第1部分 Windows安全

1 安装和设置

很多人认为Windows的安全设置是在安装好系统之后才进行的，其实不然。要知道，从操作系统的安装开始，很多因素都有可能影响到系统和其他程序的安全性。例如，如果安装系统所用的安装文件被病毒感染或者被第三方恶意修改，那么这样安装的系统将存在先天不足的缺陷，虽然可能不至于导致系统无法使用，但安全隐患肯定是存在的。另外，如果安装的某个设备驱动有问题，不仅可能影响到系统安全性，甚至可能导致整个系统崩溃。

因此在安装操作系统之前，最好能花一些时间注意一下这些问题，而这也正是本章的主要内容。

1.1 安装前的准备工作

在本节中我们将了解到：如何通过选择合适的安装介质安装出一个更加安全的系统，以及如何将补丁和更新程序直接集成到Windows的安装文件中，这样装好的系统就直接带有各种更新程序，避免了装好系统才进行更新的麻烦。

1.1.1 安装介质的选择

对于大部分购买了零售版Windows，或者购买预装了正版Windows的品牌机用户来说，这部分内容可以跳过，因为正版Windows系统几乎不存在这类问题。但对于使用盗版或者“伪正版”的用户，这则是一个很重要的问题。

虽然提倡使用正版，但事实是，依然有很多人因为各种原因在使用盗版软件，其中就包括Windows。市面上各种盗版Windows产品的种类非常多，例如号称某企业或者某政府机构的专用免激活大客户版，或者以某论坛或网站名义制作的Ghost镜像等。很多人贪图方便，使用这些盗版，尤其是Ghost镜像，因为使用起来很便捷，只要几分钟就可以安装好操作系统和所有常用程序。

虽然传播这些软件的人大部分都只是为了方便大家，而不是为了私利，但在这背后却隐藏着巨大的危险，因为有少数人在借助这些东西非法盈利。例如，某个非常著名的Ghost镜像版本的Windows XP以前曾被暴出在镜像中隐藏了恶意软件的丑闻，发布该镜像的人通过捆绑恶意软件的方式获得恶意软件开发商的回报，使用了这种系统的人则可能面临系统中弹出广告、隐私或机密信息被泄露，甚至系统功能无法正常使用等各种危险。

其实这些问题还不是最严重的，有些Ghost镜像中甚至建立了隐藏的账户，并开放了某些网络端口，这样制作这些镜像文件的人将可以通过开放的端口，使用隐藏账户连接我们的系统，暗地里进行一些不好的操作。这才是对我们的系统和数据安全危害最大的！

因此在选择操作系统的安装介质时一定要小心谨慎，尽量不要因为贪图便宜或方便而导致更麻烦的后果。

1.1.2 将补丁和更新集成到安装文件中

关于什么是补丁，补丁都有哪些类型，为什么要安装补丁，又要怎样才能获得和安装补丁，我们会在本书第4章“补丁和更新”中进行详细介绍。这里只介绍一下怎样将补丁集成到Windows的安装文件中，这样安装好的系统就已经包括了集成的补丁，避免了装好系统后花大量时间进行更新的麻烦。

下面分别介绍在Windows XP和Windows Vista下的操作。

1.1.2.1 将Service Pack集成进Windows XP

在Windows XP中，因为修补方式的限制，将Service Pack补丁集成到Windows安装文件中的操作比较简单，而要想将一般的Hotfix补丁集成到安装文件中，则需要编写脚本或者应答文件，需要的操作比较复杂。因此本文只打算介绍怎样将Service Pack补丁集成到Windows XP中。在写本书的时候，Windows XP最新的Service Pack是Service Pack 2，下文统一简称为SP2。

要想将SP2集成到Windows XP的安装文件中，我们需要准备下列工具和材料：

➢ 刻录机和CD刻录盘。

➢ 原始版本的Windows XP安装光盘。

➢ Windows XP SP2完整安装文件，该文件可以在这个地址免费下载：http://www.

microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=049C9DBE-3B8 E-4F30-8245-9E368D3CDB5A。

➢ nLite，这是一个免费软件，可以在这里下载到：http://www.nliteos.com/download.html。准备好上述材料后就可以开始了，完整的操作过程如下所示。

Step 01 为了使用nLite，系统中必须装有2.0版本的.Net Framework，如果还没有安装，请在这个地址下载并安装：http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=0856eacb-4362-4b0d-8edd-aab15c5e04f5。

Step 02 安装并运行nLite。在程序的第一个页面上从“Language”下拉菜单中选择“Simplified Chinese”即可将程序切换为简体中文界面，单击“前进”按钮继续。

Step 03 将原始版本Windows XP安装光盘中的文件复制到硬盘上，例如复制到c:\xp文件夹中（请记住这个文件夹的具体位置，因为我们在下文中会需要多次操作该文件夹。如果将安装文件复制到其他位置，请在下面的操作中替换相应的目录位置）。

Step 04 随后可以看到如图1-1所示的界面。在这里单击“浏览”按钮，并在随后出现的对话框中选择“c:\xp”文件夹。接下来在nLite的页面上可以看到当前安装文件的版本信息。

图1-1 选择Windows XP的安装文件

Step 05 连续单击“前进”按钮两次，可以看到如图1-2所示的界面。在这里单击“整合Service Pack”和“可引导ISO镜像”按钮将其启用，启用后的功能对应的按钮上的圆点图标会变为绿色。

图1-2 选择要进行的操作

Step 06 再次单击“前进”按钮后可以看到如图1-3所示的界面。在这里单击“选择”按钮，选择按照上文地址下载好的完整版Windows XP SP2安装文件。稍等片刻便会完成整合过程。

图1-3 将Service Pack整合到Windows的安装文件中

Step 07 再次单击“前进”按钮后可以看到如图1-4所示的界面。在“模式”下拉菜单中选择“直接刻录”，并从“存储介质”下拉菜单中选择刻录机，将CD刻录盘放入这个刻录机中，单击“刻录”按钮，即可开始刻录。

图1-4 设置刻录选项并进行刻录

经过上述操作，我们就有了一张包含SP2，可以引导计算机的Windows XP安装光盘。日后如果需要安装系统，直接使用这张光盘安装即可，这样装好的Windows XP系统将直接包含SP2。

1.1.2.2 将更新和补丁集成进Windows Vista

在Windows Vista中，因为修补方式的改进，用很简单的操作就可以将所有更新程序集成到安装文件里。因为在写这本书的时候，Windows Vista还没有发布任何Service Pack，因此在这里只能以Hotfix补丁为例来介绍。预计Windows Vista的SP1会在2008年初发布，到时我们可以使用类似的方法将Service Pack集成到安装文件中。

要将更新程序和补丁集成进Windows Vista的安装文件，需要准备下列工具和材料：

➢ DVD刻录机和DVD刻录盘。

➢ 原始版本的Windows Vista安装光盘。

➢ Windows Vista的更新程序和补丁，这些文件可以在 http://www.microsoft.com/downloads网站下载。

➢ Windows自动安装工具包（WAIK），该工具可以在 http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=c7d4bc6d-15f3-4284-9123-679830d629f2下载。

准备好这些材料和工具后，我们还需要安装WAIK。使用虚拟光驱工具加载下载回来的.img文件，然后安装WAIK工具到计算机中，接着按照下列步骤操作。

Step 01 在本地硬盘上新建一个文件夹（例如h:/vistaupdates），将下载回来的，名称类似“windows6.0-KB******.msu”的文件都保存在这里。文件名中的“******”代表补丁文件对应的微软知识库文章编号，以及适用的平台类型（32位或者64位）。

Step 02 将Windows Vista安装光盘放入光驱，然后在本地硬盘上新建另外一个文件夹（例如h:/vista），并将安装光盘中的所有文件复制到该文件夹中。

Step 03 为了简化Windows Vista的部署，一般情况下，在零售版Windows Vista安装光盘中，一张光盘往往会包含多个版本的安装文件，而安装程序会根据我们输入的序列号判断具体要安装哪个版本的Windows Vista。因此，在继续下面的操作之前，请首先确定自己拥有的序列号对应了哪个版本的Windows Vista，然后再进行下面的操作。

