新手教教程:UAC(用户帐户控制)详解及如何关闭
1,什么时UAC
1.UAC(User Account Control,用户帐户控制)是微软为提高系统安全而在Windows Vista中引入的新技术,它要求用户在执行可能会影响
计算机运行的操作或执行更改影响其他用户的设置的操作之前,提供权限或管理员密码。通过在这些操作启动前对其进行验证,UAC 可以帮助防止恶意软件和间谍软件在未经许可的情况下在计算机上进行安装或对计算机进行更改。
复制代码
2,什么情况下会出现UAC提示
2.1,程序需要您的许可才能继续
不属于Windows 的一部分的程序需要您的许可才能启动。它具有指明其名称和发行者的有效的数字签名,该数字签名可以帮助确保该程序正是其所声明的程序。确保该程序正是您要运行的程序。
2.2,一个未能识别的程序要访问您的计算机
未能识别的程序是指没有其发行者所提供用于确保该程序正是其所声明程序的有效数字签名的程序。这不一定表明有危险,因为许多旧的合法程序缺少签名。但是,应该特别注意并且仅当其获取自可信任的来源(例如原装CD 或发行者网站)时允许此程序运行。
2.3,此程序已被管理员阻止
这是管理员专门阻止在您的计算机上运行的程序。若要运行此程序,必须与管理员联系并且要求解除阻止此程序。建议您大多数情况下使用标准用户帐户登录计算机。可以浏览Internet,发送电子邮件,使用字处理器,所有这些都不需要管理员帐户。当您要执行管理任务(如安装新程序或更改会影响其他用户的设置)时,不必切换到管理员帐户。在执行该任务之前,Windows 会提示您进行许可或提供管理员密码。为了帮助保护计算机,可以为共享该计算机的所有用户创建标准用户帐户。当拥有标准帐户的人试图安装软件时,Windows 会要求输入管理员帐户的密码,以便在您不知情和未经您许可的情况下无法安装软件。
2.4,Windows 需要您的许可才能继续
可能会影响本计算机其他用户的Windows 功能或程序需要您的许可才能启动。请检查操作的名称以确保它正是您要运行的功能或程序。
3,UAC的作用
1.保护Win7安全不得不说的UAC,UAC是User Account Control的缩写,其中文翻译为用户帐户控制,是微软在Windows Vista和Win7
中引用的新技术,主要功能是进行一些会影响系统安全的操作时,会自动触发UAC,用户确认后才能执行
2.大部分的恶意软件、木马病毒、广告插件在进入计算机时都会有如:将文件复制到Windows或Program Files等目录、安装驱动、安
装ActiveX等操作,而这些操作都会触发UAC。面对这些不安全的因素,用户该如何解决UAC带来的问题?本文详细介绍了UAC触动的详细功能,并可以在UAC提示时来禁止这些程序的运行[align=left]能够触发UAC的操作包括:修改Windows Update配置;增加或删除用户帐户;改变用户的帐户类型;改变UAC设置;安装ActiveX;安装或卸载程序;安装设备驱动程序;修改和设置家长控制;
增加或修改注册表;将文件移动或复制到Program Files或是Windows目录;访问其他用户目录UAC很烦是的,微软自从Windows Vista 开始加入了UAC,这也成了人们对VISTA不满的诟病之一,因为Vista不像Win7一样可以对UAC进行级别设置(其实Windows7的
UAC也很烦),当时的电脑的普遍配置也很低,所以人们对这个动不动就弹出来,同时还会锁定屏幕的家伙很厌恶。
复制代码
4,UAC的四个级别
4.1,最低的级别(0级):
最低的级别则是关闭UAC功能(必须重新启动后才能生效)。在该级别下,如果是以管理员登录,则所有操作都将直接运行而不会有任何通知,包括病毒或木马对系统进行的修改。在此级别下,病毒或木马可以任意连接访问网络中的其他电脑、甚至与互联网上的电脑进行通信或数据传输。可见如果完全关闭UAC并以管理员身份登录,将严重降低系统安全性。此外,如果是以标准用户登录,那么安装、升级软件或对系统进行修改和设置,将直接
被拒绝而不弹出任何提示,用户只有获得管理员权限才能进行。可见完全关闭UAC并以标准用户登录,各种操作和设置也非常不方便,因此建议不要选择该级别。
