Guest账户是什么样的存在?为什么要禁用Guest帐号?

Guest账户是什么样的存在?在Windows系统中一直都有一个流传甚久的帐号——Guest账户 , 该账户的权限不大 , 小到可以被限制不能打开任何软件 , 大到可以直接删除系统文件 。但本身就是鸡肋存在的Guest帐号为什么要禁用?

Guest账户是什么样的存在?为什么要禁用Guest帐号?

文章插图
Guest账户是什么样的存在?
Guest原意是“客人”、“旅客”、“访客”的意思 。在计算机中 , Guest是指让给客人访问电脑系统的帐户 。也可以称之为“来宾帐户” 。与“Administrator”和“User”有本质的不同 , 通常这个帐户没有修改系统设置和进行安装程序的权限 , 也没有创建修改任何文档的权限 , 只能是读取计算机系统信息和文件 。
如果专业人士在用户不知情的情况下对Gues账户提权 , 并超越Administrator权限 , 就可以在用户的计算机中为所欲为 , 所以在Windows系统中 , Gues账户被认为是不安全的权限账户 。
为什么要禁用Guest帐号?
1、权限设置带来的安全访问和故障
很多时候 , 管理员不得不为远程网络访问带来的危险因素而担忧 , 普通用户也经常因为新漏洞攻击或者IE浏览器安全漏洞下载的网页木马而疲于奔命 , 实际上合理使用NTFS格式分区和权限设置的组合 , 足以让我们抵御大部分病毒和黑客的入侵 。
首先 , 我们要尽量避免平时使用管理员账户登录系统 , 这样会让一些由IE带来的病毒木马因为得不到相关权限而感染失败 , 但是国内许多计算机用户并没有意识到 这一点 , 或者说没有接触到相关概念 , 因而大部分系统都是以管理员账户运行的 , 这就给病毒传播提供了一个很好的环境 。如果用户因为某些工作需要 , 必须以管理 员身份操作系统 , 那么请降低IE的运行权限 , 有试验证明 , IE运行的用户权限每降低一个级别 , 受漏洞感染的几率就相应下降一个级别 , 因为一些病毒在例如像 Users组这样的权限级别里是无法对系统环境做出修改的 。降低IE运行权限的方法很多 , 最简单的就是使用微软自家产品“Drop MyRights”对程序的运行权限做出调整 。
对管理员来说 , 设置服务器的访问权限才是他们关心的重点 , 这时候就必须搭配NTFS分区来设置IIS了 , 因为只有NTFS才具备文件访问权限的特性 。然后 就是安装IIS , 经过这一步系统会建立两个用于IIS进程的来宾组账户“IUSR_机器名”和“IWAM_机器名” , 但这样还不够 , 别忘记系统的特殊成员 “Everyone” , 这个成员的存在虽然是为了方便用户访问的 , 但是对于网络服务器最重要的“最小权限”思路(网络服务程序运行的权限越小 , 安全系数越 高)来说 , 它成了安全隐患 , “Everyone”使得整个服务器的文件可以随便被访问 , 一旦被入侵 , 黑客就有了提升权限的机会 , 因此需要把惹祸的 “Everyone”成员从敏感文件夹的访问权限去掉 , 要做到这一步 , 只需运行“cacls.exe 目录名 /R "everyone" /E”即可 。敏感文件夹包括整个系统盘、系统目录、用户主目录等 。这是专为服务器安全设置的 , 不推荐一般用户依葫芦画瓢 , 因为这样设定过“最小权限”后 , 可能会对日常使用的一些程序造成影响 。
虽然权限设定会给安全防范带来一定的好处 , 但是有时候 , 它也会闯祸的…… “文件共享”(Sharing)是被使用最多的网络远程文件访问功能 , 却也是最容易出问题的一部分 , 许多用户在使用一些优化工具后 , 发现文件共享功能突然 就失效了 , 或者无论如何都无法成功共享文件 , 这也是很多网络管理员要面对的棘手问题 , 如果你也不巧遇到了 , 那么可以尝试检查以下几种原因:

推荐阅读