创建《受限帐户》的详细过程
1 篇帖子
• 分页: 1 / 1
创建《受限帐户》的详细过程
由 大话西游 » 2014-01-18 10:09
创建《受限帐户》的详细过程 直连:
前言
《受限帐户使用基础(V1.1)(2010.7.8)》资料(【明慧网二零一二年八月九日】发表 )中说“windows下的帐户分管理员和受限帐户,一般安装电脑后默认使用的是管理员帐户。管理员的帐户在电脑上的操作是不受限制的;而受限帐户则受到很多的限制,从而使恶意文件的活动也受到遏制,甚至无法运行。”,显
然使用受限帐户上网会大大提高电脑安全性。萌发了创建‘受限帐户’的念头。在学习创建过程中碰到了一个又一个技术问题,终于掌握了创建‘受限帐户’。现把学习过程整理出来,对基础差又想创建‘受限帐户’的读者应该有所帮助。
创建
一、准备一个干净的电脑操作系统
电脑使用一段时间后,可能系统已经受到恶意软件侵害,可能中了病毒等等。避免隐患,最好重新安装操作系统,或者一键还原恢复系统。如果安装的是常人系统,要卸载常人软件,国内流行范围广的许多软件大多都具有木马、流氓特征,象腾讯QQ、360安全卫士、金山、迅雷、千千听、暴风影音、搜狗拼音输入等很多国内软件都这样,有窃取和上传用户信息及操作记录、扫描硬盘、留有后门等行为。安装明慧网推荐的麦咖啡杀毒软件、播放软件、无影无踪、谷歌拼音输入法1.2等等。要对IE浏览器做最高级别的安全设置。要对电脑进行有关安全设置。要在电脑硬盘分区里(比如本地磁盘(E:))用t6加密软件创建一个4个G的加密卷,卷内装入自由门和其他破网软件和火狐浏览器10.0ESR便携版。
二、创建两个管理员帐户并且分别设置开机密码。其中一个管理员帐户替代电脑现在的管理员帐户,另一个管理员帐户准备降级为受限帐户。
1、创建管理员帐户。操作:右键点桌面上‘我的电脑’→控制面板→用户帐户→创建一个新帐户→帐户名输入‘甲’→下一步→计算机管理员→创建帐户。出现‘甲 计算机管理员’图形。原来的管理员帐户图形消失。创建另一个管理员帐户,操作:创建一个新帐户→帐户名输入‘乙’→下一步→计算机管理员→创建帐户。出现‘乙计算机管理员’图形。甲、乙两个管理员帐户,哪个降级为受限帐户都可以。
2、本文把“乙”降级为受限帐户。操作:点击乙图形→更改帐户类型→勾选‘受限’→更改帐户类型。等一会,出现‘乙 受限的帐户’图形。
3、设置开机密码。操作:点击甲图形→创建密码→两次都输入同一密码→创建密码。显示‘甲 计算机管理员 密码保护’图形。同样,给乙设置密码。显示‘乙 受限的帐户 密码保护 ’图形。甲、乙密码可相同,也可不相同。
三、为了在‘乙受限的帐户’内能打开所有文件,马上做如下设置。操作:右键点桌面‘我的电脑’图形→管理→服务和应用程序→服务→向下拉右竖条找到‘Secondary Logon’且‘双击’→‘启动类型’设置为‘自动’→确定。点右上角红‘x’(关闭)。
四、切换到乙受限的帐户。
以上的操作都是在‘甲 计算机管理员’帐户下进行。现在切换到‘乙受限的帐户’,操作:点‘开始’→注销 甲→注销。稍等一会切换完毕,显示屏上出现甲、乙两个图形→点‘乙 ’图形→输入开机密码→点‘→’,进入乙受限的帐户。此时,双击桌面右下角的时间,会提示‘您没有适当的特权级,所以无法更改“系统时间。”’,这也是检查是否是受限帐户的标志。
以后每次开机,就在乙受限的帐户進行日常操作,比如上网,写文档等等。由于受限制,不能在硬盘分区直接建立‘文本文档’、‘word文档’等,如果要建立,先在硬盘分区建立文件夹,在其文件夹中才可建立上述文档。另外,受限帐户中的TrueCrypt加密图形,不能双击打开,每次要打开都这样操作:右键点加密图形→运行方式→勾选‘下列用户’,把它设置为‘甲’→输入开机密码→确定。接下来选定盘符打开加密卷(特别提醒!记住选定的这个盘符,每次打开加密卷都用这个盘符。因为自由门、火狐浏览器事先已经复制到这个加密卷内,为更加安全,自由门要设置用火狐浏览器上网,如果改变了盘符,自由门就找不到火狐浏览器,从而上不了网!!)。操作:双击‘自由门’→设置→设置浏览器→找到并且打开‘火狐浏览器10.0ESR便携版’文件夹,点击火狐浏览器图标→确定→退出。以后双击自由门就自动经火狐浏览器上动态网。
五、在乙受限的帐户中工作,要想安装新软件和驱动,或者改变系统的设置等等,都将受到拒绝。怎么办?