4.2,比默认级别稍低的级别(1级):
与默认级别稍有不同的是该级别将不启用安全桌面,也就是说有可能产生绕过UAC更改系统设置的情况。不过一般情况下,如果使用户启动某些程序而需要对系统进行修改,可以直接运行,不会产生安全问题。但如果用户没有运行任何程序却弹出提示窗口,则有可能是恶意程序在试图修改系统设置,此时应果断选择阻止。该级别适用于有一定系统经验的用户。
4.3,默认级别(2级):
在默认级别下,只有在应用程序试图改变计算机设置时才会提示用户,而用户主动对Windows进行更改设置则不会提示。同时,在该模式下将启用安全桌面,以防绕过UAC更改系统设置。可以看出,默认级别可以既不干扰用户的正常操作,又可以有效防范恶意程序在用户不知情的情况下修改系统设置。一般的用户都可以采用该级别设置。
4.4,最高级别(3级):
在高级级别下,“始终通知”(即完全开启),在该级别下,用户安装应用程序、对软件进行升级、应用程序在任何情况下对操作系统进行更改、更改Windows设置等情况,都会弹出提示窗口(并启用安全桌面),请求用户确认。由此可见该级别是最安全的级别,但同时也是最“麻烦”的级别,适用于多人共用一台电脑的情况下,限制其他标准用户,禁止其随意更改系统设置。
5,如何关闭UAC
方法1:开始→控制面板→查看方式:大图标→操作中心→更改用户账户控制设置→把滑块移到最下面。
Windows_7用户控制策略调整和设置方法
Windows 7的用户账户控制(UAC)策略调整及设置方法 Windows 7的用户账户控制(UAC)策略调整及设置方法 大家在使用Vista的时候,很是厌烦VISTA每次弹出的UAC提示呢,那么在Windows 7上UAC功能又做了哪些调整呢,本文就跟大家一同了解Windows 7上UAC新策略及UAC的关闭及其他设置方法,详尽的WINDOWS 7中文版抓图会让你一目了然,如饮甘露。 用户账户控制(UAC)是VISTA引入的系统保护举措,这一举措就如同牛皮癣一样骚扰着每个VISTA用户,看来是盖茨深深意识到UAC的设计太过草率,有把用户当小白鼠的嫌疑。所以在WINDOWS 7上的UAC策略调整相当大。当然也可以认为是UAC在VISTA已经测试成果。 一、WINDOWS 7上UAC策略调整概要 在VISTA上,凡是涉及以下情况的,一律都会弹出UAC提示: 1、管理员身份运行程序 2、安装卸载任何程序,包括驱动程序及ACTIVEX控件 3、改变WINDOWS防火墙、UAC设置 4、配置WINDOWS更新、添加删除用户账户包括改变账户类型 5、家长控制、计划任务、查看或修改其他账户的文件或文件夹 6、磁盘碎片整理等等 在VISTA上均会弹出UAC提示,够是烦人的,而且在VISTA只有关闭和开启UAC可选项。到了WINDOWS 7,UAC策略做了大量调整,默认只对以管理员身份运行程序、安装程序、卸载程序(不全部)、驱动程序安装和卸载、ACTIVEX控件及UAC设置改变,才会弹出UAC提示。并且支持UAC的分级控制调整。Windows 7的UAC功能已经变得更为人性化一点。 实际上及时WINDOWS 7不提示,对于杀毒软件来说,都应该提示这些改变的。只是杀毒软件在右下角提示个小窗口,然后让用户选择操作,WINDOWS7直接全屏变灰,警示意味更为强烈一点而已。 二、WINDOWS 7 UAC控制图解及开启/关闭UAC方法 WINDOWS 7 UAC控制位置:控制面板——用户账户,里选择更改用户账户设置,如下图。 出现用户账户UAC控制设置窗口,如下图所示,UAC已经提供分级控制功能,总共有四个选项,分别是:始终通知、默认通知、程序修改通知和不通知。 另外,对于UAC的提示从外观上看有两种颜色区分:
程序自动启动不弹出用户账户控制提示
