守住系统大门 别让木马屠城

分析家

　　3、把超级管理员帐户Administrator删除
　　虽然把超级管理员帐户Administrator改名或停用能有效阻止黑客的入侵，但对于一些技术高超的黑客来说，他们不但能通过其他方法获取改名后的超级管理员帐户名称和密码，甚至可以把停用的帐户再启用。为了杜绝这样的安全隐患，我们就干脆将超级管理员帐户Administrator删除，让黑客“无门可登”。
　　但Administrator是系统缺省的超级管理员帐户，在整个用户帐户体系中有着非同一般的地位和重要性，哪能说删就删?的确，超级管理员帐户Administrator不是轻易就能删掉的，不但在控制面板中的用户帐户管理窗口中很难见到它的影子，就连在本地用户管理器中也无法将它删除。
　　在控制面板中的用户帐户管理窗口中，若系统只有Administrator这一个帐户，则该帐户将显示出来但不能删除;若系统还有用户自己建立的其他帐户，则Administrator会自动隐藏。总之，在控制面板中的用户帐户管理窗口中是无法将Administrator删除的：　　


　　同样，在计算机管理——系统工具——本地用户和组——用户窗口中，我们也无法删除Administrator，提示“无法在内置帐户上运行此操作”：　　

　　用以上这两种常规的方法是无法删除Administrator这个系统内置的超级管理员帐户的，那么就没有办法删除它了吗?有，我们可以用修改注册表的方式删除Administrator：
　　点击“开始”——“运行”，在弹出的“运行”对话框中输入regedt32.exe并回车(注意不要用regedit.exe，后者没有安全设置方面的功能)：　　

　　在弹出的注册表编辑器窗口中，定位到HEKY_LOCAL_MACHINE/SAM，在SAM子键上点右键选择“权限…”菜单：　

　　在“SAM 的权限”设置窗口中，选中“组或用户名称”下的“Administrators (GARFIELDPC\Administrators)”用户组(即自己创建的Garfield帐户所在的用户组)，然后确保“Administrators 的权限”下的“完全控制”已经勾上了“允许”。这样就设置了SAM子键为自己能够完全读写：　　

　　同样，我们再定位到HKEY_LOCAL_MACHINE/SECURITY，在SECURITY子键上点右键选择“权限…”菜单：　　

　　在“SECURITY 的权限”窗口中，我们同样设置自己能够完全读写SECURITY子键：　

　　设置完SAM子键和SECURITY子键为自己能够完全读写后，我们接下来关闭再重新启动该注册表编辑器(也可以按F5刷新注册表编辑器)。这样原先的SECURITY子键下就显示出了许多原来隐藏的子键：　　

　　接下来我们定位到HKEY_LOCAL_MACHINE\SECURITY\SAM\Domains\Account\Users\Names\Administrator子键，因为我们之前可能给超级管理员帐户设置了其他名字，所以我们要确认该子键的默认二进制值为0X1f4(在注册表编辑器右侧“类型”下显示的数据)。首先我们把Administrator子键导出备份：　

　　然后我们再把Administrator子键删除：　

　　同样我们再定位到HKEY_LOCAL_MACHINE\SECURITY\SAM\Domains\Account\Users\000001F4子键，导出000001F4子键备份后，也把该子键删除(这是内置管理员账号的SID值，Administrator一般对应000001F4，Guest一般对应000001F5)：　　

　　我们把以上两个注册表子键删除以后，退出并重启电脑，会惊喜地发现超级管理员帐户Administrator已经不见了，被删除了。本地用户管理器中只剩下我们自己之前创建的Garfield帐户：　　

　　以后，黑客若想用Administrator帐户登录我们的系统，会出现如下提示，提示不存在该帐户：　

　　小提示：在完成删除Administrator帐户的操作后，我们需要把SAM子键和SECURITY子键的权限设置回非完全控制状态，以防他人用同样方法修改注册表。
　　小结：通过修改注册表的方式删除超级管理员帐户Administrator之后，任何人包括黑客都无法再通过该帐户登录我们的系统了。整个系统只剩下我们自己创建的Garfield帐户，再有效设置Garfield帐户的各种操作权限，我们就可以有效保护我们的系统不受恶意破坏了。值得注意的是，删除系统内置的Administrator帐户可能会引起其他方面的一些问题，如果以后我们需要恢复Administrator超级管理员帐户，只需把之前导出的Administrator子键和000001F4子键导回注册表即可：　

分析家

4、另外创建一个以Administrator为名的受限制的非管理员帐户　　在删除超级管理员帐户Administrator之后，为了进一步保证系统的安全，我们还可以自己另外再创建一个以Administrator为名的受限制的非管理员帐户，这样当黑客想用Administrator远程登录我们的系统时，实际上他想破解的是一个受限制的非管理员帐户，没有多大的操作权限修改系统，这样不但迷惑了黑客，也进一步提升了系统的安全性。具体操作如下：

　　在删除真正的超级管理员帐户Administrator之后，我们在本地用户管理器中新建一个名为Administrator的非管理员帐户：　　

　　在弹出的创建新用户对话框中，输入用户名Administrator，设置密码，并勾选上“用户不能更改密码”和“帐户已停用”：　　

　　这样我们就创建了一个名为Administrator的非管理员帐户，并且该帐户处于停用状态：　

　　而且它只属于Users用户组，并不属于拥有最高权限的Administrators组：　　

　　这样，黑客就算知道了Administrator的密码，也无法登录(因为该帐户我们已经设置为停用)：　

　　就算启用了该帐户，黑客登入的也是一个受限的非管理员帐户：　

　　而且不能修改密码：　

　　此外，在组策略——计算机配置——Windows 设置——安全设置——本地策略——用户权利指派中，我们还可以详细设置非管理员帐户Administrator的各种权限，来进一步限制它对系统的操作权限：　　

　　小结：在删除真正的Administrator超级管理员帐户之后，我们通过自己创建的非管理员帐户Administrator，可以进一步迷惑黑客;而且通过对该帐户进行的启用密码、停用帐户、限制权限等各种设置，展现在黑客面前的，是一个非常坚固的“虚假”Administrator帐户。黑客就算知道该帐户的名字，也不知道密码;就算知道密码，也登录不了这个停用的帐户;就算勉强登入了这个帐户，也无法对系统进行大的破坏性操作(因为他登入的是一个名为Administrator的非管理员帐户，且经过种种设置被限制了操作权限)。这样一来，我们就可以用这个“虚假”的Administrator非管理员帐户来应付黑客，而用自己创建的其他帐户来使用系统，安全性比直接使用Administrator超级管理员帐户要高。

分析家

　　三、总结：
　　本文介绍了系统缺省产生的Administrator超级管理员帐户的安全性问题，以及如何通过改名、停用、删除和新建非管理员帐户来提高系统安全性的方法。总体上来说，通过对Administrator帐户的有效设置和安全性限制，我们可以弥补系统在帐户机制安全性方面的漏洞，大大提高操作系统的安全性。不过，保护用户帐户的安全只是确保电脑系统安全的第一步，我们所面对的电脑网络安全威胁是多方面的，还有网络上的挂马网页、钓鱼网站、黑客的远程攻击、借助移动存储设备传播的病毒木马、系统本身的BUG和漏洞，以及第三方应用软件的安全性漏洞等，这些都是我们需要注意的安全性问题。而对操作系统的用户帐户来说，是电脑安全的第一个大门，我们要把守好用户帐户这个大门，防止黑客潜入、木马屠城。