎn)下的“帳戶：重命名系統(tǒng)管理員帳戶”選項(xiàng)，同時(shí)用鼠標(biāo)雙擊之，彈出組策略選項(xiàng)設(shè)置框，在這里輸入其他復(fù)雜一些的賬號(hào)名，比方說(shuō)輸入“5aiwojia”，再單擊“確定”按鈕保存設(shè)置即可。

除了“Administrator”賬號(hào)會(huì)被盜用外，“Guest”賬號(hào)也容易被盜用，因?yàn)樵撡~號(hào)盡管操作權(quán)限不高，但它多數(shù)時(shí)候處于啟用狀態(tài)，被非法利用的機(jī)率很高，例如，惡意用戶可以將該賬號(hào)添加到管理員組，來(lái)進(jìn)行以后的提權(quán)攻擊，所以通過(guò)修改該賬號(hào)名稱就能預(yù)防類似攻擊。在進(jìn)行改名操作時(shí)，先進(jìn)入終端系統(tǒng)安全組策略控制臺(tái)窗口，將鼠標(biāo)定位到“安全設(shè)置”、“本地策略”、“安全選項(xiàng)”分支上，雙擊指定分支下的“帳戶：重命名來(lái)賓帳戶”選項(xiàng)，在其后界面中設(shè)置好新的名稱，確認(rèn)后保存設(shè)置即可。

嚴(yán)控賬號(hào)權(quán)限安全

一些非法用戶常常會(huì)通過(guò)系統(tǒng)漏洞，偷偷與特定終端系統(tǒng)建立遠(yuǎn)程連接，再借助一些技術(shù)措施竊取系統(tǒng)管理員權(quán)限，打開遠(yuǎn)程桌面窗口，對(duì)特定系統(tǒng)進(jìn)行非法操作。為了避免這種不安全現(xiàn)象，可以嚴(yán)格限制用戶賬號(hào)的遠(yuǎn)程桌面使用權(quán)限，僅允許特定的管理員賬號(hào)才能進(jìn)行遠(yuǎn)程桌面連接，其他用戶賬號(hào)無(wú)權(quán)享受遠(yuǎn)程桌面權(quán)限。因?yàn)檫h(yuǎn)程桌面窗口打開操作與“explorer.exe”程序訪問(wèn)權(quán)限有關(guān)，如果只將該程序的讀取權(quán)限授權(quán)特定用戶賬號(hào)，就能實(shí)現(xiàn)上述控制目的。

在進(jìn)行該操作時(shí)，先進(jìn)入系統(tǒng)資源管理器窗口，選中“C:Windows”目錄下的“explorer.exe”程序，打開它的右鍵菜單，點(diǎn)選“屬性”命令，選擇屬性對(duì)話框中的“安全”選項(xiàng)卡，刪除對(duì)應(yīng)選項(xiàng)頁(yè)面中的所有用戶賬號(hào)。按下“添加”按鈕，切換到賬號(hào)選擇對(duì)話框，導(dǎo)入可信用戶賬號(hào)，將其“運(yùn)行”、“讀取”權(quán)限修改為“允許”，單擊“確定”按鈕退出設(shè)置對(duì)話框。上面的設(shè)置操作，僅對(duì)沒(méi)有運(yùn)行的“explorer.exe”程序有效，如果該程序已經(jīng)被調(diào)入內(nèi)存時(shí)，那必須通過(guò)微軟自行開發(fā)的“Process Explorer”工具來(lái)設(shè)置。打開該工具主操作界面，點(diǎn)選其中的“explorer.exe”程序，從該程序右鍵菜單中選擇“Properties”命令，之后進(jìn)入“Security”面板，單擊“Permissions”按鈕，在這里就能將“explorer.exe”程序訪問(wèn)權(quán)限，授予合法、可信用戶賬號(hào)了。這樣，日后只有合法可信用戶賬號(hào)才能夠擁有遠(yuǎn)程桌面權(quán)限，其他賬號(hào)即使已創(chuàng)建好遠(yuǎn)程桌面連接，也不能打開桌面窗口進(jìn)行非法攻擊。

為了防止一些終端賬號(hào)從低版本系統(tǒng)中，隨意遠(yuǎn)程登錄重要主機(jī)系統(tǒng)，建議為它們賦予帶網(wǎng)絡(luò)驗(yàn)證的遠(yuǎn)程桌面權(quán)限，這能避免低版本系統(tǒng)中的病毒感染給高版本系統(tǒng)。例如，在Win7系統(tǒng)中進(jìn)行該操作時(shí)，可以右擊Windows系統(tǒng)桌面上的“計(jì)算機(jī)”圖標(biāo)，點(diǎn)選右鍵菜單中的“屬性”命令，進(jìn)入系統(tǒng)屬性對(duì)話框，單擊“遠(yuǎn)程設(shè)置”按鈕，展開遠(yuǎn)程設(shè)置界面，勾選“只允許運(yùn)行帶網(wǎng)絡(luò)級(jí)身份驗(yàn)證的遠(yuǎn)程桌面的計(jì)算機(jī)連接”選項(xiàng)，單擊“確定”按鈕保存設(shè)置即可。

