Win7小技巧：如何創建安全的Guest賬戶

　　有時候，我們可能需要創建一個Guest賬戶，即所謂的來賓用戶，它可以訪問計算機，但許可權會受到限制。關於什麼是Guest賬戶，微軟Windows 7給出的官方解釋是，通過來賓帳戶，用戶可以臨時訪問您的計算機。使用來賓帳戶的人無法安裝軟體或硬體，更改設置或者創建密碼。

　　不幸的是，Guest賬戶也為黑客入侵打開了方便之門。有網友戲稱，「我開啟了Guest賬戶，360安全衛士給我87分，關了就100分了」。

　　因此，如何做到既要保證Guest賬戶被啟用，又要消除安全隱患呢?本文的目的就是一步一步教您如何創建一個安全的Guest賬戶。

　　第一步 啟用Guest賬戶

　　默認情況下，Windows 7會禁用Guest賬戶，我們需要手工啟用。具體過程為：點擊「計算機管理(Computer Management)」 -> 「本地用戶與組(Local Users And Groups)」 –> 選擇「用戶(Users)」文件夾 –> 雙擊「來賓賬戶(Guest)」-> 清除「賬戶已禁用(Account Is Disabled)」複選框 –> 點擊「確定(OK)」。

▲Guest屬性——啟用賬戶

　　第二步 為Guest賬戶設置安全密碼

　　默認情況下，Windows 7的Guest賬戶密碼為空。處於安全性的考慮，建議您為該賬戶設置密碼。具體過程為：選擇「本地用戶與組(Local Users And Groups)」 –> 右鍵單擊「來賓賬戶(Guest)」-> 選擇「設置密碼(Set Password)」 -> 彈出警告，點擊「繼續(Proceed)」 –> 兩次輸入新密碼，連續兩次點擊「確認(OK)」。

▲為Guest設置密碼

　　第三步 禁止Guest賬戶用於網路

　　Guest賬戶安全性原則之一是不能被其它計算機訪問。否則，網路上的其它計算機用戶可使用Guest身份登錄該計算機。禁止Guest賬戶用於網路的方法有兩種。具體過程為：選擇「管理工具(Administrative Tools)」菜單 –> 啟動「本地安全策略(Local Security Policy)」工具，或者打開CMD命令行提示符，敲入「secpol.msc」 ->展開「本地策略(Local Policies)」 -> 雙擊「用戶許可權分配(User Rights Assignment)」 ->確保 Guest賬戶的策略為「拒絕從網路訪問這台計算機(Deny Access To This Computer From The Network)」。

▲本地安全策略——拒絕從網路訪問這台計算機

　　第四步 禁止Guest賬戶關閉計算機

　　一旦計算機關閉或是重啟，Guest賬戶有獲取非法授權的風險。為杜絕這種情況，務必取消Guest賬戶「關閉該系統(Shut Down The System)」的用戶權利。具體過程為：選擇「本地安全策略(Local Security Policy)」 –>展開「本地策略(Local Policies)」 ->雙擊「用戶許可權分配(User Rights Assignment)」-> 確保Guest賬戶的策略沒有「關閉該系統(Shut Down The System)」。

▲本地安全策略——禁止關閉系統

　　第五步 禁止Guest賬戶查看事件日誌

　　Guest賬戶另一安全性原則是不允許查看事件日誌。具體過程為：打開CMD命令行提示符，敲入「regedit」，啟動 「註冊表編輯器(Registry Editor)」 ，展開HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Eventlog鍵。這裡我們主要關注其中三個子健：Application, Security, System。確保這些子健均含一個REG_DWORD值。REG_DWORD的名稱為RestrictGuestAccess，對應的數據值為1。

▲註冊表編輯器——禁止查看事件日誌

　　案例分析

　　小王想設置一個Guest賬戶，要求只能訪問F盤，其餘C、D、E三個磁碟均不能訪問，該怎麼設置?

　　小王實際上是禁止Guest賬戶訪問磁碟，具體操作為：右鍵點擊「磁碟(Disk)」 –> 點擊「屬性(Property)」 –> 然後在「安全選項卡(Security Tab)」中，點擊「編輯(Edit)」按鈕。-> 在彈出窗口中點擊「添加(Add)」按鈕。–> 輸入Guest後點擊「檢查名稱」 -> 點擊「確定(Ok)」添加Guest賬戶。然後給Guest賬戶完全控制「拒絕」的許可權。

　　在許可權生效的時候會出現如下錯誤提示，請忽略這些提示。

▲ Windows安全錯誤提示

　　這樣Guest賬戶就無法訪問這些磁碟了。

　　需要指出的是，由於來賓帳戶允許用戶登錄到網路、瀏覽 Internet 以及關閉計算機，因此應該在不使用時將其禁用。