Step 04 在“开始”菜单的“所有程序”子菜单下指向“Microsoft Windows AIK”目录，单击“Windows PE工具命令”提示，在随后出现的命令行窗口中运行下列命令：

Imagex /info h:\sources\install.win

命令说明：“imagex”是一个用于创建、应用和查看Windows Vista安装映像文件（WIM）的工具，“/info”参数可以查看指定的.wim文件的信息，而“h:\sources\install.wim”则是要查看的映像文件的保存位置，这里可以根据实际位置进行调整。

运行该命令后，可以看到类似下列内容（为了节约篇幅，下面只列举了运行命令后输出的部分关键内容）：

GUID:       {a4c5c101-eb8e-4c4e-ae15-4343bc255e20}
Image Count: 5
Compression: LZX
Part Number: 1/1
Attributes:  0xc
            Integrity info
            Relative path junction
Available Image Choices:
------------------------
<WIM>
  <TOTALBYTES>2323919438</TOTALBYTES>
  <IMAGE INDEX="1">
    <NAME>Windows Vista BUSINESS</NAME>
    <DESCRIPTION>Windows Vista Business</DESCRIPTION>
    <FLAGS>BUSINESS</FLAGS>
  </IMAGE>
  <IMAGE INDEX="2">
    <NAME>Windows Vista HOMEBASIC</NAME>
    <DESCRIPTION>Windows Vista HomeBasic</DESCRIPTION>
    <FLAGS>HOMEBASIC</FLAGS>
  </IMAGE>
  <IMAGE INDEX="3">
    <NAME>Windows Vista HOMEPREMIUM</NAME>
    <DESCRIPTION>Windows Vista HomePremium</DESCRIPTION>
    <FLAGS>HOMEPREMIUM</FLAGS>
  </IMAGE>
  <IMAGE INDEX="4">
    <NAME>Windows Vista ULTIMATE</NAME>
    <DESCRIPTION>Windows Vista Ultimate</DESCRIPTION>
    <FLAGS>ULTIMATE</FLAGS>
  </IMAGE>
  <IMAGE INDEX="5">
    <NAME>Windows Vista STARTER</NAME>
    <DESCRIPTION>Windows Vista Starter</DESCRIPTION>
    <FLAGS>STARTER</FLAGS>
  </IMAGE>
</WIM>

在WIM映像文件中，可以保存多个版本系统的镜像，例如本例查看的就是Windows Vista零售版安装光盘中的install.wim文件的信息，其中“Image Count”指出该映像文件中包含的操作系统镜像的个数（本例中包含5个），“<IMAGE INDEX="*">”通过数字指出了每个镜像文件的编号，而“<DESCRIPTION>*****</DESCRIPTION>”则通过文字显示了对于该镜像的描述，也就是版本。假设我们需要安装的是Windows Vista旗舰版（Ultimate），按照上面的例子，就应该处理其中第4个镜像。

Step 05 为了给特定镜像中添加补丁程序的文件，我们需要使用命令将该镜像映射为一个文件夹，这时候可以使用下列命令：

Imagex /mountrw h:\vista\sources\install.wim 4 h:\mount

命令说明：“/mountrw”参数可以将指定的映像文件中的镜像映射为NTFS文件系统分区上的可读写文件夹，“4”用于指定要映射的镜像在wim映像中的编号，“h:\mount”是要映射到的目标文件夹，需要提前创建好。

另外，如果是在Windows Vista系统下执行该操作，因为用户账户控制功能的影响，为了使用该功能，必须以管理员身份运行Windows PE工具命令提示（有关用户账户控制功能和使用管理员身份运行程序的方法，请参考本书第2.2节“用户账户控制（UAC）”。同时，为了使下面的操作都能成功完成，在启动相应的程序时，建议全部使用管理员身份启动。如果操作正确，那么随后将可以在h:\mount目录下看到Windows Vista旗舰版的所有安装文件。

Step 06 接着需要将下载回来的.msu后缀的更新和补丁程序解压缩出来。首先在h:\vistaupdates文件夹下创建一个名为“temp”的临时文件夹，然后按顺序运行下列两条命令：

Pushd h:\vistaupdates

命令说明：这个命令可以将“h:\vistaupdates”目录设置为当前目录。

命令说明：这则命令是在Windows Vista下使用的，可以将利用pushd命令设置的当前目录下的所有文件使用expand.exe程序解压缩。但如果是在Windows XP下进行这些操作，因为Windows XP不包含expand命令，因此需要使用下列命令：FOR %i IN(*)DO (START "Expand" /WAIT "%Programfiles%\Windows AIK\Tools\Servicing"\Expand.exe %i -f:*h:\vistaupdates\Temp)，同时如果WAIK没有安装到默认位置，需要将expand.exe程序的路径根据实际情况进行修改。

该命令运行完成后，在h:\vistaupdates\temp下会看到很多扩展名为.cab、.xml和.txt的文件。

Step 07 从“开始”菜单中打开“Windows系统映像管理器”程序，在该程序窗口的“工具”菜单下单击“创建分发共享”命令。在随后出现的“创建分发共享”对话框中进入到H盘根目录，新建一个叫做“分发共享”的文件夹，然后将该文件夹选中，并单击“打开”按钮。

Step 08 在“文件”菜单下单击“新建应答文件”命令，并在随后出现的对话框上单击“否”按钮。

Step 09 在“工具”菜单下单击“导入数据包”命令，然后在“选择要导入的数据包”对话框中进入h:\vistaupdates\temp目录，将之前解压缩出来的.cab文件全部导入（但不要导入WSUSSCAN.cab）。

Step 10 随后，在Windows系统映像管理器窗口左上角的“分发共享”窗格中分别展开“Packages”节点下的“Hotfix”、“SecurityUpdate”和“Update”这三个子节点，可以看到，我们导入的数据包已经全部出现在了这里，如图1-5所示。

图1-5 已经导入的补丁包

Step 11 为了让这些导入的数据包（也就是补丁和更新程序）可以在安装系统的过程中自动被安装，我们还需要将其添加到应答文件中。在每个数据包上单击鼠标右键，然后选择“添加到应答文件”命令。随着操作，“应答文件”窗格中的内容会变成图1-6所示的样子。其中，“分发共享”和“应答文件”窗格中的补丁和更新程序是一一对应的，而在“应答文件”窗格中单击选中每个补丁后，在右侧的“属性”窗格中还可以看到有关该项目的详细信息。

图1-6 将补丁包添加到应答文件后的情况

Step 12 将所有更新和补丁对应的信息都添加到应答文件后，在“文件”菜单下单击“将应答文件另存为”命令，然后将该文件以“Integrate.xml”为名保存在h:\vistaupdates\temp目录下。

Step 13 在H盘根目录下新建两个名为“sandbox”和“logs”的目录，接着再次打开Windows PE工具命令提示窗口，然后输入下列命令（整个是一条命令，有些长）：

命令说明：这个命令可以将之前使用Expand命令解压缩的.cab文件提取出来，并整合到我们使用/mountrw参数映射的可读写目录“mount”中。

该命令的运行需要一段时间（如果要集成的更新和补丁非常多，那么所需的时间会更长），如果命令成功运行，并且没有出现错误，那么当命令执行完毕后，命令行窗口中会自动显示system32目录的提示符。如果显示其他信息，那么请打开h:\logs\updates.log文件，查看其中记录的信息，并针对具体信息解决问题。

Step 14 接下来需要将对mount文件夹下文件的更改保存到install.wim文件中，请运行下列命令：

imagex /unmount /commit h:\Mount

命令说明：“/unmount”参数可以卸载已经映射为文件夹的.wim文件，“/commit”参数可以将对文件的改动保存到.wim文件中。这个过程需要花一些时间。

Step 15 接下来我们还需要重建.wim文件的编录。在Windows系统映像管理器程序的“文件”菜单下单击“选择Windows映像”命令，并选择h:\vista\sources\install.wim文件，随后会出现“选择映像”窗口，在这个窗口中单击选中我们之前处理的镜像对应的Windows Vista版本（例如，本例使用的是旗舰版，则需要选择Windows Vista ULTIMATE），然后单击“确定”按钮。