1.什么是用户控制? UAC(User Account Control,用户帐户控制)是微软为提高系统安全而在Windows中引入的新技术,它要求用户在执行可能会影响计算机运行的操作或执行更改影响其他用户的设置的操作之前,提供权限,可以帮助防止恶意软件和间谍软件在未经许可的情况下在计算机上进行安装或对计算机进行更改。 2.用户控制的好处? 用户控制是解决系统安全的终极之道,使用UAC,应用程序和任务总是在非管理员帐户的安全上下文中运行,但管理员专门给系统授予管理员级别的访问权限时除外。UAC 会阻止未经授权应用程序的自动安装,防止无意中对系统设置进行更改。 既然用户控制这么好,那么该怎么打开呢?方法是: 设置-控制面板-用户账户和家庭安全-用户账户-更改用户账户控制设置,将滑块拉 到最上面(如果关闭就将滑块拉到最下面)
3.用户控制的坏处? 用户控制是微软解决系统安全推出的一项重要设置,它的初衷是好的,这对于保护我们 的计算机安全和数据起着很重要的作用,但是,安全必定伴随着麻烦,通过打开用户控 制来阻止来历不明的程序自动运行,从而保护我们的系统安全,但是,却对于我们信任的软件程序,打开时却常常弹出用户控制的提示让我们确认,对于这个提示通常会伴有一声巨响,让心脏不好的友友常常痛苦万分,而对于心脏比较好的友友也经常莫名其妙地心颤一下。 4.可否有两全之策? 对于有的友友来说,宁愿牺牲安全也要打造一方清爽的世界,所以,索性把用户控制给关闭了,但是伴随着系统的安全性问题就成了一个潜在的隐患。同时,对于关闭用户控制来说,将会导致诸如应用商店或者metro界面的IE浏览器打不开,而有的友友却希望安全第一,但却被频繁的提示弄得死去活来,心脏病复发。 那么,如何在保证用户控制打开保证系统安全的情况下而又不出现对于信任程序的频繁提示呢?方法就是: 第①步:对于信任的程序,如果打开时出现用户控制的提示(不提示就不用设置了),请在快捷图标上右键单击属性,在兼容性选项里勾选以管理员身份运行此程序。
WIN7操作系统用户帐户控制功能
在家庭和公司环境中,使用标准用户帐户可以提高安全性并降低总体拥有成本。当用户使用标准用户权限(而不是管理权限)运行时,系统的安全配置(包括防病毒和防火墙配置)将得到保护。这样,用户将能拥有一个安全的区域,可以保护他们的帐户及系统的其余部分。对于企业部署,桌面 IT 经理设置的策略将无法被覆盖,而在共享家庭计算机上,不同的用户帐户将受到保护,避免其他帐户对其进行更改。 但是,很久以来,Windows 的用户一直都在使用管理权限运行。因此,软件通常都开发为使用管理帐户运行,并且(通常无意间)依赖于管理权限。为了让更多软件能够使用标准用户权限运行,并且帮助开发人员编写能够使用标准用户权限正常运行的应用程序,Windows Vista 引入了用户帐户控制 (UAC)。UAC 集成了一系列技术,其中包括文件系统和注册表虚拟化、受保护的系统管理员 (PA) 帐户、UAC 提升权限提示,以及支持这些目标的 Windows 完整性级别。我在我的会议演示文稿和 TechNet 杂志UAC 内部信息一文中详细讨论了这些内容。 Windows 7 沿用了 UAC 的目标,基础技术相对未做改变。但是,它引入了 UAC 的 PA 帐户可以运行的两种新模式,以及某些内置 Windows 组件的自动提升机制。在此文章中,我将论述推动 UAC 技术发展的因素、重新探讨 UAC 和安全性之间的关系、描述这两种新模式,并介绍自动提升的具体工作方式。请注意,此文章中的信息反映了 Windows 7 预发布版本的行为,该行为在许多方面与 beta 版有所不同。 UAC 技术 UAC 技术的最基本元素和直接效益在于它能使标准用户更方便地使用 Windows。演示示例展示了 Windows XP 和 Windows Vista 上有关设置时区的权限要求的不同之处。在Windows XP 上,更改时区需要管理权限,实际上,即使是使用时间/日期控制面板小程序查看时区也需要管理权限。 这是因为 Windows XP 未将更改时间(安全敏感的系统操作)与更改时区(只是影响时间的显示方式)区分开来。在 Windows Vista(和 Windows 7)中,更改时区不是一项管理操作,并且时间/日期控制面板小程序也将管理操作与标准用户操作进行了分隔。仅仅这一项更改就让许多企业能够为出差的用户配置标准用户帐户,因为用户将能够调整时区来反映他们的当前位置。