Guest帐户的潜在威胁
为了保证系统能够始终安全、稳定运行,Windows Server 2008系统特意为那些非系统管理员用户提供了一个操作帐户,使用该帐户来管理操作系统时,普通用户只能访问对应系统中的少部分系统资源,同时不能随意对系统的各种参数设置进行自行修改。从表面上来看,Guest帐户的启用运行并没有多大实际威胁,不过Internet网络中的许多狡猾黑客常常会利用Guest帐户,来想方设法间接窃取系统的管理员权限,如此一来启用运行了Guest帐户的话,那就相当于人为地为系统多开了一扇后门,从而为黑客或木马的非法攻击带来了便利。
为了尽可能地避免各种非法攻击,Windows Server 2008系统在默认状态下会自动关闭运行Guest帐户的。如果发现Guest帐户已经处于启用状态时,我们可以尝试按照下面的操作,来暂时关闭该帐户的运行状态:
首先以系统管理员权限登录进入Windows Server 2008系统,打开该系统的“开始“菜单,从中依次点选“程序“/“管理工具“命令,在弹出的系统管理工具列表中,双击“计算机管理“图标,打开对应系统的计算机管理窗口;其次在该管理窗口的左侧显示区域,用鼠标依次展开“系统工具“/“本地用户和组“/“用户“分支选项,在对应“用户“分支选项的右侧显示区域,检查Guest帐户的启用状态是否正常,一旦发现它已经正常启动运行时,我们可以直接用鼠标双击该帐户图标,打开如图1所示的属性设置窗口;
图1
下面在该设置窗口中,选中“帐户已禁用“选项,再单击“确定“按钮,如此一来Windows Server 2008系统中的Guest帐户就已经被成功禁用了。
当然,如果我们不想让其他用户随意启用运行Guest帐户时,还可以采用一种比较极端的方法,来将Guest帐户的名称从系统中直接删除掉;要进行这样的操作时,我们可以按照如下操作步骤来进行:
首先用鼠标逐一点选Windows Server 2008系统的“开始“/“运行“命令,在弹出的系统运行对话框中,输入字符串命令“regedit“,单击回车键后,打开对应系统的注册表编辑窗口;其次在该注册表编辑窗口的左侧显示区域,依次展开HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames分支选项,并从该分支下面选中Guest子项,再将该子项选中,同时依次单击注册表编辑窗口菜单栏中的“编辑“/“删除“命令,直接将Guest子项从系统注册表中删除干净,最后按F5功能键刷新一下系统注册表,就能使上述设置正式生效了。
Guest帐户的“调教“
虽然Guest帐户的启用运行会给Windows Server 2008系统带来不小的安全威胁,不过我们只要对Guest帐户进行合适“调教“,仍然可以在享受Guest帐户带给自己便利的同时,不降低系统的安全运行性能。
1、为Guest帐户换名
在局域网可信任工作环境中,用户之间常常需要进行共享交流,如果直接将Guest帐户关闭运行的话,那么局域网中的其他用户往往就不能正常访问Windows Server 2008系统中的共享资源了。为了方便访问共享资源,我们可以尝试为Windows Server 2008系统中的Guest帐户进行换名,确保局域网中的普通用户仍然可以快速地访问共享资源,下面就是具体的设置操作:
首先打开Windows Server 2008系统的“开始“菜单,从中点选“运行“命令,打开对应系统的运行对话框,在其中输入字符串命令“gpedit.msc“,单击“确定“按钮,进入Windows Server 2008系统的组策略控制台窗口;其次在组策略控制台窗口的左侧显示区域,将鼠标定位于“计算机配置“分支选项,在目标分支选项下面依次点选“Windows设置“/“本地策略“/“安全选项“,在对应“安全选项“下面,找到“帐户:重命名来宾帐户“目标组策略选项,并用鼠标右键单击该选项,从弹出的快捷菜单中执行“属性“命令,打开目标组策略选项设置窗口,如图2所示;
图2
在该设置窗口中,将Guest帐户的默认名称修改为自己想要的名称,例如我们假设将它修改为“normal“,再单击“确定“按钮保存好上述设置操作,如此一来Guest帐户的名称就被成功修改为“normal“了。
2、为Guest帐户授权
我们知道,一旦开通了Guest帐户后,非法攻击者可能会利用该帐号进行远程枚举SAM和共享,这样可能会获得Windows Server 2008系统的有效控制权限,但是如果简单地将该帐号关闭运行,我们又不能享受到共享访问的便利与快捷。其实,我们可以为Guest帐户授予合适的共享访问权限,确保拥有该帐号的用户只能简单读取目标共享资源内容,而不能随意进行更改或其他方面的危险操作,这样就能实现在启用Guest帐户的情况下Windows Server 2008系统运行仍然安全的目的,下面就是具体的设置步骤:
首先打开Windows Server 2008系统的资源管理器窗口,从中找到目标共享资源,用鼠标右键单击目标共享文件夹图标,从弹出的快捷菜单中执行“属性“命令,打开目标共享文件夹的属性设置对话框;其次单击该对话框中的“安全“标签,并在对应标签设置页面中单击“权限“按钮,在其后出现的权限设置窗口中,我们可以非常清楚地看到访问此目标文件夹的所有用户,删除管理员和Guest帐户之外的其他所有用户帐户;
下面选中Guest帐户选项,再为该帐户授权合适的共享访问权限,例如可以授予“读取“权限或“列出文件夹目录“权限等,最后单击“确定“按钮保存好上述设置操作就可以了。
3、强行Guest用密码
在启用Guest帐户的情况下,Windows Server 2008系统在默认状态下会允许Guest帐户不使用密码,就能直接访问到其中的目标共享资源,很明显,这样一来Windows Server 2008系统就容易遭遇非法访问或其他安全威胁。为了让Windows Server 2008系统运行更安全,我们可以为Guest帐户设置一个“强壮“的密码,并且想办法让Windows Server 2008系统要求Guest帐户必须输入密码才能完成共享访问操作,下面就是具体的设置步骤:
首先以系统管理员权限登录进入Windows Server 2008系统,打开该系统的“开始“菜单,从中依次点选“程序“/“管理工具“命令,在弹出的系统管理工具列表中,双击“计算机管理“图标,打开对应系统的计算机管理窗口;
其次在该管理窗口的左侧显示区域,用鼠标依次展开“系统工具“/“本地用户和组“/“用户“分支选项,在对应“用户“分支选项的右侧显示区域,用鼠标右键单击Guest帐户,从弹出的快捷菜单中执行“属性“命令,打开Guest帐户的属性设置窗口,在该设置窗口中选中“用户下次登录时须更改密码“选项,再重新启动一下Windows Server 2008系统,我们就可以为该帐户设置比较“强壮“的密码了;
其次依次点选Windows Server 2008系统的“开始“/“运行“命令,在弹出的系统运行对话框中,输入字符串命令“gpedit.msc“,单击回车键后,打开对应