WINDOWS的用户和用户组说明

一 WINDOWS 的用户和用户组说明 1 基本用户组 Administrators 属于该 administators 本地组内的用户 都具备系统管理员的权限 它们拥有对这台计 算机最大的控制权限 可以执行整台计算机的管理任务 内置的系统管理员账号 Administrator 就是本地组的成员 而且无法将它从该组删除 如果这台计算机已加入域 则域的 Domain Admins 会自动地加入到该计算机的 Administrators 组内 也就是说 域上的系统管理员在这台计算机上也具备着系统管理员的 权限 Backup OPerators 在该组内的成员 不论它们是否有权访问这台计算机中的文件夹或文件 都可以通过 开始 所有程序 附件 系统工具 备份 的途径 备份与还原这些文件夹与文件 Guests 该组是提供没有用户帐户 但是需要访问本地计算机内资源的用户使用 该组的成员 无法永久地改变其桌面的工作环境 该组最常见的默认成员为用户帐号 Guest Network Configuration Operators 该组内的用户可以在客户端执行一般的网络设置任务 例如更改 IP 地址 但是不可以 安装 删除驱动程序与服务 也不可以执行与网络服务器设置有关的任务 例如 DNS 服务 器 DHCP 服务器的设置 Power Users 该组内的用户具备比 Users 组更多的权利 但是比 Administrators 组拥有的权利更少一 些 例如 可以 创建 删除 更改本地用户帐户 创建 删除 管理本地计算机内的共享文件夹与共享打印机 自定义系统设置 例如更改计算机时间 关闭计算机等 但是不可以更改 Administrators 与 Backup Operators 无法夺取文件的所有权 无法备 份与还原文件 无法安装删除与删除设备驱动程序 无法管理安全与审核日志 Remote Desktop Users 该组的成员可以通过远程计算机登录 例如 利用终端服务器从远程计算机登录 Users 该组员只拥有一些基本的权利 例如运行应用程序 但是他们不能修改操作系统的设 置 不能更改其它用户的数据 不能关闭服务器级的计算机 所有添加的本地用户帐户者自动属于该组 如果这台计算机已经加入域 则域的 Domain Users 会自动地被加入到该计算机的 Users 组中 2 内置特殊组 Everone 任何一个用户都属于这个组 注意 如果 Guest 帐号被启用时 则给 Everone 这个组 指派权限时必须小心 因为当一个没有帐户的用户连接计算机时 他被允许自动利用 Guest 帐户连接 但是因为 Guest 也是属于 Everone 组 所以他将具备 Everyone 所拥有的 权限 Authenticated Users 任何一个利用有效的用户帐户连接的用户都属于这个组 建议在设置权限时 尽量针 对 Authenticated Users 组进行设置 而不要针对 Everone 进行设置 Interactive 任何在本地登录的用户都属于这个组 Network 任何通过网络连接此计算机的用户都属于这个组 Creator Owner 文件夹 文件或打印文件等资源的创建者 就是该资源的 Creator Owner 创建所有者 不过 如果创建者是属于 Administrators 组内的成员 则其 Creator Owner 为 Administrators 组 Anonymous Logon 任何未利用有效的 Windows Server 2003 帐户连接的用户 都属于这个组 注意 在 windows 2003 内 Everone 组内并不包含 Anonymous Logon 组 3 备注 用户名 LOCAL SERVICE NETWORK SERVICE SYSTEM 是系统用户 是系统自带的而 不是病毒或入侵 都是正常的用户 注册表中的 BUILTIN 是 built in 的意思 表示内建帐 户 属正常 二 影子账户解析 本文仅针对 Windows 2000 XP 2003 本文涉及注册表重要位置的修改 在实际操作前 最好先进行备份 一 管理员账户的安全性 Windows 2000 XP 2003 中都能找到一个系统内置的默认管理员账户 Administrator 该账户具有 Windows 的最高管理权限 用来完成软件安装 系统设置等任务 如果系统由 于存在漏洞而被黑客入侵 黑客为了下次还能方便地进来 通常会留一个管理员账户的影 子账户 具备管理员权限的隐匿帐户 1 为什么黑客选择 Administrator 账户作为突破口 如果黑客希望远程登录系统的话 就必须拥有具有远程登录权限的账户 而管理员账 