这是受限帐户的最大特点,也是优点。这样解决,第一步,切换到甲。把乙受限的帐户改成乙计算机管理员,操作:点‘开始’→注销 乙→注销。等切换完毕,显示屏出现甲、乙两个图形→点‘甲 ’图形→输入开机密码→点‘→’,进入‘甲计算机管理员 密码保护’帐户了。接着操作:打开控制面板中的‘用户帐户’,点‘乙 受限的帐户 密码保护’图形→更改帐户类型→勾选‘计算机管理员’→更改帐户类型。此时把乙受限的帐户改成了‘乙计算机管理员 ’,一会,出现‘乙计算机管理员 密码保护’图形。第二步,切换到乙。然后进行完要做的操作,如安装新软件等。第三步,再切换到甲,把乙改为受限的帐护,完毕。或关闭计算机,或切换到乙受限的帐户中继续工作。
受限用户很好的解决了安全问题,微软也一直不建议用户以管理员用户登录来使用计算机。
涉及到需要管理员权限才可以运行的程序那就需要提权了。
其实微软的介绍还有另一个方法,软件限制策略。软件限制策略不仅可以限制程序的运行,还可以更改程序的运行权限。比如在管理员用户下设定程序为基本用户权限,那么这样程序就降权运行。这样我们可以设置规则 * 基本用户,这样所有程序都是基本用户权限,然后再设置一个例外规则,比如设置C:\Program Files目录不受限制,那么在C:\Program Files目录下的程序都是管理员权限,省去了使用受限用户提权的过程,只要把程序放在规则设定的目录就可以保证安全运行了。
再如防止U盘病毒,U盘的盘符比如是G盘,那么加入G:\* 不允许运行,那么U盘病毒就阻止住了。
再有可以启用软件限制策略的证书规则,国内所谓的正规软件大部分都带数字签名,那好,我们就利用这一点,把它们的证书导出来,然后在软件限制策略中创建其证书的不允许的规则,这样设置后,即使不小心下载回来这些程序到电脑中也无法运行。包括浏览器插件等。保证了计算机的纯净。
涉及到给家人装系统,他们也许需要使用部分国内软件,比如qq,如果直接把qq的证书添加为不运行,那么就无法使用了。我们可以把腾讯公司其它附带的软件通过文件名称的形式加入到路径规则中,比如下面的文件名称:
QQLive*.exe
QQPlayer*.exe
QQBrowser*.exe
QQInt*.exe
QQPinyin*.exe
QQWubi*.exe
QQDownload*.exe
QQMusic*.exe
QQDict*.exe
QQPCMgr*.exe
这样qq拼音,qq音乐,qq视频,qq浏览器等等软件都无法安装运行,只保留qq,防止qq安装的时候附带其它不安全的东西。再把qq主程序qq.exe设置为基本用户权限,使它不可以随便扫描硬盘底层。
是不是比受限用户使用更灵活一些。设置好的策略规则迁移到其它电脑也很方便,只要复制
C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol文件到其它电脑中就可以了。
详细的说明我基本整理出来了。适时会发布到论坛。
前言
《受限帐户使用基础(V1.1)(2010.7.8)》资料(【明慧网二零一二年八月九日】发表 )中说“windows下的帐户分管理员和受限帐户,一般安装电脑后默认使用的是管理员帐户。管理员的帐户在电脑上的操作是不受限制的;而受限帐户则受到很多的限制,从而使恶意文件的活动也受到遏制,甚至无法运行。”,显
然使用受限帐户上网会大大提高电脑安全性。萌发了创建‘受限帐户’的念头。在学习创建过程中碰到了一个又一个技术问题,终于掌握了创建‘受限帐户’。现把学习过程整理出来,对基础差又想创建‘受限帐户’的读者应该有所帮助。