Step 16 接着可以看到图1-7所示的对话框，要求我们创建编录文件，单击“是”按钮。这个过程需要一段时间。

图1-7 决定是否重建编录文件

至此，对安装文件的处理工作已经完成了，但还需要最后一步，就是用集成了更新和补丁程序的安装文件刻录一张Windows Vista系统安装盘，同时这张光盘还需要可以引导计算机并进行安装。在这里我们需要一个叫做UltraISO的共享软件，该软件可以在这里下载到试用版：http://cn.ezbsystems.com/。需要注意一个问题：试用版的UltraISO无法处理体积超过300MB的文件，而我们要处理的Windows Vista安装文件体积远远超过了这一限制。

具体的操作方法如下所示：

Step 01 将Windows Vista安装光盘放入光驱，启动UltraISO，在“启动光盘”菜单下单击“从CD/DVD提取引导文件”命令，打开“提取引导文件”对话框（如图1-8所示）。

图1-8 从DVD光盘提取引导文件

Step 02 从图1-8所示对话框的“CD-ROM驱动器”下拉菜单中选择放置了Windows Vista安装光盘的DVD光驱的盘符，并指定引导文件的保存位置，然后单击“制作”按钮，通过原版的Windows Vista安装光盘生成一个引导文件，并保存在“输出映像文件名”一栏中指定的位置下。

Step 03 随后在UltraISO软件的主窗口下方的“本地目录”列表中定位到“H:\vista”目录，然后从右侧的“文件名”列表中选中所有文件和文件夹，用鼠标拖动到上方的“文件名”列表中，如图1-9所示。

图1-9 给ISO镜像中添加文件

Step 04 再次打开“启动光盘”菜单，单击“加载引导文件”命令，在随后出现的加载引导文件对话框中选中之前提取的引导文件，单击“打开”按钮。

Step 05 这时，图1-9中工具栏上“光盘目录”选项下显示的内容将变成“可引导光盘”字样，这表示引导文件已经成功加载。

Step 06 如果需要，请在图1-9中的光盘名称“20070628_151944”上单击鼠标右键（注意默认名称是制作时间以及随机数字，因此在操作时遇到的实际名称可能和图中不同），选择“重命名”，输入一个能代表一定含义的名称。这一步是可选的。

Step 07 在“文件”菜单下单击“另存为”命令，将创建好的文件以.iso为扩展名保存到硬盘上。

Step 08 将空白DVD刻录盘（如果不知道自己创建的光盘是否可以正常安装，那么可以使用可复写的DVD±RW光盘进行测试）放入DVD刻录机，在UltraISO的“工具”菜单下单击“刻录光盘映像”命令，在随后出现的刻录光盘映像窗口中的“刻录机”下拉菜单中选择要使用的DVD刻录机，然后指定写入速度、写入方式（必须选择“光盘一次写入”）以及映像文件的保存位置，然后单击“刻录”按钮，即可开始刻录。

经过上面的操作，我们已经了解怎样将更新和补丁程序集成到Windows的安装文件中。但有人可能会纳闷，干吗非要这样做？装好系统再进行更新难道不行吗？

如果因为一些原因，例如测试软硬件，需要经常重装操作系统，每次重装完系统之后才安装各种补丁程序，这样很浪费时间。如果需要给多台计算机安装系统，那等装好后才挨个升级，不仅浪费时间，还造成了网络带宽的浪费。因此如果我们需要面对这些问题，花些时间将补丁和更新集成到Windows的安装文件中还是很有必要的。

1.2 安装过程中的注意事项

就算使用集成了最新更新和补丁程序的Windows安装程序安装系统，这也不意味着装好的系统就是安全的，因为在安装过程中，我们还需要注意两个问题：Administrator账户以及网络上的威胁。

1.2.1 Administrator账户的问题

Windows XP和Windows Vista都是基于Windows NT系统发展起来的，而在所有NT系统中，在管理员账户方面都有一个最显著的特征：所有NT系统都自带一个名为Administrator，对整个系统拥有最高权限的管理员账户。因此一旦该账户出现问题，例如没有设置密码，或者设置的密码强度不够，就容易导致他人乘虚而入，破坏我们的系统安全。

窍门 为什么不禁用Administrator账户

在安装过程中，这个问题主要体现在对该账户的密码设置方面，下面我们会分别针对Windows XP和Windows Vista中的情况进行讨论。同时，下面我们还会讨论除了系统自带的Administrator账户外，其他在安装系统过程中创建的账户。

1.2.1.1 Windows XP中的Administrator账户

在Windows XP专业版中，系统自带的Administrator账户是被默认启用的。虽然该账户并不在欢迎屏幕上显示，不过不显示不代表不存在。我们只需要在没有用户登录到Windows XP的时候在欢迎屏幕上按下“Ctrl-Alt-Del”组合键两次，就可以打开传统登录对话框，在这个对话框中输入Administrator账户的名称和密码，即可以用该账户登录。

虽然默认情况下Administrator账户并不显示在Windows XP的欢迎屏幕上，不过在满足以下条件的时候，该账户会在欢迎屏幕上显示：

➢ 不存在其他管理员账户

➢ 系统被启动到安全模式下

➢ 在启用快速用户切换功能的情况下使用Administrator账户登录了系统

同时，通过设置，我们还可以让Administrator账户在不满足上述条件的情况下显示在欢迎屏幕上。方法是这样的：运行Regedit打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVerison\Winlogon\SpecialAccounts\UserList，新建一个名为“Administrator”的DWORD值，将其数值设置为“1”，这样Administrator账户默认就会显示在欢迎屏幕上，而设置为“0”可以将其隐藏。同时这个技巧也适合其他任何账户，只要在同样的位置创建以该账户的账户名为名的DWORD值，并设置相应的数值即可在欢迎屏幕上显示或隐藏另外，通过这种方法，我们也可以将其他任何一个账户在欢迎屏幕上显示或者隐藏。

在Windows XP专业版中，我们可以在安装操作系统的过程中为Administrator账户设置密码。在看到如图1-10所示的界面时，在“请键入系统管理员密码”选项下设置即可。

图1-10 在安装过程中给Windows XP专业版的Administrator账户设置密码

在设置密码的时候还需要注意，请尽量将密码设置得安全些，以避免他人通过猜测或者暴力破解的方式入侵系统。关于如何设置安全的密码，请参考本书第1.3.1.3节“设置安全的密码”中的相关内容。

对于Windows XP家庭版，情况有所不同。在该系统中，默认情况下Administrator账户的密码是空的，那么这会不会导致安全漏洞呢？其实不然。在Windows XP家庭版中，虽然默认情况下Administrator账户没有密码，不过该账户被禁止进行本地登录或者网络登录，因此这并不会导致安全隐患。相反，Windows XP家庭版中的Administrator账户只是为了方便使用安全模式或者故障恢复控制台等功能而设置的，并且这些操作都必须要求用户坐在计算机前操作，甚至使用Windows XP安装光盘引导系统才能使用，因此并不会影响系统在正常情况下的安全性。

注意 物理安全很重要。

很多人在系统安全方面存在一个误区，那就是：技术是万能的，靠技术可以解决一切问题。然而在安全领域（以及其他大部分领域）却并非如此。例如，网上曾经盛传过一个所谓的Windows XP的漏洞，具体内容是这样的：“我们都知道，要想在Windows XP中进入故障恢复控制台，必须使用Windows XP的安装光盘引导计算机，选择修复，同时如果要修复的是Windows XP专业版，我们还必须使用正确的Administrator账户的密码登录才可以使用。然而如果使用Windows 2000安装光盘引导安装了Windows XP的计算机，并选择修复，进入故障恢复控制台，无论是Windows XP专业版还是家庭版，完全不需要登录，就可以直接进入。”很多人认为这是一个很大的安全漏洞，但微软却一直没有修复这个问题。

