第二部分:账户
在安装过程中,要求录入管理员账户名称时,建议不使用 Administrator 名称。
对于管理员的账户名称,很多安全文章中都曾提到。有的还列出了一个常用的管理员名表,方便用户避免使用以增加入侵难度。还有的提出在建立账户并登录后,再修改账户名,以实现用户名与“C:\Documents and Settings”路径下的文件夹名称不同。我没想达到那么“安全”,所以也没试过,不知道实际如何。
如果未使用Administrator 账户,要将此账户禁用。
建立受限用户,新建账户,默认为USER组成员,权限比较低,在NTFS文件系统下,对“WINDOWS(WINNT)”、“Program Files”文件夹,只读权限,对“dllcache”文件夹无任何权限,对注册表部分分支只读权限。基本上能保证系统安全。
日常的操作应尽量使用受限用户。
有些软件需要管理员权限操作,例如QQ(需要读写C:\Program Files\Tencent\QQ)和一些数据库管理软件,可临时分配管理员权限。
也有文章提议建立新账户后,将新用户降为Guests组成员。理论上来说,那是最低的权限,但我没实验过,不知道会出现什么情况。