创建
一、准备一个干净的电脑操作系统
电脑使用一段时间后,可能系统已经受到恶意软件侵害,可能中了病毒等等。避免隐患,最好重新安装操作系统,或者一键还原恢复系统。如果安装的是常人系统,要卸载常人软件,国内流行范围广的许多软件大多都具有木马、流氓特征,象腾讯QQ、360安全卫士、金山、迅雷、千千听、暴风影音、搜狗拼音输入等很多国内软件都这样,有窃取和上传用户信息及操作记录、扫描硬盘、留有后门等行为。安装明慧网推荐的麦咖啡杀毒软件、播放软件、无影无踪、谷歌拼音输入法1.2等等。要对IE浏览器做最高级别的安全设置。要对电脑进行有关安全设置。要在电脑硬盘分区里(比如本地磁盘(E:))用t6加密软件创建一个4个G的加密卷,卷内装入自由门和其他破网软件和火狐浏览器10.0ESR便携版。
二、创建两个管理员帐户并且分别设置开机密码。其中一个管理员帐户替代电脑现在的管理员帐户,另一个管理员帐户准备降级为受限帐户。
1、创建管理员帐户。操作:右键点桌面上‘我的电脑’→控制面板→用户帐户→创建一个新帐户→帐户名输入‘甲’→下一步→计算机管理员→创建帐户。出现‘甲 计算机管理员’图形。原来的管理员帐户图形消失。创建另一个管理员帐户,操作:创建一个新帐户→帐户名输入‘乙’→下一步→计算机管理员→创建帐户。出现‘乙计算机管理员’图形。甲、乙两个管理员帐户,哪个降级为受限帐户都可以。
2、本文把“乙”降级为受限帐户。操作:点击乙图形→更改帐户类型→勾选‘受限’→更改帐户类型。等一会,出现‘乙 受限的帐户’图形。
3、设置开机密码。操作:点击甲图形→创建密码→两次都输入同一密码→创建密码。显示‘甲 计算机管理员 密码保护’图形。同样,给乙设置密码。显示‘乙 受限的帐户 密码保护 ’图形。甲、乙密码可相同,也可不相同。
三、为了在‘乙受限的帐户’内能打开所有文件,马上做如下设置。操作:右键点桌面‘我的电脑’图形→管理→服务和应用程序→服务→向下拉右竖条找到‘Secondary Logon’且‘双击’→‘启动类型’设置为‘自动’→确定。点右上角红‘x’(关闭)。
四、切换到乙受限的帐户。
以上的操作都是在‘甲 计算机管理员’帐户下进行。现在切换到‘乙受限的帐户’,操作:点‘开始’→注销 甲→注销。稍等一会切换完毕,显示屏上出现甲、乙两个图形→点‘乙 ’图形→输入开机密码→点‘→’,进入乙受限的帐户。此时,双击桌面右下角的时间,会提示‘您没有适当的特权级,所以无法更改“系统时间。”’,这也是检查是否是受限帐户的标志。
以后每次开机,就在乙受限的帐户進行日常操作,比如上网,写文档等等。由于受限制,不能在硬盘分区直接建立‘文本文档’、‘word文档’等,如果要建立,先在硬盘分区建立文件夹,在其文件夹中才可建立上述文档。另外,受限帐户中的TrueCrypt加密图形,不能双击打开,每次要打开都这样操作:右键点加密图形→运行方式→勾选‘下列用户’,把它设置为‘甲’→输入开机密码→确定。接下来选定盘符打开加密卷(特别提醒!记住选定的这个盘符,每次打开加密卷都用这个盘符。因为自由门、火狐浏览器事先已经复制到这个加密卷内,为更加安全,自由门要设置用火狐浏览器上网,如果改变了盘符,自由门就找不到火狐浏览器,从而上不了网!!)。操作:双击‘自由门’→设置→设置浏览器→找到并且打开‘火狐浏览器10.0ESR便携版’文件夹,点击火狐浏览器图标→确定→退出。以后双击自由门就自动经火狐浏览器上动态网。
五、在乙受限的帐户中工作,要想安装新软件和驱动,或者改变系统的设置等等,都将受到拒绝。怎么办?
