DI-704P 如何突破MAC绑定多机共享    如何解决打印连接数限制问题

UPS也网管 台达UPS网络应用解决方案    【编辑本周推荐】宽带路由器DI-604+

TP-Link路由器防火墙功能应用实例    家与办公室的桥梁 如何实现远程桌面

    【IT168 专稿】熟悉WINDOWS操作系统的用户会发现从WINDOWS NT开始到2000/XP/2003有一个系统内置的来宾访问帐号——GUEST，该帐号访问权限很低，并且被操作系统默认禁用，但这个帐号究竟在操作系统中扮演着什么样的角色呢？今天我们就来探讨下GUEST帐号是去是留的问题。

    正方观点：GUEST帐号不可缺少

    理由很充分，既然比尔老兄在最新的操作系统2003中仍然保留了GUEST帐号，这就说明了它的不可或缺，微软公司是不会随便把一个没有用处的东西保留的。而从实际工作中我们也会发现当98访问2000系统或XP系统时如果不启用GUEST帐户就无法实现计算机之间的互相访问。

    为什么会如此呢？因为每个客户访问WINDOWS2000/XP/2003共享资源时需要一个合法帐号，给每个需要访问共享资源的用户都设置一个帐户是非常麻烦的，为了解决这个问题，就需要使用GUEST帐户了，用GUEST帐户默认的为每个访问2000/XP/2003系统的客户机分配临时权限。

   启用GUEST帐户：

    第一步：开始->设置->控制面板->管理工具->计算机管理,选择“本地用户和组”。

    第二步：“本地用户和组”中选择“用户”选项，会发现默认的GUEST帐户上面有一个红叉，这表明GUEST帐户被当前系统禁止使用。

    通过这三步我们就启用了GUEST帐户，这样当98访问2000时候就可以轻松实现了，不过98访问XP时有的计算机还会出现问题，这是因为组策略中用户访问策略的设置问题。感兴趣的读者可以通过http://publish.it168.com/2005/0304/20050304503701.shtml这个地址来获取具体配置步骤。

    反方观点：GUEST带来安全隐患

    要知道虽然WINDOWS操作系统中内置GUEST帐号，但默认情况下是禁止使用的，因为GUEST帐户是系统最薄弱的地方，就算是禁止使用了也常被作为后门帐户使用。当黑客获得了管理员的权限后，他需要一个安全可靠的后门帐户为下一次入侵提供方便，而增加一个新的帐户过于明显，所以最简单的方法就是将GUEST帐户启用，并将其权限设置为管理员权限。这样的修改普通人是不会察觉到的。

    有的读者可能会问，GUEST帐户是禁用的，如果发现它被启用了就说明被攻击了，很好检测的。如果你是这么认为的那就大错特错了，黑客可以通过克隆帐号的方法将GUEST复制与系统中administrator帐户一模一样，唯一的区别就是UID不同，而通过克隆后的GUEST帐户表面通过计算机管理里进行查看，其状态仍然为禁用，不过这时候黑客已经可以通过GUEST进行登录并获得管理员权限了。

    由此可见被禁用的GUEST帐户仍然对系统的整体安全构成了威胁，要想防范最简单的方法就是从系统中删除该帐号，下面我们就来为大家介绍如何删除GUEST帐号.

    如何删除GUEST帐户：

    第一步：开始->运行->输入regedt32启动注册表编辑器。（如果使用regedit打开注册表则不能编辑键值的权限）

    第二步：找到hkey_local_machine\sam\sam键值，默认情况下我们是看不到其下的任何内容，理由上面也介绍了，需要SYSTEM用户权限才可以。我们通过菜单上的“安全->权限”来进行突破。

    第三步：在SAM的权限配置窗口中将administrators设置为完全控制权限。

    第四步：经过设置权限后就可以对hkey_local_machine\sam\sam下的数值进行查看了，我们进一步删除GUEST帐户的相关键值

hkey_local_machine\sam\sam\domains\account\users\000001f5      hkey_local_machine\sam\sam\domains\account\users\names\guest。

    小提示：

    由于本方法是对注册表中的键值进行了删除操作，所以具有一定的危险性，在删除前请务必备份注册表。另外恢复Guest账户的方法也很简单，在删除前先导出注册表上面的两个键值，恢复时导入即可。

    全部删除后就完成了GUEST帐户的删除工作，黑客再也不敢轻易的通过GUEST伪装自己了。我们可以再次到计算机管理中的用户处进行查找，发现GUEST帐户已经不存在了。

    不启GUEST也能访问共享：

    很多读者都会问了，删除GUEST固然可以加强安全但这时候在共享资源方面就会非常不方便，毕竟98访问2000，XP都是通过启用GUEST帐户来实现的。其实我们可以在组策略中进行设置，这样98访问2000或XP就可以在GUEST禁用的情况下实现共享访问了。我们以XP系统为例。

    第一步：开始->运行->输入gpedit.msc启动组策略编辑器。

    第二步：找到本地计算机策略->计算机配置->WINDOWS设置->安全设置->安全选项。

    第三步：在安全选项中找到“网络访问：本地帐户的共享和安全模式”，双击进行设置。

    第四步：在弹出的本地帐户的共享和安全模式属性窗口中将网络访问方式从“仅来宾，本地用户以来宾身份验证”修改为“经典-本地用户以自己的身份验证”。

    设置之后我们就会发现98系统再登录XP时默认用户就不是GUEST了，这时候我们可以随便输入用户名和密码，只要该帐户在XP系统上有效即可，从而解决了资源共享必须使用GUEST帐户的难题。

    正方总结：

    既然系统对GUEST进行了保留且在实际工作中也经常遇到要启用GUEST帐户的情况，而且删除GUEST帐号对于系统稳定性还是有一定影响的。虽然可以通过设置简单的本地用户以自己的身份验证来解决98访问XP的问题，但这需要每个访问者都知道被访问的XP系统的帐号和密码，在实际应用中也会带来不便。因此我们可以断定GUEST帐户还是需要保留的，毕竟可以为实际工作起到很大帮助。

    反方总结：

    既然我们已经知道GUEST会带来安全隐患，为什么还不及时的弥补这个缺陷呢？到出了问题的时候再重视就来不及了，删除GUEST帐户的操作并不烦琐却大大提高了本地计算机的安全级别，而且以后恢复时只需要导入注册表即可。对于共享问题也可以通过组策略的本地用户以自己的身份验证设置来解决。可以说不管是从安全方面还是从实际共享资源访问方面都给出了很好的解决方案，有了这些解决方案我们有理由肯定GUEST已经可以彻彻底底的抛弃了。