創建《受限帳戶》的詳細過程
1 篇帖子
• 分頁: 1 / 1
創建《受限帳戶》的詳細過程
由 大話西遊 » 2014年1月18日
創建《受限帳戶》的詳細過程
前言
《受限帳戶使用基礎(V1.1)(2010.7.8)》資料(【明慧網二零一二年八月九日】發表 )中說「windows下的帳戶分管理員和受限帳戶,一般安裝電腦後默認使用的是管理員帳戶。管理員的帳戶在電腦上的操作是不受限制的;而受限帳戶則受到很多的限制,從而使惡意文件的活動也受到遏制,甚至無法運行。」,顯
然使用受限帳戶上網會大大提高電腦安全性。萌發了創建『受限帳戶』的念頭。在學習創建過程中碰到了一個又一個技術問題,終於掌握了創建『受限帳戶』。現把學習過程整理出來,對基礎差又想創建『受限帳戶』的讀者應該有所幫助。
創建
一、準備一個乾淨的電腦操作系統
電腦使用一段時間后,可能系統已經受到惡意軟體侵害,可能中了病毒等等。避免隱患,最好重新安裝操作系統,或者一鍵還原恢復系統。如果安裝的是常人系統,要卸載常人軟體,國內流行範圍廣的許多軟體大多都具有木馬、流氓特徵,象騰訊QQ、360安全衛士、金山、迅雷、千千聽、暴風影音、搜狗拼音輸入等很多國內軟體都這樣,有竊取和上傳用戶信息及操作記錄、掃描硬碟、留有後門等行為。安裝明慧網推薦的麥咖啡殺毒軟體、播放軟體、無影無蹤、谷歌拼音輸入法1.2等等。要對IE瀏覽器做最高級別的安全設置。要對電腦進行有關安全設置。要在電腦硬碟分區里(比如本地磁碟(E:))用t6加密軟體創建一個4個G的加密卷,卷內裝入自由門和其他破網軟體和火狐瀏覽器10.0ESR便攜版。
二、創建兩個管理員帳戶並且分別設置開機密碼。其中一個管理員帳戶替代電腦現在的管理員帳戶,另一個管理員帳戶準備降級為受限帳戶。
1、創建管理員帳戶。操作:右鍵點桌面上『我的電腦』→控制面板→用戶帳戶→創建一個新帳戶→帳戶名輸入『甲』→下一步→計算機管理員→創建帳戶。出現『甲 計算機管理員』圖形。原來的管理員帳戶圖形消失。創建另一個管理員帳戶,操作:創建一個新帳戶→帳戶名輸入『乙』→下一步→計算機管理員→創建帳戶。出現『乙計算機管理員』圖形。甲、乙兩個管理員帳戶,哪個降級為受限帳戶都可以。
2、本文把「乙」降級為受限帳戶。操作:點擊乙圖形→更改帳戶類型→勾選『受限』→更改帳戶類型。等一會,出現『乙 受限的帳戶』圖形。
3、設置開機密碼。操作:點擊甲圖形→創建密碼→兩次都輸入同一密碼→創建密碼。顯示『甲 計算機管理員 密碼保護』圖形。同樣,給乙設置密碼。顯示『乙 受限的帳戶 密碼保護 』圖形。甲、乙密碼可相同,也可不相同。
三、為了在『乙受限的帳戶』內能打開所有文件,馬上做如下設置。操作:右鍵點桌面『我的電腦』圖形→管理→服務和應用程序→服務→向下拉右豎條找到『Secondary Logon』且『雙擊』→『啟動類型』設置為『自動』→確定。點右上角紅『x』(關閉)。
四、切換到乙受限的帳戶。
以上的操作都是在『甲 計算機管理員』帳戶下進行。現在切換到『乙受限的帳戶』,操作:點『開始』→註銷 甲→註銷。稍等一會切換完畢,顯示屏上出現甲、乙兩個圖形→點『乙 』圖形→輸入開機密碼→點『→』,進入乙受限的帳戶。此時,雙擊桌面右下角的時間,會提示『您沒有適當的特權級,所以無法更改「系統時間。」』,這也是檢查是否是受限帳戶的標誌。
以後每次開機,就在乙受限的帳戶進行日常操作,比如上網,寫文檔等等。由於受限制,不能在硬碟分區直接建立『文本文檔』、『word文檔』等,如果要建立,先在硬碟分區建立文件夾,在其文件夾中才可建立上述文檔。另外,受限帳戶中的TrueCrypt加密圖形,不能雙擊打開,每次要打開都這樣操作:右鍵點加密圖形→運行方式→勾選『下列用戶』,把它設置為『甲』→輸入開機密碼→確定。接下來選定盤符打開加密卷(特別提醒!記住選定的這個盤符,每次打開加密卷都用這個盤符。因為自由門、火狐瀏覽器事先已經複製到這個加密卷內,為更加安全,自由門要設置用火狐瀏覽器上網,如果改變了盤符,自由門就找不到火狐瀏覽器,從而上不了網!!)。操作:雙擊『自由門』→設置→設置瀏覽器→找到並且打開『火狐瀏覽器10.0ESR便攜版』文件夾,點擊火狐瀏覽器圖標→確定→退出。以後雙擊自由門就自動經火狐瀏覽器上動態網。
五、在乙受限的帳戶中工作,要想安裝新軟體和驅動,或者改變系統的設置等等,都將受到拒絕。怎麼辦?