在讨论这个问题之前，我们必须明白一个问题：到底什么才是安全的系统？要让自己的系统安全，是否单凭操作系统本身的功能就可以实现？其实上面就是一个很好的例子，虽然这样的“缺陷”可能导致系统不够安全，但严格说来，这种缺陷远非很多人想象的严重。因为如果怀有恶意的人可以使用光盘将我们的计算机引导到故障恢复控制台环境下，这也就意味着对方已经可以在物理上接触到这台计算机，而这种情况下我们还能奢望操作系统的安全功能起什么作用呢？

举一个更形象的例子吧，如果我是一个黑客，想要攻击某个大型网站的服务器，让服务器的服务中断。那我为什么非要费劲寻找成千上万的肉鸡对网站服务器发起拒绝服务（DDOS）攻击？或者，我为什么要辛苦寻找网站服务器的漏洞？直接把服务器的电源拔掉不就实现目的了吗？不管服务器运行多安全的操作系统，电都断了，还能提供什么服务。然而真有那么简单吗？重要的服务器一般都放置在保安措施很严密的机房中，同时有很多机制保证服务器在遇到各种突发问题的时候都能继续提供服务，哪有那么容易让人拔电源的。

因此在这里也要提醒大家，在按照本书的介绍加固操作系统安全的同时，计算机的物理安全问题依然不能忽视。大部分时候，技术都不是万能的。

1.2.1.2 Windows Vista中的Administrator账户

在Windows Vista中，Administrator账户的问题就简单多了。在所有版本的Windows Vista中，默认情况下Administrator账户都是被禁用的，而且在安装过程中不需要我们为该账户设置密码。同时，默认的设置下，就算在安全模式中也不能使用Administrator账户登录。

另外，有很重要的一点需要注意，虽然将Administrator账户启用后，我们可以在正常模式或者安全模式下使用该账户登录系统，但默认情况下该账户完全不受用户账户控制功能的限制，有可能带来一定的安全隐患。因此建议平时使用标准账户，或者非Administrator的管理员账户。关于用户账户控制的相关内容请参考本书第2.2节用户账户控制（UAC）的相关内容。

1.2.2 来自网络的威胁

在安装过程中，关于网络，只有一个问题需要注意，那就是将系统接入网络的时间。

我们都知道，系统的安装是分布进行的，一般情况下，在系统还没有完全安装好的时候，只要网络组件已经安装好，那么系统就可能已经被接入网络。那么在安装过程中，如果系统已经连通了网络，但其他安全组件尚未启动，就有可能导致隐患。

例如前两年冲击波病毒肆虐网络的时候笔者曾亲身经历过的一件事：当时笔者在给朋友的电脑安装系统，安装的是没有集成任何Service Pack的Windows XP专业版，安装系统之前忘记了将网线拔掉，而他使用了不需要拨号即可联网的小区宽带。结果在安装系统的过程中，当网络组件被安装好，安装程序还在继续后面的安装时，网络中其他中了冲击波病毒的计算机就对这台计算机发起了攻击，这直接导致系统还没有装完就因为被攻击而自动重启。

在对待这个问题上，操作系统本身的一些功能可以有效避免。例如在Windows Vista中，Windows防火墙是被默认启用的，同时，在操作系统的启动过程中，一旦网络组件被成功启动，Windows防火墙的一部分就会开始生效，限制系统只能进行必要的网络活动，例如联系DHCP服务器获取新的IP地址配置。而只有在系统完全启动好，Windows防火墙组件也全部被成功加载后，系统才可以完整使用所有网络功能。

虽然系统自身的一些改进已经让这个问题不再那么突出了，不过为了保险起见，在安装系统的过程中，最好能将网络断开，甚至把网线拔掉。待系统安装好，并配置好防火墙和反病毒软件之后，再将系统连接到网络。

1.3 初次使用中的设置

系统安装好之后第一次启动的时候，首先我们会看到一个向导，该向导可以帮助我们设置一些关键的选项。例如在Windows XP中，我们可以创建账户、设置网络、激活和注册Windows。在Windows Vista中，我们可以创建账户、自定义当前账户的桌面环境、设置时区和网络类别，以及安全保护方式等。

下面分别针对Windows XP和Windows Vista的向导进行介绍。需要注意的是，下文是以零售版为例进行介绍的，如果是购买品牌机预装的OEM版Windows，那么整个过程可能会有所不同，因为品牌机厂商可能会在这个过程中增添一些自定义的选项和内容。同时，对于Windows XP，因为将SP2集成到安装文件中之后会给向导中增添一些选项，因此下面会以集成了SP2的Windows XP为例进行介绍。

在Windows XP SP2下，安装好系统第一次启动的时候，在向导中提供的设置，涉及安全性的选项按顺序包括：

Step 01 选中“现在通过启用自动更新帮助保护我的电脑”选项，如图1-11所示。这样将自动启用Windows Update功能，保护我们的计算机软件的状态为最新。有关Windows Update的详细信息，请参考本书第4章补丁和更新的相关内容。

图1-11 决定是否启用自动更新

Step 02 为每个要使用该计算机的用户创建账户，直接输入希望使用的用户名，如图1-12所示。

图1-12 为每个要使用这台计算机的人创建账户

注意 在这里创建的账户都属于管理员账户，对系统拥有所有权限，但这里并不提供为这些账户创建密码的选项。因此最安全的做法是在创建好账户后，让每个用户都登录一次，并为自己的账户设置密码，详细方法请参考本书第1.3.1节“新建账户并创建密码”的内容。或者也可以由一位管理员账户统一为其他用户设置密码，详细方法请参考本书第1.3.3.1节“重设其他账户的密码”的相关内容。

在Windows Vista下，安装好系统第一次启动的时候，在向导中提供的设置，涉及安全性的选项按顺序包括：

Step 01 首先看到的就是为自己创建账户的选项，如图1-13所示。在这里，我们会自动为自己创建一个管理员账户，因此，一定要记得给这个账户设置一个强密码。

图1-13 在这里可以为自己的账户创建密码和密码提示

这里需要注意，密码是可选的，如果觉得没必要，那么也可以不输入密码。但因为这里创建的是管理员账户，因此安全起见最好还是设置一个密码。同时这里还可以选择是否使用密码提示，通过设置密码提示，当我们打算登录，但忘记了密码的时候，Windows会自动显示我们这里输入的密码提示，帮助回忆密码。但是要小心，不建议使用密码本身作为密码提示，或者像有些人将类似“我的生日”、“我的手机号码”之类比较能够令别人猜测到密码的短语作为密码提示。因为密码提示任何人都可以看到，如果别人打算使用我们的账户登录系统，但不知道密码，如果通过“我的生日”之类的短语猜到我们密码，那么这个密码就跟没有一样。有关密码提示的详细信息，请参考本书第1.3.2.1节“密码提示”的相关内容。

Step 02 接着可以在如图1-14所示的界面上设置Windows Vista的安全选项，只要从提供的选项中根据需要选择即可。

图1-14 在这里设置Windows Vista中的安全选项

那么这三个选项之间到底有什么区别？

使用推荐设置 这个选项可以启用Windows自动更新、Windows Defender、Windows问题报告，Internet Explorer仿冒网站筛选等功能的默认设置，并会设置让Windows Vista通过Windows Update获取有关设备驱动程序的更新，通常都建议选择这个选项。

仅安装重要的更新 这个选项只启用Windows Update功能，并且只安装关键更新和安全更新，上面提到的其他选项都不会启用。如果没有特殊原因，不建议选择该选项。

以后询问我 如果选择该选项，那么以后每次登录Windows Vista的时候都会被询问，直到选择了上面任何一个选项。

Step 03 如果计算机上安装了网卡，并且在安装Windows Vista的过程中已经安装了系统自带的网卡驱动，网卡可以正常工作，那么随后还可以看到图1-15所示的是选择网络位置的选项。