Windows 7 进一步做出了改进,比如刷新系统的 IP 地址、使用 Windows Update 来安装可选的更新和驱动程序、更改显示 DPI,以及查看标准用户可访问的当前防火墙设置。 文件系统和注册表虚拟化在后台工作,可以帮助许多无意间使用管理权限的应用程序在没有管理权限的情况下也能正常运行。对于不必要地使用管理权限而言,最常见的情况是将应用程序设置或用户数据存储在注册表或文件系统中系统所使用的区域内。举例来说,某些旧版应用程序将其设置存储在注册表的系统范围部分 (HKEY_LOCAL_MACHINE/Software),而不是每用户部分 (HKEY_CURRENT_USER/Software),而注册表虚拟化会将尝试写入系统位置的操作转到 HKEY_CURRENT_USER (HKCU) 中的位置,同时保持应用程序兼容性。
windows不能打开用户账户控制面板
在公共网络被isql病毒远程攻击——电脑上启用SQL服务器和Guest用户的同学们注意!! 交待一下背景:最近在做毕业设计,笔记本上开启了Guest用户和SQLserver,这两个嫌疑最大。 本次被入侵的原因可能是以下之一: 1、 SQLserver的漏洞,被对方扫描到1433端口,而且是弱口令,于是通过SQL已有的注册表模块进行攻击(上网搜:isql 病毒)。 2、Guest用户没有加密码,也许被对方远程扫描到了,通过telnet登录了我的电脑(这个原因的可能性不大)。 被侵入的过程如下: 首先,360提醒我,有一个进程(其实这个是伪装的攻击)修改了注册表,增加了开机启动项。点击查看,启动项是一个cmd命令,进程是sqlsever。360默认允许了,于是我也没管。 然后不对劲了,360和杀毒软件Avast都开始报毒,说是有木马被植入,已经自动拦截——其实没有拦截住。(这是因为,此病毒一旦侵入,获取管理员权限,和杀毒软件的资格基本上平起平坐。而且刚才植入的木马进程,已经在后台开启了一个FTP连接,远程下载病毒到我的硬盘) 接着,Avast又报毒,说有一个backdoor后门程序被植入(如上文,刚下载的)。 打开任务管理器,发现后台运行着cmd.exe(命令控制台),ftp.exe(文件传输协议)。这两个进程是我没有默认开启的。 到这儿已经基本确定是被侵入了,立刻断网、关机。 ==========================分割线======================== ========== 重启之后,自动弹出一个cmd窗口,企图进行远程FTP连接(目的是下载病毒)——这儿挺幸运的,如果我的电脑是自动联网的,那么这个窗口会一闪而过,在后台运行,不易被察觉。 由于没有联网,所以这个病毒进程卡住了,说是FTP连接失败。 解决方法: 1、开机后按F8,进入安全模式,在C:\windows\system32目录里,找到isql文件夹,彻底删除。 2、重启,正常模式开机,打开控制面板,禁用Guest账户。 3、打开360,查杀木马,显示多了一个启动项,这个启动项的目的是通过打开cmd,在后台打开FTP传输——通过它来把病毒进一步下载到硬盘。 4、查看开机启动项,果然有一个shell(加壳的意思吧?),就是上面这句说的非法操作。于是果断把它删除。 5、开启windows防火墙。 6、把本机上SQL服务器的sa密码改掉。
UAC(用户帐户控制)详解及如何关闭
新手教教程:UAC(用户帐户控制)详解及如何关闭 此帖目地:让更多的新人们了解UAC(用户账户控制)并正确使用它。 适用范围:所有还不了解UAC(用户账户控制)的windows 7或Vista操作系统用户。完整内容: 1,什么时UAC 1.UAC(User Account Control,用户帐户控制)是微软为提高系统安全而在 Windows Vista中引入的新技术,它要求用户在执行可能会影响计算机运行的 操作或执行更改影响其他用户的设置的操作之前,提供权限或管理员密码。通 过在这些操作启动前对其进行验证,UAC 可以帮助防止恶意软件和间谍软件 在未经许可的情况下在计算机上进行安装或对计算机进行更改。 复制代码 2,什么情况下会出现UAC提示 2.1,程序需要您的许可才能继续