這是受限帳戶的最大特點,也是優點。這樣解決,第一步,切換到甲。把乙受限的帳戶改成乙計算機管理員,操作:點『開始』→註銷 乙→註銷。等切換完畢,顯示屏出現甲、乙兩個圖形→點『甲 』圖形→輸入開機密碼→點『→』,進入『甲計算機管理員 密碼保護』帳戶了。接著操作:打開控制面板中的『用戶帳戶』,點『乙 受限的帳戶 密碼保護』圖形→更改帳戶類型→勾選『計算機管理員』→更改帳戶類型。此時把乙受限的帳戶改成了『乙計算機管理員 』,一會,出現『乙計算機管理員 密碼保護』圖形。第二步,切換到乙。然後進行完要做的操作,如安裝新軟體等。第三步,再切換到甲,把乙改為受限的帳護,完畢。或關閉計算機,或切換到乙受限的帳戶中繼續工作。
受限用戶很好的解決了安全問題,微軟也一直不建議用戶以管理員用戶登錄來使用計算機。
涉及到需要管理員許可權才可以運行的程序那就需要提權了。
其實微軟的介紹還有另一個方法,軟體限制策略。軟體限制策略不僅可以限製程序的運行,還可以更改程序的運行許可權。比如在管理員用戶下設定程序為基本用戶許可權,那麼這樣程序就降權運行。這樣我們可以設置規則 * 基本用戶,這樣所有程序都是基本用戶許可權,然後再設置一個例外規則,比如設置C:\Program Files目錄不受限制,那麼在C:\Program Files目錄下的程序都是管理員許可權,省去了使用受限用戶提權的過程,只要把程序放在規則設定的目錄就可以保證安全運行了。
再如防止U盤病毒,U盤的盤符比如是G盤,那麼加入G:\* 不允許運行,那麼U盤病毒就阻止住了。
再有可以啟用軟體限制策略的證書規則,國內所謂的正規軟體大部分都帶數字簽名,那好,我們就利用這一點,把它們的證書導出來,然後在軟體限制策略中創建其證書的不允許的規則,這樣設置后,即使不小心下載回來這些程序到電腦中也無法運行。包括瀏覽器插件等。保證了計算機的純凈。
涉及到給家人裝系統,他們也許需要使用部分國內軟體,比如qq,如果直接把qq的證書添加為不運行,那麼就無法使用了。我們可以把騰訊公司其它附帶的軟體通過文件名稱的形式加入到路徑規則中,比如下面的文件名稱:
QQLive*.exe
QQPlayer*.exe
QQBrowser*.exe
QQInt*.exe
QQPinyin*.exe
QQWubi*.exe
QQDownload*.exe
QQMusic*.exe
QQDict*.exe
QQPCMgr*.exe
這樣qq拼音,qq音樂,qq視頻,qq瀏覽器等等軟體都無法安裝運行,只保留qq,防止qq安裝的時候附帶其它不安全的東西。再把qq主程序qq.exe設置為基本用戶許可權,使它不可以隨便掃描硬碟底層。
是不是比受限用戶使用更靈活一些。設置好的策略規則遷移到其它電腦也很方便,只要複製
C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol文件到其它電腦中就可以了。
詳細的說明我基本整理出來了。適時會發布到論壇。
前言
《受限帳戶使用基礎(V1.1)(2010.7.8)》資料(【明慧網二零一二年八月九日】發表 )中說「windows下的帳戶分管理員和受限帳戶,一般安裝電腦後默認使用的是管理員帳戶。管理員的帳戶在電腦上的操作是不受限制的;而受限帳戶則受到很多的限制,從而使惡意文件的活動也受到遏制,甚至無法運行。」,顯
然使用受限帳戶上網會大大提高電腦安全性。萌發了創建『受限帳戶』的念頭。在學習創建過程中碰到了一個又一個技術問題,終於掌握了創建『受限帳戶』。現把學習過程整理出來,對基礎差又想創建『受限帳戶』的讀者應該有所幫助。