图1-15 选择恰当的网络类别

网络位置 这是Windows Vista中的一项新功能，简单来说，就是根据网络的实际类型做出适合的配置，这些配置还会被应用给Windows Vista自带的Windows防火墙。例如，如果这台计算机是在家里或者办公室里使用的，那么根据实际情况选择“住宅”或“工作”后，Windows Vista就会根据我们的选择打开网络发现功能，方便我们查找局域网上的其他计算机；打开文件和打印机共享功能，方便我们和其他计算机共享文件。但如果我们正在公共场所使用计算机，例如在机场或者咖啡馆，很明显，这种场合下为了安全最好能禁用网络的共享以及发现功能。

网络位置功能的优势就在于，我们不再需要根据网络环境手工设置，所有设置都是自动的。当我们第一次连接到一个网络的时候，Windows Vista会询问该网络的位置，并提供选项供我们选择。一旦选择好，那么下次再连接到该网络的话，系统将不再询问，直接应用同样的设置。当然，如果有需要，我们也可以手工修改。

关于网络位置和Windows防火墙的详细内容，请参考本书第8章“网络防火墙”中的相关内容。

1.3.1 新建账户并创建密码

所有基于Windows NT的操作系统都是多用户操作系统。那么什么是多用户操作系统？这种系统和单用户操作系统相比又有什么优势呢？

我们很多人的计算机都是要和多个人共同使用的。例如，放在家里的计算机，可能每个家庭成员都需要使用。如果是传统的单用户操作系统，那么每个人在使用计算机的时候都只能使用一个公用的账户，这样一个人对系统更改的设置（例如更换墙纸、屏幕保护，甚至Internet Explorer的收藏夹、Cookie等）都会被其他家人直接使用，不仅不方便，还有可能造成隐私泄露。但在多用户操作系统中就简单多了，每个人都可以使用自己的账户和密码（如果有的话）登录。这样一个人对某些选项（主要指针对当前用户的设置，而非针对整个系统的设置）的设置都只能被这个人使用。例如，我们自己设置的墙纸或者Internet Explorer收藏夹内容，别人都看不到。

因此使用多用户操作系统，为每个用户创建一个账户，并使用密码将账户保护起来，这是实现计算机安全的一个很重要的先决条件。

1.3.1.1 账户和账户组的概念

账户是很有用的，那么Windows中都有哪些账户，这些账户对系统具有怎样的权限，账户组又是什么意思。这些是本节要介绍的内容。

首先需要明白，在Windows中，有两个系统自带的账户：Administrator和Guest，其中前者属于管理员账户，对系统具有完整的控制权限；而后者是来宾账户，只能对系统采取最基本的操作，无法修改系统设置。除了这两个账户外，在Windows中还有其他一些账户，主要用于一些特殊的环境，例如用于进行远程协助的账户等，这些账户默认都没有启用，而且一般用户很少需要，因此这里不准备详细介绍。

基本上，在Windows中，根据权限的不同，有以下三种账户。

➢ 管理员Administrator账户 就是管理员账户，除此之外，当我们安装好系统第一次启动的时候，在欢迎界面上创建的也都是管理员账户。管理员账户隶属于管理员组，对系统拥有所有权限，这些权限包括：

● 创建、更改和删除用户账户和组

● 安装和卸载软件

● 配置自动更新，或者手工更新系统

● 安装ActiveX控件

● 安装或删除硬件设备驱动

● 共享文件夹

● 设置权限

● 访问所有文件，包括其他用户的个人文件

● 获得文件或文件夹的所有权

● 将文件复制或移动到系统目录中

● 从备份中还原文件

● 给其他用户或者自己分配访问权限

● 配置家长控制功能

● 配置Windows防火墙

● 登录系统到安全模式

➢ 标准用户 默认情况下系统中没有自带标准用户，但我们可以根据实际需要创建标准用户（“标准用户”是Windows Vista中的叫法，在Windows XP中，这种账户被叫做“受限账户”）。标准用户隶属于Users组，虽然标准用户可以修改绝大部分非关键系统设置，不过却不能修改可能会影响系统安全性或稳定性的设置。标准用户具有的权限包括：

● 更改自己账户的密码或显示图片

● 使用安装在本机的程序

● 安装批准的ActiveX控件

● 配置安全的WiFi连接

● 查看权限（对于Windows XP，要求管理员把已经禁用了的简单文件共享）

● 在自己的文档文件夹或者共享文档文件夹中创建、更改或删除文件

● 还原自己文件的备份

● 查看系统时钟和日历

● 配置电源选项（仅限Windows Vista）

● 登录到安全模式（仅限Windows Vista）

➢ 来宾用户 默认情况下系统中只有一个Guest账户属于来宾用户，而且我们没办法直接利用控制面板中的用户账户工具创建其他来宾用户。来宾用户隶属于Guest组，拥有和标准用户类似的权限，但受到的限制要更多。同时系统自带的Guest账户和其他隶属于Guest组的来宾用户的权限也有区别，例如Guest账户无法给自己设置密码，但其他来宾用户可以。

除了用户账户，在Windows中还有一类安全主体需要注意，那就是账户组。上文我们已经提到过账户组的一些内容，例如管理员账户隶属于管理员组、标准用户隶属于Users组、来宾用户隶属于Guest组。那么到底什么是账户组，账户组又有什么作用呢？

顾名思义，账户组就是一组用户的集合，简单说，如果一组用户具有相同的权限，那么就可以创建一个组，将这些用户全部添加到该组中。账户组在企业中使用得比较广泛，例如，如果企业中每个部门所有员工的账户所需要的权限都一样，例如市场部所有员工都需要一样的权限，而财务部员工则需要一样的权限，那么在为这些人创建账户的时候，最笨的办法就是创建好每个账户后挨个为所有账户设置权限，这样不仅操作烦琐而且容易造成遗漏或者错误。

这时候就可以使用账户组。例如为市场部创建一个组，为财务部创建一个组，针对这些组来设置权限，然后将员工按照实际情况添加到不同的组中，这样每个员工也就有了和自己所在组一致的权限设置。这样做不仅方便而且日后如果员工转换工作岗位，操作起来也很简单，只要把员工从一个组中删除（这里删除的只是用户和账户组之间的对应关系，而非账户）并添加到另一个组就可以了。

Windows中自带的组有很多，不过一般情况下都很少用到。我们只需要记住最常用的组就行了，这些组是Administrators组（注意，名称末尾带有“s”，代表这是一个账户组，而不是Administrator账户）、Users组，以及Guest组。这些组所具有的权限就是上文介绍的管理员账户、标准账户，以及来宾账户相对应的权限。

1.3.1.2 创建账户和账户组

在本节中，将分别介绍在Windows XP，以及Windows Vista下如何创建用户账户和账户组。需要注意的是，如果希望进行这些操作，我们需要使用管理员账户登录Windows。

1.创建用户账户

在Windows XP中，如果希望创建用户账户，请按照下列步骤操作：

Step 01 依次单击“开始→控制面板→用户账户→用户账户”，打开用户账户设置程序。

Step 02 在“挑选一项任务”选项下单击“创建一个新账户”链接。

Step 03 在随后出现的界面上输入该账户的名字，并单击“下一步”按钮。

Step 04 随后需要选择账户类型。需要注意的是，在Windows XP中，通过控制面板的用户账户工具，我们只能创建管理员账户和受限账户。选择希望使用的账户类型，接着该类型账户的权限就会显示在下方。