户自然是具备了远程登录的权限 另外 由于 Administrator 是系统中默认建立的管理员账户 而且一般无法删除 所以 黑客都会选择 Administrator 作为用户名猜解登录密码 虽然使用 组策略 可以修改 Administrator 的用户名 可是一旦黑客给 Administrator 起 了个 小名 影子账户 再怎么改用户名也没用了 2 Windows XP 的安全策略 Windows XP 在安装过程中会提示建立一个管理员账户 但实际上默认的 Administrator 账户仍是存在的 并且密码为空 但是在安全策略中有一条禁止空密码账户的远程登录 可以防止黑客利用密码为空进行登录 最好还是设置超复杂的密码了 二 什么是 Windows 内置账户 内置账户是微软在开 Window 时预先为用户设置的能够登录系统的账户 使用最多的 有 Administator 和 Guest 它们两个默认都无法从系统中删除 即使从未使用这两个账户登 录系统 如果在安装系统后使用其他账户登录系统 这样在 C Documents and Settings 目录中就 不会产生它们两个所对应的配置文件目录 但这两个账户仍是存在的 用此账户登录一次 后 系统就会生成相应的目录 三 管理员账户的安全防范 1 为 Administrator 账户设置强壮的密码 强密码通常在 8 位以上 以大小写字母 数字 特殊符号混合排列而成 不应使用名 字缩写及自己 家人的生日作为密码元素 不宜将常用单词用作为密码元素 即使要使用 也要使用特殊符号或数字使其略为变形 如将 apple 改为 pple 和加上 等 等 2 更改 Administrator 为其他用户名 Administrator 是系统内建账户 默认情况下无法更改 可是强大的组策略又为我们提 供了一次安全机会 运行 gpedit msc 打开组策略编辑器 点击展开左侧窗格的本地计算机 策略 Windows 设置 安全设置 本地策略 安全选项 然后在右侧窗格的列表中 找到重命 名系统管理员账户 双击它就能设置新的账户名了 四 常用的账户建立 查看方法 1 用户账户 打开 控制面板 用户账户 在打开的 用户账户 管理窗口中点击 创建一个新账户 然后根据提示即可完成一个新用户的建立 在这里还可以查看曾经登录过系统的账户 但没有在 C Documents and Settings 目录 中生成用户数据的账户 是不会显示的 比如没有登录过系统的 Administrator 账户 在这 里检查系统中存在的账户是不准确的 对于稍微有点经验的入侵者而言 把残留在这里的 痕迹抹去并非难事 2 控制台 系统控制台是 Windows 2000 及其后续版本中一个非常重要的系统组件 集中安置了系 统中的多个系统配置维护工具 依次打开 控制面板 计算机管理 打开 计算机管理 控制台 在窗口左侧定位到 本地 用户和组 用户 在窗口右侧就罗列了当前系统已经建立的账户 一些在 用户账户 中没 有显示的账户都可以在这里查到 在窗口右侧空白处点右键选择 新用户 然后输入账户 信息就可以建立一个新用户了 3 命令行 以上两种都是图形界面中的操作方法 现在我们回归到命令行模式 要查看当前系统 中的账户 运行 CMD 打开 命令提示符 窗口 输入 net user 命令后系统就会返回系统中存 在的账户 举例 键入 net user cfan 123 add 命令可以新建一个用户名为 cfan 密码为 123 的 受限账户 即 Users 组成员 如果要将 cfan 账户提升为管理员 就需要将此账户加入 Administrators 用户组 运行 命令 net localgroup Administrators cfan add 即可 如果要删除则用 net user cfan del 要 查看某个账户的详细情况则可以执行 net user 用户名 4 账户配置文件目录 在系统盘符下的 Documents and Settings 目录中 凡是登录过系统的账户都会在此生 成一个与账户名同名的目录 5 查看 用户配置文件 打开 我的电脑 属性 切换到 高级 单击 用户配置文件 对应的 设置 按钮 在弹出 的 用户配置文件 窗口中显示了登录过系统的账户 在此具备管理员权限的用户可以删除 账户及其配置文件 包括有密码保护的账户 6 巧用权限设置 在 NTFS 格式的分区中 如果已经取消了 文件夹选项 查看 使用简单文件共存 的勾 选 那么右击一个文件或者目录选择 属性 后就能看到 安全 选项卡 在这个选项卡中简 单罗列了对此文件 目录具备权限的用户或组 见图 4 而依次单击 添加 高级 立即查找 后 系统就会显示整个系统中的 用户 