不属于Windows 的一部分的程序需要您的许可才能启动。它具有指明其名称和发行者的有效的数字签名,该数字签名可以帮助确保该程序正是其所声明的程序。确保该程序正是您要运行的程序。 2.2,一个未能识别的程序要访问您的计算机 未能识别的程序是指没有其发行者所提供用于确保该程序正是其所声明程序的有效数字签名的程序。这不一定表明有危险,因为许多旧的合法程序缺少签名。但是,应该特别注意并且仅当其获取自可信任的来源(例如原装CD 或发行者网站)时允许此程序运行。 2.3,此程序已被管理员阻止 这是管理员专门阻止在您的计算机上运行的程序。若要运行此程序,必须与管理员联系并且要求解除阻止此程序。建议您大多数情况下使用标准用户帐户登录计算机。可以浏览Internet,发送电子邮件,使用字处理器,所有这些都不需要管理员帐户。当您要执行管理任务(如安装新程序或更改会影响其他用户的设置)时,不必切换到管理员帐户。在执行该任务之前,Windows 会提示您进行许可或提供管理员密码。为了帮助保护计算机,可以为共享该计算机的所有用户创建标准用户帐户。当拥有标准帐户的人试图安装软件时,Windows 会要求输入管理员帐户的密码,以便在您不知情和未经您许可的情况下无法安装软件。
windows 2008用户帐户控制中的安全审计
Windows Server 2008 R2 和Windows 7 中的审核增强功能支持对负责实现、维护和监视组织的物理和信息资产的现行安全的IT 专业人士的需要。 这些设置可以帮助管理员回答诸如以下内容的问题: ?谁正在访问我们的资产? ?他们正在访问哪些资产? ?他们在何时何地访问这些资产? ?如何获得访问权限? 安全意识和取证跟踪的期望是这些问题之后的重要动力。越来越多的组织审核员要求并评估该信息的质量。 是否有其他特殊注意事项? 很多特殊注意事项适用于与Windows Server 2008 R2 和Windows 7 中与审核增强功能关联的各种任务: ?创建审核策略。若要创建高级 Windows 安全审核策略,必须在运行Windows Server 2008 R2 或Windows 7 的计算机上使用 GPMC 或本地安全策略管理单元。(安装远程服务器管理工具之后,可以在运行Windows 7 的计算机上使用 GPMC。) ?应用审核策略设置。如果使用组策略应用高级审核策略设置和全局对象访问设置,则客户端计算机必须运行Windows Server 2008 R2 或 Windows 7。此外,只有运行Windows Server 2008 R2 或 Windows 7 的计算机才能提供“访问原因”报告数据。 ?开发审核策略模型。若要计划高级安全审核设置和全局对象访问设置,必须使用以运行 Windows Server 2008 R2 的域控制器为目标的 GPMC。 ?分发审核策略。开发包含高级安全审核设置的组策略对象(GPO) 之后,可以使用运行任何 Windows 服务器操作系统的域控制器对其进行分发。但是,如果无法将运行Windows 7 的客户端计算机放在单独的 OU 中,则应该使用 Windows Management Instrument ation (WMI) 筛选以确保仅将高级策略设置应用于运行Windows 7 的客户端计算机。 备注
[转]深入了解Windows7的用户账户控制(UAC)
深入了解Windows7的用户账户控制(UAC) 在家庭和公司环境中,使用标准用户帐户可以提高安全性并降低总体拥有成本。当用户使用标准用户权限(而不是管理权限)运行时,系统的安全配置(包括防病毒和防火墙配置)将得到保护。这样,用户将能拥有一个安全的区域,可以保护他们的帐户及系统的其余部分。对于企业部署,桌面IT 经理设置的策略将无法被覆盖,而在共享家庭计算机上,不同的用户帐户将受到保护,避免其他帐户对其进行更改。 但是,很久以来,Windows 的用户一直都在使用管理权限运行。因此,软件通常都开发为使用管理帐户运行,并且(通常无意间)依赖于管理权限。为了让更多软件能够使用标准用户权限运行,并且帮助开发人员编写能够使用标准用户权限正常运行的应用程序,Windows Vista 引入了用户帐户控制(UAC)。