Step 05 单击“创建账户”按钮即可完成创建。

通过上面的方法只能创建管理员账户或受限账户，虽然大部分情况下都已经够用了，但如果因为某种原因需要创建隶属于其他组的账户，那么可以这样操作：

Step 01 打开“开始”菜单，在“我的电脑”上单击鼠标右键，选择“管理”，打开计算机管理控制台。

Step 02 在左侧的控制台树中进入到“计算机管理→系统工具→本地用户和组→用户”节点，随后可以看到如图1-16所示的界面。

图1-16 计算机管理控制台中的本地用户和组管理单元

Step 03 如果希望新建账户，只需要在左侧的控制台树中“用户”节点上单击鼠标右键，并选择“新用户”，即可打开如图1-17所示的“新用户”对话框。

图1-17 在这里输入新账户的所有信息

Step 04 在图1-17中必要的信息是“用户名”，只要输入了用户名内容，就可以单击“创建”，创建一个账户。当然，为了安全起见，我们还需要对其他选项进行设置，例如再设置密码，或者更改密码选项。这里提供的4个密码选项的作用如下：

➢ 用户下次登录时必须更改密码 该选项是默认选中的，这样该用户第一次登录的时候将会被Windows要求更改自己的密码，只有在更改了密码之后才可以继续使用。

➢ 用户不能更改密码 如果不希望用户自己更改密码，例如给家里客人创建一个来宾账户，但不希望该账户更改密码，就可以选中该选项。

➢ 密码永不过期 如果设置了密码过期策略，但选中该选项，那么该账户的密码就不会受到组策略的影响。有关组策略的详细信息请参考本书第3.1节“账户策略”的相关内容。

➢ 账户已停用 如果一个用户短时间内不需要登录，例如外出休假，那么就可以选中该选项，将账户暂时禁用。待用户需要再次使用的时候，反选该选项即可。

在Windows Vista中，如果希望创建用户账户，可以按照下列步骤操作：

Step 01 依次单击“开始→控制面板→添加或删除用户账户”。

Step 02 单击“创建一个新账户”链接。

Step 03 在随后出现的页面上输入该账户的名称，并选择希望使用的账户类型。设置好之后单击“创建账户”按钮。

同样，通过上面的方法只能创建管理员账户或受限账户，虽然大部分情况下都已经够用了，但如果因为某种原因需要创建隶属于其他组的账户，依然需要使用计算机管理控制台中的本地用户和组管理单元。具体的过程和在Windows XP中的操作完全一样，因此这里不再复述。只是有一点需要注意，在Windows Vista中，以往的“我的电脑”已经改名叫“计算机”了。

2.创建和管理账户组

账户组和账户一样，不仅可以创建、删除，还可以对其设置权限。另外，我们还可以编辑组关系，简单说就是将新账户加入组，或者将某个账户从组中删除。账户组的所有操作都是在计算机管理控制台的本地用户和组管理单元中进行的，因为这个工具在Windows XP和Windows Vista下几乎没什么变化，因此下文以在Windows Vista中的操作为例进行介绍。

要想创建账户组，请按照下列步骤操作：

Step 01 打开“开始”菜单，在“计算机（我的电脑）”上单击鼠标右键，选择“管理”，打开计算机管理控制台。

Step 02 在左侧的控制台树中进入到“计算机管理→系统工具→本地用户和组→组”节点。

Step 03 随后，系统中现有的组都会列在窗口右侧的面板中，双击其中一个组可以打开并调整对应的设置。

Step 04 如果希望新建组，请用鼠标右键单击“组”节点，打开如图1-18所示的“新建组”对话框。

图1-18 这里输入要新建的组的相关信息

Step 05 首先，在“组名”和“描述”两个文本框中输入该组的名称和描述。其中名称是必需的，描述是可选的。接着可以单击“添加”按钮给组中添加账户。

Step 06 单击“添加”按钮后可以看到如图1-19所示的“选择用户”对话框。

图1-19 这里可以选择要添加到组中的账户

这里需要注意，因为我们需要添加的内容是用户账户，因此在“选择此对象类型”选项下应该确保至少选择了“用户”，默认设置即可。又因为我们是针对本机进行的操作，因此请确保“查找位置”处显示的是本机的名称。接着只需要在“输入对象名称来选择”文本框中输入要添加的账户的名称，然后单击“检查名称”按钮进行确认即可。如果希望一次添加多个账户，请使用半角分号（;）将不同账户隔开。

如果知道要添加的账户的名称，可以单击“高级”按钮，在随后出现的“选择用户”对话框上单击“立即查找”按钮，这样程序会自动列出所有本地账户，我们只需要双击目标账户即可将其添加进来。

Step 07 将所有希望添加的账户都选中后单击“确定”按钮，即可返回如图1-18所示的“新建组”对话框，同时之前选中的账户都会出现在成员列表中。如果希望删除其中的某些成员，只需要将其单击选中，然后单击“删除”按钮即可。

Step 08 添加了需要的账户后，单击“创建”按钮，这个组就创建好了。

按照上面的方法我们已经可以创建账户组，并添加需要的账户到该组中。但日后如果需要调整组关系或者组本身的设置又该怎么办？例如，需要给一个组中添加更多账户，或者将其中的某个账户删除。这时候我们只需要在“组”节点下双击目标组，即可看到如图1-20所示的“组属性”对话框，并且成员列表中显示了该组的所有账户。

图1-20 查看和调整组关系

如果需要添加新的账户到该组中，我们只要单击“添加”按钮，然后像创建组时那样操作即可将账户添加进来。如果需要删除某个组成员，也只需要将其单击选中，然后单击“删除”按钮。

但有时候我们可能需要进行另一种方式的调整。例如，市场部的员工都位于名为“市场部”的组中，但其中一位员工被调动到财务部工作了，我们需要将他对应的账户在“市场部”组中的关系删除，并将其添加到“财务部”组中。如果同样按照上面的方法操作，难免有些烦琐，这时候我们可以进入“用户”节点，并单击该员工的账户，打开属性对话框的隶属于选项卡，如图1-21所示。

图1-21 在这里可以针对具体账户调整对应的组关系

我们只需要在隶属于列表中选中希望删除组关系的组，并单击“删除”按钮；然后单击“添加”按钮，并选择希望添加到的组即可。

1.3.1.3 设置安全的密码

假设已经按照上文介绍的方法给每个用户创建好了各自的账户，这时候该考虑使用密码保护每个人的账户。

通常，当我们在安装好Windows后，通过控制面板中的用户账户工具创建的账户都是无法直接设置密码的，在这种情况下，有两种选择：使用计算机管理控制台的本地用户和组管理单元，更改其他账户的密码，或者让每个人使用自己的账户登录系统，然后更改密码。

1.使用自己的账户登录后设置密码

下面分别介绍在Windows XP下，以及在Windows Vista下使用自己的账户登录系统后设置密码的方法。

在Windows XP下，如果希望在登录后设置自己账户的密码，可以这样操作：

Step 01 在使用目标账户登录后，依次单击“开始→控制面板→用户账户→用户账户”，打开用户账户设置工具。

Step 02 单击自己当前登录所用的账户，在随后出现的界面上单击“创建密码”链接。

Step 03 接下来可以看到创建密码界面，在相应的文本框中输入要使用的密码，并确认。如果需要，还可以输入密码提示。接着单击“创建密码”按钮即可。

Step 04 注意，Windows XP默认情况下是启用简单文件共享的，如果在启用的情况下给自己的账户创建密码，那么在创建好之后Windows XP会询问是否将文件和文件夹设置为私有，如图1-22所示。

图1-22 是否将自己的文件和文件夹设置为私有

这时候可以根据自己的实际情况做出选择，建议选择“是，设为私有”，这样别人就无法访问到自己的个人文件。有关简单文件共享的详细内容请参考本书第7.1节“设置共享”的相关内容；有关将文件夹设置为私有的详细信息请参考本书第1.3.3.3节“管理配置文件”的相关内容。

在Windows Vista中，如果希望给自己当前登录的账户创建密码，可以这样操作：

Step 01 在使用目标账户登录后，按下“Ctrl-Alt-Del”组合键，可以打开Windows安全界面，在这个界面上单击“更改密码”按钮（没错，虽然我们是需要创建密码，不过在这里却要单击“更改密码”按钮），可以看到如图1-23所示的界面。