創建
一、準備一個乾淨的電腦操作系統
電腦使用一段時間后,可能系統已經受到惡意軟體侵害,可能中了病毒等等。避免隱患,最好重新安裝操作系統,或者一鍵還原恢復系統。如果安裝的是常人系統,要卸載常人軟體,國內流行範圍廣的許多軟體大多都具有木馬、流氓特徵,象騰訊QQ、360安全衛士、金山、迅雷、千千聽、暴風影音、搜狗拼音輸入等很多國內軟體都這樣,有竊取和上傳用戶信息及操作記錄、掃描硬碟、留有後門等行為。安裝明慧網推薦的麥咖啡殺毒軟體、播放軟體、無影無蹤、谷歌拼音輸入法1.2等等。要對IE瀏覽器做最高級別的安全設置。要對電腦進行有關安全設置。要在電腦硬碟分區里(比如本地磁碟(E:))用t6加密軟體創建一個4個G的加密卷,卷內裝入自由門和其他破網軟體和火狐瀏覽器10.0ESR便攜版。
二、創建兩個管理員帳戶並且分別設置開機密碼。其中一個管理員帳戶替代電腦現在的管理員帳戶,另一個管理員帳戶準備降級為受限帳戶。
1、創建管理員帳戶。操作:右鍵點桌面上『我的電腦』→控制面板→用戶帳戶→創建一個新帳戶→帳戶名輸入『甲』→下一步→計算機管理員→創建帳戶。出現『甲 計算機管理員』圖形。原來的管理員帳戶圖形消失。創建另一個管理員帳戶,操作:創建一個新帳戶→帳戶名輸入『乙』→下一步→計算機管理員→創建帳戶。出現『乙計算機管理員』圖形。甲、乙兩個管理員帳戶,哪個降級為受限帳戶都可以。
2、本文把「乙」降級為受限帳戶。操作:點擊乙圖形→更改帳戶類型→勾選『受限』→更改帳戶類型。等一會,出現『乙 受限的帳戶』圖形。
3、設置開機密碼。操作:點擊甲圖形→創建密碼→兩次都輸入同一密碼→創建密碼。顯示『甲 計算機管理員 密碼保護』圖形。同樣,給乙設置密碼。顯示『乙 受限的帳戶 密碼保護 』圖形。甲、乙密碼可相同,也可不相同。
三、為了在『乙受限的帳戶』內能打開所有文件,馬上做如下設置。操作:右鍵點桌面『我的電腦』圖形→管理→服務和應用程序→服務→向下拉右豎條找到『Secondary Logon』且『雙擊』→『啟動類型』設置為『自動』→確定。點右上角紅『x』(關閉)。
四、切換到乙受限的帳戶。
以上的操作都是在『甲 計算機管理員』帳戶下進行。現在切換到『乙受限的帳戶』,操作:點『開始』→註銷 甲→註銷。稍等一會切換完畢,顯示屏上出現甲、乙兩個圖形→點『乙 』圖形→輸入開機密碼→點『→』,進入乙受限的帳戶。此時,雙擊桌面右下角的時間,會提示『您沒有適當的特權級,所以無法更改「系統時間。」』,這也是檢查是否是受限帳戶的標誌。
以後每次開機,就在乙受限的帳戶進行日常操作,比如上網,寫文檔等等。由於受限制,不能在硬碟分區直接建立『文本文檔』、『word文檔』等,如果要建立,先在硬碟分區建立文件夾,在其文件夾中才可建立上述文檔。另外,受限帳戶中的TrueCrypt加密圖形,不能雙擊打開,每次要打開都這樣操作:右鍵點加密圖形→運行方式→勾選『下列用戶』,把它設置為『甲』→輸入開機密碼→確定。接下來選定盤符打開加密卷(特別提醒!記住選定的這個盤符,每次打開加密卷都用這個盤符。因為自由門、火狐瀏覽器事先已經複製到這個加密卷內,為更加安全,自由門要設置用火狐瀏覽器上網,如果改變了盤符,自由門就找不到火狐瀏覽器,從而上不了網!!)。操作:雙擊『自由門』→設置→設置瀏覽器→找到並且打開『火狐瀏覽器10.0ESR便攜版』文件夾,點擊火狐瀏覽器圖標→確定→退出。以後雙擊自由門就自動經火狐瀏覽器上動態網。
五、在乙受限的帳戶中工作,要想安裝新軟體和驅動,或者改變系統的設置等等,都將受到拒絕。怎麼辦?