UAC 集成了一系列技术,其中包括文件系统和注册表虚拟化、受保护的系统管理员(PA) 帐户、UAC 提升权限提示,以及支持这些目标的Windows 完整性级别。我在我的会议演示文稿和TechNet 杂志UAC 内部信息一文中详细讨论了这些内容。 Windows 7 沿用了UAC 的目标,基础技术相对未做改变。但是,它引入了UAC 的PA 帐户可以运行的两种新模式,以及某些内置Windows 组件的自动提升机制。在此文章中,我将论述推动UAC 技术发展的因素、重新探讨UAC 和安全性之间的关系、描述这两种新模式,并介绍自动提升的具体工作方式。请注意,此文章中的信息反映了Windows 7 预发布版本的行为,该行为在许多方面与beta 版有所不同。 UAC 技术 UAC 技术的最基本元素和直接效益在于它能使标准用户更方便地使用Windows。演示示例展示了Windows XP 和Windows Vista 上有关设置时区的权限要求的不同之处。在Windows XP 上,更改时区需要管理权限,实际上,即使是使用时间/日期控制面板小程序查看时区也需要管理权限。 这是因为Windows XP 未将更改时间(安全敏感的系统操作)与更改时区(只是影响时 间的显示方式)区分开来。在Windows Vista(和Windows 7)中,更改时区不是一项管理操作,并且时间/日期控制面板小程序也将管理操作与标准用户操作进行了分隔。仅仅这一项更改就让许多企业能够为出差的用户配置标准用户帐户,因为用户将能够调整时区来反映他们的当前位置。Windows 7 进一步做出了改进,比如刷新系统的IP 地址、使用Windows Update 来安装可选的更新和驱动程序、更改显示DPI,以及查看标准用户可访问的当前防火墙设置。
Windows7脱机映像预设置 关闭UAC(用户账户控制)
Windows7脱机映像预设置关闭UAC(用户账户控制) 总是有人问这个怎么配置,那个怎么配置,我实在不是万能的,也不是专业的,英语也很菜。如果你看不懂英文的那个手册怎么办?GOOGLE翻译啊,就是不准确,也能猜出个八九不离十。有时候,我不会每天都来打理博客,我有工作要做,有事情要忙,如果哪位有提问,没及时回复,请包涵。当然,如果你知道,给他人解答一下,大家都会感激的。祝大家愉快! 希望通过几个例子实践与交流:Windows7光盘制作配置脱机映像Windows功能和win7光盘制作大集合,能起到举一反三的作用,配置时多多参阅“Windows 自动安装工具包用户手册”(中文)和“无人参与 Windows 安装程序参考”(英文)的有关说明,这二个手册是WINDOWS AIK的自带说明文件,既然称之为手册,就是要经常翻看的意思,但不要指望一天就吃成胖子。“Windows 自动安装工具包用户手册”中的“Windows 安装程序技术参考”是讲WIN7安装的基本知识,这个要多看看。 -----------------------------------------------------------------------------------
Windows 7用户帐户控制简介
Windows 7用户帐户控制简介 UAC(User Account Control),中文翻译为用户帐户控制,是微软在Windows VISTA和Windows 7中引用的新技术,主要功能是进行一些会影响系统安全的操作时,会自动触发UAC,用户确认后才能执行。因为大部分的恶意软件、木马病毒、广告插件在进入计算机时都会有如:将文件复制到Windows或Program Files等目录、安装驱动、安装ActiveX等操作,而这些操作都会触发UAC,用户都可以在UAC 提示时来禁止这些程序的运行。 能够触发UAC的操作包括:修改Windows Update配置;增加或删除用户帐户;改变用户的帐户类型;改变UAC设置;安装ActiveX;安装或卸载程序;安装设备驱动程序;修改和设置家长控制;增加或修改注册表;将文件移动或复制到Program Files或是Windows目录;访问其他用户目录 微软自从Windows VISTA开始加入了UAC,这也成了人们对VISTA 不满的诟病之一,因为VSITA不像Windows 7一样可以对 UAC进行级别设置(其实Windows 7的UAC也很烦),当时的电脑的普遍配置也很低,所以人们对这个动不动就弹出来,同时还会锁定屏幕的家伙很厌恶。 就是因为UAC太烦了,所以微软在Windows 7中,加入了UAC的等级设置功能,分别对应4个级别: 最高级别。在高级级别下,“始终通知”(即完全开启),在该