图1-23 在这里可以创建或者更改密码

Step 02 因为当前没有密码，我们需要新建密码，所以在“旧密码”一栏留空，并将想要使用的密码输入到“新密码”和“确认密码”这两栏即可。输入完毕后直接按下键盘上的回车键，或者单击“确认密码”一栏右侧的箭头按钮即可。

2.给其他账户添加密码

除了让每个用户使用自己的账户登录后创建密码外，管理员还可以直接给其他账户（可以是标准用户，也可以是其他管理员用户）创建密码。这个工作可以在控制面板的用户账户工具中进行，也可以使用计算机管理控制台的本地用户和组管理单元，因为Windows XP和Windows Vista的控制面板在细节上有些差别，因此为了节约篇幅，下文会介绍使用计算机管理控制台进行操作，同时会以Windows Vista下的过程来介绍，在Windows XP下的差别并不大。

Step 01 打开“开始”菜单，在“计算机（我的电脑）”上单击鼠标右键，选择“管理”，打开计算机管理控制台。

Step 02 在左侧的控制台树中进入到“计算机管理→系统工具→本地用户和组→用户”节点，随后可以看到类似图1-16所示的界面。

Step 03 用鼠标右键单击想要创建密码的账户，并从右键菜单中选择“设置密码”命令，随后Windows会显示类似图1-24所示的警告信息。

图1-24 询问是否要给其他用户设置密码

注意 这个警告信息是什么意思？这是一项安全措施。在单机和工作组环境中，当我们在Windows操作系统中使用管理员账户为其他管理员或者非管理员账户创建或者修改密码之后，都有可能导致非常严重的后果，例如目标账户的EFS加密文件、在Internet Explorer浏览器中保存的密码等信息都将无法访问。因此在进行这个操作的时候一定要谨慎，建议只对新创建，并且还没有登录过的账户这样操作。同时，如果因为该操作导致目标用户原本可以访问的某些文件无法访问，可以将密码重新改回原来的，这样文件将可以恢复访问。

Step 04 单击“继续”按钮后，可以看到为账户设置密码的窗口，在这里输入新密码和确认密码，并单击“确定”按钮即可。

3.什么是安全的密码

相信大家都知道密码的重要作用，然而并不是设置了密码就可以保证绝对的安全，因为有时候，不安全的密码给系统安全造成的影响甚至比不使用密码更严重。

如果要创建安全的密码，首先必须保证密码有足够的长度，同时在保证长度的前提下增加密码的组成元素。例如，假设用26个小写英文字母组成一个7位的密码，那么可能的密码组合就有267个，而如果用26个大小写英文字母（也就是说，一共有52个字符）组成一个7位的密码，可能的密码组合就有527个。如果增加长度呢？假设使用26个英文字母的大小写形式，一共52个字符创建15位的密码，那么就有5215种不同的组合。可见，随着密码长度和复杂性的增加，可选的密码组合会呈指数趋势增长，进而要破解的难度和所需的时间也会显著增加。

在设置密码之前，首先有一些关于Windows操作系统对密码的要求可以参考一下：

➢ 新的Windows操作系统（Windows XP、Windows Vista）最多可以使用长达127个字符的密码

➢ 密码长度不应该少于8个字符

➢ 密码中不建议使用账户名或者任何和用户个人信息有关的内容

➢ 密码中不应该使用完整的，可以在字典中查到的单词

➢ 密码最好每隔一段时间更换一次，同时新换的密码不应该和老密码过于相似

➢ 密码是大小写敏感的

➢ 密码可以由大写英文字母、小写英文字母、数字、特殊符号甚至ASCII字符组成

知道这些规则后，很容易就可以创建出安全的密码，然而在创建密码的时候还需要注意：

➢ 密码在保证复杂性的同时还需要易于记忆

➢ 永远不要把密码写在纸上，更不要把密码写在贴到显示器边框上的记事贴上

➢ 不同场合和用途请尽量使用不同的密码

如果配合这些建议，要想设置一个既复杂又好记的密码就不那么容易了，不过还是有好办法。我们可以借助古诗词、格言警句或者自己喜欢的歌词来生成密码。例如，如果要用“不以善小而不为”这句话生成密码，可以首先将其转换为全拼的拼音，每个字的拼音首字母大写，其余字母小写，并在每个字的拼音后面用数字代表音调，这样就得到了“Bu4Yi3Shan4Xiao3Er2Bu4Wei2”，一个比较安全的密码，长度合适，里面包含了大小写英文字母和数字。但我们还可以让这个密码更安全，例如将“Shan”中的字母“S”换成美元符号“$”，将字母“a”换成符号“@”，特殊字符也有了。这样的密码不仅好记，而且难以破解，要想通过穷举等方法猜测，那几乎是不可能的。

1.3.2 忘记密码后的操作

密码是很重要的，我们都应该牢记。然而很多人却经常会忘记密码，例如自己的记性不好，或者因为记忆了太多不同用途的密码而将大量密码搞混了。这时候也不用慌张，是有办法解决的。

1.3.2.1 密码提示

在任何时候，我们都可以给自己的账户指定一个密码提示，这样在忘记密码后就可以借助密码提示回想密码。但在使用密码提示的时候需要注意，任何人只要能物理上接触到我们的计算机，就能看到密码提示。因此在选择密码提示的时候就尤其需要注意，密码提示必须可以让我们回忆起自己的密码，但又要能保证其他看到的人无法猜测密码。例如，如果用自己的生日作为密码（很多人都这样做），但又使用“我的生日”作为密码提示（很遗憾，依然有很多人这样做），那别人只要对我们稍微有所了解，密码也就彻底失去作用了。

还是以上文的例子来说吧，如果我们使用“Bu4Yi3$h@n4Xiao3Er2Bu4Wei2”作为密码，应该怎么设置密码提示？当然可以用“不以善小而不为”作为提示，但有心机的人很容易根据这句话猜测密码，这时候可以使用“要做什么”之类的短语作为提示，这种问题的答案很多，一般陌生人还不至于能在短时间内猜对。

我们可以在给账户创建密码的同时创建密码提示，或者也可以在创建好密码后只创建或者修改密码提示。如果在创建密码的同时希望创建密码提示，只要在相应的文本框中输入密码提示就可以了，这个过程在Windows XP下和在Windows Vista下都是类似的。

如果在创建密码的时候没有设置密码提示，而希望以后设置，或者在创建了密码提示后希望修改，那么可以按照下列步骤进行。需要注意，这个过程在Windows XP和Windows Vista下几乎是一样的，因此下面以在Windows Vista下创建为例进行介绍。

Step 01 打开“开始”菜单，依次单击“控制面板→用户账户和家庭安全→更改Windows密码”，随后可以打开当前登录账户的设置页面。

Step 02 单击“更改密码”链接。

Step 03 在随后打开的更改密码页面上，给“当前密码”、“新密码”和“确认新密码”文本框中都输入当前使用的密码，然后在“键入密码提示”文本框中输入要使用的密码提示。

Step 04 单击“更改密码”按钮，这样就可以在不更改现有密码的情况下创建或者更改密码提示。

Step 05 如果希望在创建密码提示的同时更改密码，则可以在“当前密码”文本框中输入现在正在使用的密码，然后在“新密码”和“确认新密码”文本框中输入新的密码。

在设置好密码提示，但又忘记了密码的情况下，就可以使用密码提示帮助自己回忆密码了。

对于Windows XP，只要在欢迎屏幕上单击自己的账户，然后单击密码框右侧的问号按钮，就可以在一个气泡图标中看到自己的密码提示，如图1-25所示。注意，在Windows XP中，只有在启用欢迎屏幕的情况下才可以使用密码提示，如果禁用了欢迎屏幕，那么哪怕曾设置过密码提示，在Windows登录对话框上也不会显示。

图1-25 在Windows XP的欢迎屏幕上看到的密码提示

对于Windows Vista，在欢迎屏幕上默认并不会显示密码提示，或者提供能够打开密码提示的按钮。只有当我们使用错误的密码尝试登录，并失败后，Windows Vista才会报告密码错误，单击“确定”按钮后会回到欢迎屏幕，这时候密码提示就会直接显示在密码框的下方，如图1-26所示。

