给账户起个“小名”──影子账户全面解析

■Limited

特别注意:

★本文仅针对Windows 2000/XP/2003，Windows 9x不在本文讨论范畴。

★本文涉及注册表重要位置的修改，在实际操作前应好备份。

评评管理员账户的安全性

Windows 2000/XP/2003中都能找到一个系统内置的默认管理员账户──Administrator，该账户具有Windows的最高管理权限，用来完成软件安装、系统设置等任务。如果系统由于存在漏洞而被黑客入侵，黑客为了下次还能方便地进来，通常会留一个管理员账户的影子账户(关于影子账户的概念将在下文中介绍)。

1.为什么黑客选择Administrator账户作为突破口

如果黑客希望远程登录系统的话，就必须拥有具有远程登录权限的账户，而管理员账户自然是具备了远程登录的权限。另外，由于Administrator是系统中默认建立的管理员账户，而且一般无法删除，所以黑客都会选择Administrator作为用户名猜解登录密码。虽然使用“组策略”可以修改Administrator的用户名，可是一旦黑客给Administrator起了个“小名”(影子账户)，再怎么改用户名也没用了。

2.Windows XP的安全策略

Windows XP在安装过程中会提示建立一个管理员账户，但实际上默认的Administrator账户仍是存在的，并且密码为空。笔者的Windows XP SP2没有修改此空密码，但黑客却无从下手，原因何在？原来在安全策略中有一条禁止了空密码账户的远程登录，黑客即使知道密码为空仍无法登录。

小知识

什么是Windows内置账户

内置账户是微软在开发Windows时预先为用户设置的能够登录系统的账户。使用最多的有Administator和Guest，它们两个默认都无法从系统中删除，即使从未使用这两个账户登录系统！如果在安装系统后使用其他账户登录系统，这样在“Documents and Settings”目录中就不会产生它们两个所对应的配置文件目录，但这两个账户仍是存在的。用此账户登录一次后，系统就会生成相应的目录。

谈谈管理员账户的安全防范

既然已经列举了这么多不安全因素，那么必须给出解决之道。

1.为Administrator账户设置强壮的密码

强密码通常在8位以上，以大小写字母、数字、特殊符号混合排列而成。不应使用名字缩写及自己、家人的生日作为密码元素。不宜将常用单词用作为密码元素，即使要使用，也要使用特殊符号或数字使其略为变形，如将“apple”改为“@pp1e”等。

2.更改Administrator为其他用户名

Administrator是系统内建账户，默认情况下无法更改，可是强大的组策略又为我们提供了一次安全机会。运行“gpedit.msc”打开“组策略编辑器”，点击展开左侧窗格的“‘本地计算机’策略→Windows设置→安全设置→本地策略→安全选项”，然后在右侧窗格的一大堆列表中找到“重命名系统管理员账户”，双击它后就能设置新的账户名了(见图1)。
看看账户是如何变成影子的