这是受限帐户的最大特点,也是优点。这样解决,第一步,切换到甲。把乙受限的帐户改成乙计算机管理员,操作:点‘开始’→注销 乙→注销。等切换完毕,显示屏出现甲、乙两个图形→点‘甲 ’图形→输入开机密码→点‘→’,进入‘甲计算机管理员 密码保护’帐户了。接着操作:打开控制面板中的‘用户帐户’,点‘乙 受限的帐户 密码保护’图形→更改帐户类型→勾选‘计算机管理员’→更改帐户类型。此时把乙受限的帐户改成了‘乙计算机管理员 ’,一会,出现‘乙计算机管理员 密码保护’图形。第二步,切换到乙。然后进行完要做的操作,如安装新软件等。第三步,再切换到甲,把乙改为受限的帐护,完毕。或关闭计算机,或切换到乙受限的帐户中继续工作。
受限用户很好的解决了安全问题,微软也一直不建议用户以管理员用户登录来使用计算机。
涉及到需要管理员权限才可以运行的程序那就需要提权了。
其实微软的介绍还有另一个方法,软件限制策略。软件限制策略不仅可以限制程序的运行,还可以更改程序的运行权限。比如在管理员用户下设定程序为基本用户权限,那么这样程序就降权运行。这样我们可以设置规则 * 基本用户,这样所有程序都是基本用户权限,然后再设置一个例外规则,比如设置C:\Program Files目录不受限制,那么在C:\Program Files目录下的程序都是管理员权限,省去了使用受限用户提权的过程,只要把程序放在规则设定的目录就可以保证安全运行了。
再如防止U盘病毒,U盘的盘符比如是G盘,那么加入G:\* 不允许运行,那么U盘病毒就阻止住了。
再有可以启用软件限制策略的证书规则,国内所谓的正规软件大部分都带数字签名,那好,我们就利用这一点,把它们的证书导出来,然后在软件限制策略中创建其证书的不允许的规则,这样设置后,即使不小心下载回来这些程序到电脑中也无法运行。包括浏览器插件等。保证了计算机的纯净。
涉及到给家人装系统,他们也许需要使用部分国内软件,比如qq,如果直接把qq的证书添加为不运行,那么就无法使用了。我们可以把腾讯公司其它附带的软件通过文件名称的形式加入到路径规则中,比如下面的文件名称:
QQLive*.exe
QQPlayer*.exe
QQBrowser*.exe
QQInt*.exe
QQPinyin*.exe
QQWubi*.exe
QQDownload*.exe
QQMusic*.exe
QQDict*.exe
QQPCMgr*.exe
这样qq拼音,qq音乐,qq视频,qq浏览器等等软件都无法安装运行,只保留qq,防止qq安装的时候附带其它不安全的东西。再把qq主程序qq.exe设置为基本用户权限,使它不可以随便扫描硬盘底层。
是不是比受限用户使用更灵活一些。设置好的策略规则迁移到其它电脑也很方便,只要复制
C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol文件到其它电脑中就可以了。
详细的说明我基本整理出来了。适时会发布到论坛。
1 篇帖子
• 分页: 1 / 1