這是受限帳戶的最大特點,也是優點。這樣解決,第一步,切換到甲。把乙受限的帳戶改成乙計算機管理員,操作:點『開始』→註銷 乙→註銷。等切換完畢,顯示屏出現甲、乙兩個圖形→點『甲 』圖形→輸入開機密碼→點『→』,進入『甲計算機管理員 密碼保護』帳戶了。接著操作:打開控制面板中的『用戶帳戶』,點『乙 受限的帳戶 密碼保護』圖形→更改帳戶類型→勾選『計算機管理員』→更改帳戶類型。此時把乙受限的帳戶改成了『乙計算機管理員 』,一會,出現『乙計算機管理員 密碼保護』圖形。第二步,切換到乙。然後進行完要做的操作,如安裝新軟體等。第三步,再切換到甲,把乙改為受限的帳護,完畢。或關閉計算機,或切換到乙受限的帳戶中繼續工作。
受限用戶很好的解決了安全問題,微軟也一直不建議用戶以管理員用戶登錄來使用計算機。
涉及到需要管理員許可權才可以運行的程序那就需要提權了。
其實微軟的介紹還有另一個方法,軟體限制策略。軟體限制策略不僅可以限製程序的運行,還可以更改程序的運行許可權。比如在管理員用戶下設定程序為基本用戶許可權,那麼這樣程序就降權運行。這樣我們可以設置規則 * 基本用戶,這樣所有程序都是基本用戶許可權,然後再設置一個例外規則,比如設置C:\Program Files目錄不受限制,那麼在C:\Program Files目錄下的程序都是管理員許可權,省去了使用受限用戶提權的過程,只要把程序放在規則設定的目錄就可以保證安全運行了。
再如防止U盤病毒,U盤的盤符比如是G盤,那麼加入G:\* 不允許運行,那麼U盤病毒就阻止住了。
再有可以啟用軟體限制策略的證書規則,國內所謂的正規軟體大部分都帶數字簽名,那好,我們就利用這一點,把它們的證書導出來,然後在軟體限制策略中創建其證書的不允許的規則,這樣設置后,即使不小心下載回來這些程序到電腦中也無法運行。包括瀏覽器插件等。保證了計算機的純凈。
涉及到給家人裝系統,他們也許需要使用部分國內軟體,比如qq,如果直接把qq的證書添加為不運行,那麼就無法使用了。我們可以把騰訊公司其它附帶的軟體通過文件名稱的形式加入到路徑規則中,比如下面的文件名稱:
QQLive*.exe
QQPlayer*.exe
QQBrowser*.exe
QQInt*.exe
QQPinyin*.exe
QQWubi*.exe
QQDownload*.exe
QQMusic*.exe
QQDict*.exe
QQPCMgr*.exe
這樣qq拼音,qq音樂,qq視頻,qq瀏覽器等等軟體都無法安裝運行,只保留qq,防止qq安裝的時候附帶其它不安全的東西。再把qq主程序qq.exe設置為基本用戶許可權,使它不可以隨便掃描硬碟底層。
是不是比受限用戶使用更靈活一些。設置好的策略規則遷移到其它電腦也很方便,只要複製
C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol文件到其它電腦中就可以了。
詳細的說明我基本整理出來了。適時會發布到論壇。
1 篇帖子
• 分頁: 1 / 1