级别下,用户安装应用程序、对软件进行升级、应用程序在任何情况下对操作系统进行更改、更改 Windows设置等情况,都会弹出提示窗口(并启用安全桌面),请求用户确认。由此可见该级别是最安全的级别,但同时也是最“麻烦”的级别,适用于多人共用一台电脑的情况下,限制其他标准用户,禁止其随意更改系统设置。 ●默认级别。在默认级别下,只有在应用程序试图改变计算机设 置时才会提示用户,而用户主动对Windows进行更改设置则不会提示。同时,在该模式下将启用安全桌面,以防绕过UAC 更改系统设置。可以看出,默认级别可以既不干扰用户的正常操作,又可以有效防范恶意程序在用户不知情的情况下修改系统设置。一般的用户都可以采用该级别设置。 ●比默认级别稍低的级别。与默认级别稍有不同的是该级别将不 启用安全桌面,也就是说有可能产生绕过UAC更改系统设置的情况。不过一般情况下,如果使用户启动某些程序而需要对系统进行修改,可以直接运行,不会产生安全问题。但如果用户没有运行任何程序却弹出提示窗口,则有可能是恶意程序在试图修改系统设置,此时应果断选择阻止。该级别适用于有一定系统经验的用户。 ●最低的级别。最低的级别则是关闭UAC功能(必须重新启动后 才能生效)。在该级别下,如果是以管理员登录,则所有操作都将直接运行而不会有任何通知,包括病毒或木马对系统进
AD域用户账户控制管理
AD域用户账户控制管理 首先要在计算机上安装域控制器,登陆域控计算机。 1、打开Active Directory用户和计算机。 (路径:开始–>管理工具–> Active Directory用户和计算机) 2、打开AD用户和计算机控制台后,首先选择被添加人的部门的组织单元(OU)。如果是开发人员择需要添加到Developer内,其他部门请添加到“市场部和人力部”,如不确定其部门可添加到“Egensource”内。 *每个OU对应着独立的组策略设置((GPMO),确认被添加人加入正确的部门OU内。
3、仔细填写用户信息用户登录名一般为员工姓名的汉语拼音。 4、为该员工设定初始密码,并告知员工该密码。 当员工有过登陆记录后,可将其密码设置成“用户下次登录时必须更改密码”,由员工自行设定密码。 密码复杂度要求:必须6位以上,包含数字和字母的组合。
可根据公司要求设定其他用户密码策略。 5、打开新建的员工信息。 在“常规”页面上,填写真实的员工信息,特别是邮件地址务必确认其正确无误。
6、再“单位”标签内,仔细填写员工的注册信息。包括职务、部门和公司。 再经理栏内,确认其上级领导。项目成员是项目经理,产品组成员为产品组经理,不确定的列为部门总监。 7、再“隶属于”标签,将用户归入正确的组内,首先该用户必须属于“公司全体”。 如该员工属于开发人员、技术人员则属于“软件研发部”,如该员工属于市场人员属于“市场部”,如该员工属于人力及行政人与那属于“人力资源部”
8、如需要更改某个员工的密码,则需要登录到域控制器上,查看该员工属性信息,选择“重置密码”即可。
用户账号管理
幻灯片1 linux帐户管理 第4讲 幻灯片2 用户和组管理 ●用户帐号管理 ●用户组帐号管理 ●文件权限设置 ●使用图形界面程序管理用户和组帐号 幻灯片3 认识用户和组 ●在Linux系统中,每个用户对应一个帐户 ●账户是用户的身份标识,通过账户用户可以登录到某个计算机上,并且访问已经被授权 访问的资源。 幻灯片4 linux用户帐号类型 ●Linux操作系统中的用户一般分为以下3类: ●root用户:根用户,系统管理员,系统中惟一拥有最高权限的用户,可以操作任何 文件并执行任何命令。此用户在安装linux操作系统时创建,其ID值为0,一般情 况下,只有在必须使用根用户登录系统时才使用,默认情况下此用户只能在本地登 录,但用户可以修改/etc/pam.d/login 文件允许root用户远程登录系统. ●普通用户:能够管理自身的文件并拥有root用户赋予的权限的用户,这些用户是 在系统安装完成后由系统管理员创建的,可以直接或远程登录系统。 ●虚拟用户:这类用户不登录系统的能力,但它们是系统运行中不可缺少的。如: bin、daemon、ftp、adm等。虚拟用户一般在系统安装时产生,当然,管理员也 可以添加此类用户。 幻灯片5 认识用户和组 ●与用户和组有关的几个概念