组或内置安全性原则 可以非常方便地找出系统 中的可疑账户 五 建立影子帐户 省略 六 把隐藏账户请出系统 1 添加 符号型隐藏账户 对于这类隐藏账户的检测比较简单 一般黑客在利用这种方法建立完隐藏账户后 会 把隐藏账户提升为管理员权限 那么我们只需要在 命令提示符 中输入 net localgroup administrators 就可以让所有的隐藏账户现形 如果嫌麻烦 可以直接打开 计算机管理 进 行查看 添加 符号的账户是无法在这里隐藏的 2 修改注册表型隐藏账户 由于使用这种方法隐藏的账户是不会在 命令提示符 和 计算机管理 中看到的 因此 可以到注表中删除隐藏账户 第一步 打开 注册表编辑器 来到 HKEY LOCAL MACHINE SAM SAM Domains Account Users Names 其下的子项就是系统 中的账户名 这是最保险的查看方式 点击左侧分支找到 HKEY LOCAL MACHINE SAM SAM Domains Account Users Names Administrator 查看并记 录下该项的默认值 第二步 依次检查 HKEY LOCAL MACHINE SAM SAM Domains Account Users Names 下 的所有子项 如果某个子项的默认值与刚才记录下的 Administrator 的默认值相同 那么这 个就是影子账户了 毫不犹豫的删除 第三步 除 Administrator 外 黑客还可能复制出其他账户的用户数据 所以保险起见 还需检查 HKEY LOCAL MACHINE SAM SAM Domains Account Users Names 下所有子项的默 认值是否有相同的 如果有 那么就该小心了 3 通过事件查看器找到无法看到名称的隐藏账户 如果黑客制作了一个修改注册表型隐藏账户 在此基础上删除了管理员对注册表的操 作权限 那么管理员是无法通过注册表删除隐藏账户的 甚至无法知道黑客建立的隐藏账 户名称 不过我们可以借助 组策略 的帮助 让黑客无法通过隐藏账户登陆 点击 开始 运 行 输入 gpedit msc 运行 组策略 依次展开 计算机配置 Windows 设置 安全设 置 本地策略 审核策略 双击右边的 审核策略更改 在弹出的设置窗口中勾选 成 功 然后点 确定 对 审核登陆事件 和 审核过程追踪 进行相同的设置 开启登陆事件 审核功能 进行登陆审核后 可以对任何账户的登陆操作进行记录 包括隐藏账户 这样我们就 可以通过 计算机管理 中的 事件查看器 准确得知隐藏账户的名称 甚至黑客登陆的时间 即使黑客将所有的登陆日志删除 系统还会记录是哪个账户删除了系统日志 这样黑客的 隐藏账户就暴露无疑了 得知隐藏账户的名称后就好办了 但是我们仍然不能删除这个隐藏账户 因为我们没 有权限 但是我们可以在 命令提示符 中输入 net user 隐藏账户名称 然后更改这个隐藏 账户的密码 这样这个隐藏账户就会失效 黑客无法再用这个隐藏账户 三 其他相关附件 附件 1 审核策略的常规设置 审核被启用后 系统就会在审核日志中收集审核对象所发生的一切事件 如应用程式 系统连同安全的相关信息 因此审核对于确保域的安全是很重要的 审核策略下的各项值 可分为成功 失败和不审核三种 默认是不审核 若要启用审核 可在某项上双击鼠标 就会弹出 属性 窗口 首先选中 在模板中定义这些策略配置 然后按需求选择 成功 或 失败 即可 审核策略更改 用于确定是否对用户权限分配策略 审核策略或信任策略作出更改 的每一个事件进行审核 建议配置为 成功 和 失败 审核登录事件 用于确定是否审核用户登录到该电脑 从该电脑注销或建立和该电 脑的网络连接的每一个实例 假如设定为审核成功 则可用来确定哪个用户成功登录到哪 台电脑 假如设为审核失败 则能够用来检测入侵 但攻击者生成的庞大的登录失败日志 会造成拒绝服务 DoS 状态 建议配置为 成功 审核对象访问 确定是否审核用户访问某个对象 例如文档 文档夹 注册表项 打印机等 他们都指定了自己的系统访问控制列表 SACL 的事件 建议配置为 失败 审核过程跟踪 确定是否审核事件的周详跟踪信息 如程式激活 进程退出 间接 对象访问等 假如怀疑系统被攻击 可启用该项 但启用后会生成大量事件记录 正常情 况下建议将其配置为 无审核 审核目录服务访问 确定是否审核用户访问那些指定有自己的系统访问控制列表 SACL 的 ActiveDirectory 对象的事件 启用后会在域控制器的安全日志中生成大量审核项 因此仅在确实要使用所创建的信息时才应启用 建议配置为 无审核 审核特权使用 该项用于确定是否对用户行使用户权限的每个实例进行审核 但除 跳过遍历检查