限制用户账户权力来加强系统安全

　 当我们在讨论系统安全性和便利性之间的权衡问题时，将天平过度向便利性倾斜有时会带来灾难性的后果。因此，牺牲掉一定的便利性，通过限制用户账户权力来加强系统安全，应是值得注意并且不可回避的问题。　　

　　对账户名的隐藏　　

　　在本刊2005年第5期的“系统安全从账号设置做起”一文中，作者曾经提出：通过“用户账号”中的“更改用户登录和注销的方式”任务设置，取消“使用欢迎屏幕”选项来进行用户登录。不过这样每次登录的时候都要输入用户名和密码，有时觉得比较麻烦。其实完全可以保留使用欢迎屏幕——只要隐藏某些用户账户就行了（本文针对Windows 2000/XP系统）。具体可以通过修改注册表实现：

　　 1． 在“开始”菜单的“运行”处运行“regedit”命令，进入注册表编辑器；　　

　　 2． 打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSpecialAccountsUserList, 创建一个新的DWORD值，将这个值的名称设为要隐藏的账户名，并将值设为0。

　　如此，你隐藏的账户（如管理员账户）就不会出现在欢迎屏幕上。而要登录到欢迎屏幕上没有的账户，可以按两次Ctrl+Alt+Delete显示出“登录到Windows”对话框，输入用户名和密码即可。不过，以这种方式隐藏的账户是不能使用快速用户切换功能的，因为按两次Ctrl+Alt+ Delete的技巧只能在没有其他人登录进计算机时方能奏效。

　　作者在寝室就是把自己的管理员账户隐藏了起来，只在欢迎屏幕上留了个公用账户，同学要进系统只需输入密码即可。如此既方便了同学，又阻止了好事者对我管理员密码的追问。　　

　　通过自动登录来强制进入特定账户

　　当然，还可以做得更绝，就是使用看起来似乎并不安全的自动登录功能。如此一来，你就可以强制其他用户进入一个特定账户，而不用激起他们猜测其它账户的密码的好奇心。具体方法：　　

　　 1． 在“开始”菜单的“运行”处运行control userpasswords2命令，进入“用户账户”，在“用户”标签一栏，取消“要使用本机，用户必须输入用户名和密码”复选框，并单击“确定”（如图1）；
　　 　　

　　2． 其后，Windows会弹出一个提示框（如图2），要求你输入每次计算机启动时自动登录所使用的账户的用户名和密码。
　　

　　当然，还可在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon主键中进行其它的设置来进一步控制自动登录过程：