概念描述 用户名用来标识用户的名称,可以是字母、数字组成的字符串, 区分大小写。 用户标识(UID)用来表示用户的数字标识符 用户主目录用户的私人目录,也是用户登录系统后默认所在的目录登录shell 用户登录后默认使用的shell程序,默认为/bin/bash 组/组群具有相似属性的用户属于同一个组 组标识(GID)用来表示用户组的数字标识符 幻灯片6 管理用户账号 ●使用图形用户管理工具 ●使用命令行工具 幻灯片7 使用图形用户管理工具 ●主菜单->系统工具->用户和组群 ●redhat-config-users 幻灯片8 使用图形用户管理工具 ●新建用户 幻灯片9 使用命令行工具管理用户账号 命令功能 useradd 添加用户帐号 passwd 设置(更改)用户口令 userdel 删除用户帐号(及宿主目录)usermod 设置用户属性
严格管理用户账号 控制网络访问安全
为了控制网络访问安全,相信不少人平时都勤于挖掘、善于总结,摸索出了许许多多有效的网络安全控制经验,在这些经验体会的指导下,我们在控制网络访问安全方面的确取得了一定的成效。可是,对这些经验、体会进行仔细推敲后,我们不难发现其中有很多内容都必须通过外力工具才能完成,要是手头没有现成专业工具可以使用的情况下,我们又该如何有效控制网络访问安全呢?事实上,我们只要加强对客户端系统进行安全设置,同样也能够有效控制网络访问安全;这不,本文现在就以严格管理系统账号为操作蓝本,向大家贡献几则有效控制网络访问安全的技巧,希望大家能从中得到帮助! 取消组用户网络访问权 很多时候,网络管理员为了图管理方便,往往会对某一组用户集中授权,这样虽然提高了网络管理效率,但是这也给网络安全带来了潜在的威胁,因为一些木马程序会偷偷将自己创建的用户账号,加入到访问权限比较高的组用户中,那样一来木马程序就能轻易获得非法攻击权限。有鉴于此,我们需要在重要的主机系统或服务器系统中,取消组用户网络访问权,下面就是具体的操作步骤: 首先打开重要主机系统或服务器系统的“开始”菜单,点选其中的“运行”命令,在弹出的系统运行框中,执行“gpedit.msc”字符串命令,弹出组策略控制台界面; 其次展开该控制台界面中的“计算机配置”节点,再打开该节点下面的“Windows设置”目录,从中依次点选“安全设置”、“本地策略”、“用户权限分配”子目录,在目标子目录下面找到组策略选项“从网络访问此计算机”,同时用鼠标双击该选项,弹出如图1所示的选项设置对话框;
在这里,我们会发现各个普通用户以及组用户的身影,这些用户在默认状态下都具有一定的网络访问权限;为了控制网络访问安全性,我们必须将自己认为可疑的组用户选中,同时单击“删除”按钮,最后点击“确定”按钮保存好上述设置操作,如此一来隐藏在特定组用户中的木马程序就不能通过网络来随意访问本地系统了。 为新用户设置合适权限 如果有一些可信任的新用户需要通过网络访问本地服务器系统,那么我们需要在服务器系统中单独创建一个新用户,并为新用户设置适当的访问权限。要做到这一点,我们可以先打开服务器系统的控制面板窗口,双击其中的“管理工具”图标,再在管理工具列表中双击“计算机管理”图标,弹出计算机管理窗口;展开左侧区域的“本地用户和组”节点,从中选择“用户”选项,同时用鼠标右键单击“用户”选项,并点选右键菜单中的“新用户”命令,弹出如图2所示的创建对话框;在这里,必须设置好新用户的名称以及密码,特别是要将密码设置得稍微复杂一些,以防止这个用户账号被他人轻易暴力破解;当然,我们在这里不要轻易将新用户账号添加到其他组用户中。