當我們在討論系統安全性和便利性之間的權衡問題時，將天平過度向便利性傾斜有時會帶來災難性的后果。因此，犧牲掉一定的便利性，通過限制用戶賬戶權力來加強系統安全，應是值得注意并且不可回避的問題。

　對賬戶名的隱藏

    在本刊2005年第5期的“系統安全從賬號設置做起”一文中，作者曾經提出：通過“用戶賬號”中的“更改用戶登錄和注銷的方式”任務設置，取消“使用歡迎屏幕”選項來進行用戶登錄。不過這樣每次登錄的時候都要輸入用戶名和密碼，有時覺得比較麻煩。其實完全可以保留使用歡迎屏幕——只要隱藏某些用戶賬戶就行了（本文針對Windows 2000/XP系統）。具體可以通過修改注冊表實現：

     1． 在“開始”菜單的“運行”處運行“regedit”命令，進入注冊表編輯器；

      2． 打開HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList, 創建一個新的DWORD值，將這個值的名稱設為要隱藏的賬戶名，并將值設為0。

　　如此，你隱藏的賬戶（如管理員賬戶）就不會出現在歡迎屏幕上。而要登錄到歡迎屏幕上沒有的賬戶，可以按兩次Ctrl+Alt+Delete顯示出“登錄到Windows”對話框，輸入用戶名和密碼即可。不過，以這種方式隱藏的賬戶是不能使用快速用戶切換功能的，因為按兩次Ctrl+Alt+Delete的技巧只能在沒有其他人登錄進計算機時方能奏效。

　　作者在寢室就是把自己的管理員賬戶隱藏了起來，只在歡迎屏幕上留了個公用賬戶，同學要進系統只需輸入密碼即可。如此既方便了同學，又阻止了好事者對我管理員密碼的追問。

      通過自動登錄來強制進入特定賬戶

　　當然，還可以做得更絕，就是使用看起來似乎并不安全的自動登錄功能。如此一來，你就可以強制其他用戶進入一個特定賬戶，而不用激起他們猜測其它賬戶的密碼的好奇心。具體方法：

      1． 在“開始”菜單的“運行”處運行control userpasswords2命令，進入“用戶賬戶”，在“用戶”標簽一欄，取消“要使用本機，用戶必須輸入用戶名和密碼”復選框，并單擊“確定”（如圖1）；

      2． 其后，Windows會彈出一個提示框（如圖2），要求你輸入每次計算機啟動時自動登錄所使用的賬戶的用戶名和密碼。

    當然，還可在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon主鍵中進行其它的設置來進一步控制自動登錄過程：

      1． 其實，用戶在完成自動登錄后，完全可以注銷賬戶，然后重新返回到歡迎屏幕，再選擇其它賬戶登錄。如此，設置自動登錄就顯得意義不大了。為了避免這種情況的發生，可以在上面提到的主鍵中添加一個名為ForceAutoLogon的字符串值，并將這個值設為1。這樣，系統即便是在注銷之后也會自動登錄到指定的賬戶；

     2． 在默認情況下，在啟動時可以按住Shift鍵來阻止自動登錄。要消除Shift鍵對自動登錄的影響，可以添加一個名為IgnoreShiftOverride的字符串值，并將該值設為1；

      3． 還可限制自動登錄能夠進行的次數，使其達到這個次數后，自動關閉這個功能。如此需要添加一個名為AutoLogonCount的DWORD值，將其設為希望使用自動登錄的次數。這樣，計算機每次啟動并執行自動登錄時，AutoLogonCount的值就會減1。減到0時，Windows就會將AutoAdminLogon的值改為0（關閉自動登錄）并刪除AutoLogonCount值。

    強烈建議給自己留一道后門，如果你按照上述全部方法設置之后，就再也不能用其它賬戶進行登錄了。當然，你所指定的賬戶若至少是user級（那已經算是比較安全的級別了），那雖然不能修改注冊表，還至少能夠運行control userpasswords2命令，如此還有回旋的余地。

      限制對硬盤分區和文件夾的使用

    你若是覺得限制用戶賬戶權力還不夠，某些分區也不希望別人使用或是只給予他們讀取和運行的權力，那么可以對其安全屬性進行設置（前提條件是系統應為Windows XP Pro且你的分區必須是NTFS格式，這樣其屬性中才有“安全”標簽欄，若還是FAT格式，建議用PQMagic等軟件將其轉為NTFS格式，這樣對系統安全較有利）。具體步驟如下：

     1． 以管理員身份登錄系統后，在“我的電腦”中，右擊某個分區，選擇“屬性”—〉“安全”，在“安全”標簽欄中，可以添加或刪除該分區所隸屬的組或用戶，選定某個用戶后可以對其權限進行選擇設置（如圖3）；

     2． 若要添加用戶，就點擊“添加”，在“選擇用戶或組”窗口，點擊“高級”，進而點擊“立即查找”，在窗口下方的用戶組列表中選擇一個用戶，確定后返回“安全”標簽，此時可以在“組或用戶名稱”欄中看到添加的用戶；

     3． 選定一個用戶后點“刪除”即可將其刪去。這樣，你可以去掉其他用戶，使該分區僅隸屬于管理員用戶，當以其他用戶賬戶登錄系統時，便不能進入和使用該分區。

    若不想做得太絕，也為了自己以用戶身份登錄時的方便，可以僅保留管理員用戶和Everyone用戶：

　點選Everyone用戶，在下面的權限欄中僅點選“讀取和運行”項（同時自動選定“列出文件夾目錄”和“讀取”權限），如此其他用戶便不能在該分區中寫入新信息了。

    當然，也可讓分區中的某個文件夾不被其他用戶使用，操作同上（只是右擊對象換為文件夾）。不過，此處必須解決一個問題，即“父系繼承權”。在刪除文件夾所隸屬的某個用戶時會跳出一個安全提示框（如圖4），提示你不能刪除用戶。這是因為該文件夾所在的分區或文件夾，它們所隸屬的該用戶并未被刪除，所以不能執行刪除操作（但可執行添加操作）。這時應切斷子文件夾對父系文件夾權限的繼承，具體操作如下：

    在“屬性”的“安全”欄點擊“高級”按鈕，在“權限”標簽欄下取消“從父項繼承那些可以應用到子對象的權限項目，包括那些在此明確定義的項目”復選框（如圖5）。確定后會跳出一個安全提示框，選“復制”按鈕，完成操作。這樣就能夠執行刪除操作了。

    注意：以上所有操作，均要求用戶以管理員或是其組成員身份登錄系統。

    上面介紹的方法主要針對單個電腦的多用戶使用問題，如此配置完成后，應該能為你的電腦在開放的環境中保證一定的安全。