此外，要是允許空白密碼用戶賬號(hào)隨意登錄終端系統(tǒng)，也容易給非法用戶帶來(lái)入侵機(jī)會(huì)。為了保護(hù)終端系統(tǒng)安全，建議在重要終端系統(tǒng)中，僅能授予空白密碼用戶賬號(hào)控制臺(tái)登錄權(quán)限，不能授予其他操作權(quán)限：依次單擊“開始”、“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行對(duì)話框中，輸入“gpedit.msc”命令，開啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows設(shè)置”、“安全設(shè)置”、“本地策略”、“安全選項(xiàng)”分支上，找到指定分支下的“賬戶：使用空白密碼的本地賬號(hào)只允許進(jìn)行控制臺(tái)登錄”選項(xiàng)，通過(guò)雙擊鼠標(biāo)方式，切換到如圖1所示的選項(xiàng)設(shè)置對(duì)話框。勾選“已啟用”選項(xiàng)，單擊“確定”按鈕退出設(shè)置對(duì)話框即可。

圖1 選項(xiàng)設(shè)置對(duì)話框

管理隱藏賬號(hào)安全

一些黑客、木馬擅長(zhǎng)使用的攻擊方法，就是悄悄在終端系統(tǒng)創(chuàng)建隱藏賬號(hào)，并通過(guò)它進(jìn)行各種非法操作，該方法有很強(qiáng)的隱蔽性，可以躲避殺毒軟件之類的專業(yè)工具來(lái)查殺。為此，我們必須加強(qiáng)對(duì)系統(tǒng)隱藏賬號(hào)的管理，確保隱藏賬號(hào)的使用安全！

圖2 結(jié)果界面

普通的隱藏賬號(hào)，往往會(huì)在賬號(hào)名后面添加“$”后綴，來(lái)達(dá)到賬號(hào)隱藏目的，黑客、木馬創(chuàng)建好隱藏賬號(hào)后，可能會(huì)悄悄將其提升為系統(tǒng)管理員權(quán)限，保證能通過(guò)該賬號(hào)進(jìn)行各種非法操作。如果想刪除陌生隱藏賬號(hào)，可以依次單擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“cmd”命令，在DOS命令行窗口的命令提示符下，執(zhí)行“net localgroup administrators”命令，將所有具有系統(tǒng)管理員權(quán)限的隱藏賬號(hào)統(tǒng)統(tǒng)顯示出來(lái)。比方說(shuō)，在如圖2所示的結(jié)果界面中，我們找到一個(gè)用戶名為“aaaa$”的隱藏賬號(hào)，要將其從系統(tǒng)中刪除時(shí)，可以在DOS命令行窗口下輸入“net user aaaa$ /delete”命令即可。

要是對(duì)DOS命令不太熟悉，也可以進(jìn)入計(jì)算機(jī)管理窗口，依次跳轉(zhuǎn)到“本地用戶和組”、“用戶”節(jié)點(diǎn)上，在指定節(jié)點(diǎn)下就可以很清楚地發(fā)現(xiàn)包含“$”后綴的隱藏賬號(hào)。這個(gè)時(shí)候，用鼠標(biāo)右擊特定隱藏賬號(hào)，點(diǎn)選右鍵菜單中的“刪除”命令，就能快速將選中的隱藏賬號(hào)刪除掉了。當(dāng)然，也有一些隱藏賬號(hào)比較特別，既無(wú)法從DOS命令行窗口中發(fā)現(xiàn)它的“身影”，也無(wú)法從計(jì)算機(jī)管理窗口中發(fā)現(xiàn)它的“身影”，只能從日志文件中找到它們的痕跡。這些特別的隱藏賬號(hào)，不能對(duì)它們直接執(zhí)行刪除操作，只能在DOS工作窗口中輸入“net user aaaa$9876”之類的命令，調(diào)整它們的賬號(hào)密碼，讓其無(wú)法繼續(xù)生效。

還有一些隱藏賬號(hào)，會(huì)躲藏在系統(tǒng)注冊(cè)表中，要將它們刪除掉時(shí)，可以先打開系統(tǒng)注冊(cè)表編輯窗口，從中 找 到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”注冊(cè)表分支，在指定分支下可能會(huì)看到其他一些隱藏賬號(hào)。用鼠標(biāo)右鍵單擊特定隱藏賬號(hào)，從彈出的右鍵菜單中點(diǎn)選“刪除”命令即可。