图1-26 Windows Vista欢迎屏幕上显示的密码提示

1.3.2.2 密码重设盘

在忘记密码之前，我们还可以随时给自己的账户创建一张密码重设盘，这样日后就算忘记了密码，只要提供密码重设盘，就可以重置密码。同时这张盘的好处在于，就算我们在创建密码重设盘之后自己修改了密码，在提供了重设盘之后依然可以重设密码。

在Windows XP和Windows Vista中，有关密码重设盘的变化最大之处在于，在Windows XP中，我们只能使用传统的3.5寸软盘作为密码重设盘，而现在依然配置软驱的计算机已经很少了，因此在Windows Vista中，除了最传统的软盘，我们还可以使用U盘或者光盘，这样更加方便。

在Windows XP中，如果希望使用软盘作为密码重设盘，请按照下列步骤操作：

Step 01 打开“开始”菜单，依次单击“控制面板→用户账户→用户账户”，打开用户账户设置界面。

Step 02 单击自己当前登录所用的账户，在随后出现的界面上单击窗口左侧相关任务列表中的“阻止一个已忘记的密码”链接，这将启动忘记密码向导。

Step 03 将一张空白的，格式化后的软盘放入软驱，在向导上连续单击“下一步”按钮两次，并在要求的时候输入该账户当前的密码，单击“下一步”按钮。

Step 04 等待片刻，密码重设盘就创建好了。

直接使用Windows资源管理器打开软盘可以发现，所谓的密码重设盘其实就是一个名为“userkey.psw”的文件，这个文件里包含了用于重设用户密码的所有信息。另外需要注意，现在的软盘质量越来越差，因此为保险起见最好能多准备几张空白软盘，并将userkey.psw这个文件分别复制进去，然后将所有密码重设盘保存在安全的地方。另外，如果在创建了密码重设盘后重新使用上述方法创建，那么以前创建的重设盘将会失效，因此不要尝试分别使用每张软盘创建密码重设盘的方式复制重设盘，因为这样操作只有最后一张重设盘有效。

现在，让我们看看，当我们忘记了Windows XP下的账户密码后，该怎样使用密码重设盘。当我们在Windows XP的登录界面上选中自己的账户，并输入了错误的密码后，欢迎屏幕上会自动显示一个气泡图标，问我们是否忘记了密码，同时提供了一个叫做“使用密码重设磁盘”的链接，单击该链接可以打开重设密码向导。

随后，将最新的密码重设盘放入软驱，然后在向导的界面上单击“下一步”按钮两次。如果系统验证了密码重设盘中包含的信息有效，那么将可以看到如图1-27所示的界面。

图1-27 在这里可以输入新的密码和密码提示

在这里输入新的密码和密码提示，然后单击“下一步”按钮，即可重设密码并重新登录。

上面介绍的是在Windows XP中使用欢迎屏幕的情况，但如果禁用了欢迎屏幕，情况会有些不同。如果已经在系统中创建了密码重设盘，并且禁用了欢迎屏幕，那么如果在传统的“Windows登录”对话框上输入了错误的密码，Windows会自动显示一个“登录失败”对话框（如果没有创建过密码重设盘则不会出现该选项），并提示我们可以使用密码重设盘。单击“重设”按钮后可以打开重设密码向导，剩下的操作就和上文介绍的一样了。

如果是在Windows Vista中，则需要按照下列步骤操作：

Step 01 打开“开始”菜单，依次单击“控制面板→用户账户和家庭安全→更改Windows密码”，随后单击窗口左侧任务列表中的“创建密码重设盘”链接，打开忘记密码向导。

Step 02 在向导的第二个页面上，列出了本机所有的可移动存储设备，例如软驱、U盘或者光盘刻录机。因此，如果想要使用软驱，请事先放入软盘；如果希望使用U盘或移动硬盘，请事先将其与计算机连接；如果想要使用光盘，请事先将空白光盘放入刻录机。选择好想要使用的设备后单击“下一步”按钮。

Step 03 输入当前账户的密码，继续单击“下一步”按钮。

Step 04 稍等片刻，密码重设盘就创建好了。

如果日后忘记了自己的登录密码，那么在Windows Vista的欢迎屏幕上输入了错误的密码后，Windows Vista会在密码输入框下方显示一个“重设密码”按钮，单击后可以打开重置密码向导。在向导中选择密码重设盘的来源，经验证无误后输入新的密码和密码提示即可。

1.3.2.3 其他破解工具

最头疼的情况是没有创建过密码提示或者密码重设盘，或者虽然创建了，但是因为各种原因没能生效。这时候难道只能重装系统？那以前的重要文件怎么办？这时候我们可以考虑使用其他工具，这类工具通常都是可引导介质，例如光盘或者软盘，用这些介质引导计算机后可以进入其他操作系统（DOS或者Linux）下，在这些操作系统中直接对Windows的SAM（里面保存了所有本地账户的安全信息）文件进行破解，即可查看系统中每个账户的密码，或者在不知道密码的情况下修改密码（这类工具软件很多，功能各有差别，但基本都可以用于重设或者查看忘记的密码）。

但还有一个问题需要注意。以前，对于Windows 2000操作系统，如果我们能够在操作系统没有运行的情况下删除Windows 2000的SAM文件，那么账户的密码将会被清空。这个方法只能用于Windows 2000，然而网上有很多不负责任的文章说该方法可以用于Windows XP，很多人照做后导致系统崩溃。请一定要记得，删除SAM文件的方法对Windows XP和Windows Vista无效！

这类工具有很多，其中有些是售价昂贵的商业软件，但也有可以免费使用的软件。为了节约成本，本书会介绍一个叫做Offline NT Password & Registry Editor（下文统一简称为Editor）的免费软件，该软件可以在不知道当前密码的情况下脱机重设单机或工作组环境下Windows XP，以及Windows Vista操作系统本地用户账户的密码。该软件的下载地址是：http://home.eunet.no/pnordahl/ntpasswd/。

注意 这并不算是安全漏洞。

有人会问了，如果随随便便用一个软件就可以重设Windows账户的密码，那Windows还有什么安全性可言。其实这要从Windows保存本地账户的登录信息的方式，以及这类软件的工作原理说起。首先要明白一个问题，这类软件通常只能用于单机或者工作组环境下的Windows操作系统，因为在这样的环境下，Windows中只有本地用户账户，同时账户的名称，以及登录密码等信息都保存在一个叫做SAM（Security Account Manager，安全账户管理器）的文件中，该文件位于%SystemRoot%\system32\config文件夹下。当我们登录的时候，Winlogon进程首先会获取我们在欢迎屏幕或者“Windows登录”对话框上提供的用户名和密码，并将获得的信息和SAM数据库中保存的记录进行对比。如果能够找到匹配的项目，则证明该用户名和密码是有效的，可以继续进行登录；如果找不到匹配的项目，用户就会被拒绝登录。

所有这类可以查看或者重设Windows账户密码的软件实际上都是在破解SAM文件。通常在Windows运行着的情况下，SAM文件会被操作系统锁定，无法直接读取或者复制，然而通过很多方法可以绕过这一限制，例如将硬盘连接到其他计算机上直接读取，或者使用引导光盘将计算机引导到特殊的DOS或者Linux环境下读取。而一旦可以读取到SAM文件，虽然SAM文件中的信息是被加密的，但理论上，任何加密方法都可能被破解，只不过区别在于破解所需的时间。

要避免这种危险其实也很简单，首先，一定要保证重要计算机的物理安全。相信大家都已经知道，要破解SAM文件，必须在操作系统没有运行的情况下进行，这叫做脱机攻击。例如，破解者必须能够拿到计算机的硬盘，或者使用具有引导功能的软盘或光盘引导计算机。只要能够有效保证计算机的物理安全，这类程序在很大程度上都将失效。

另外，在条件允许的情况下请尽量使用长密码。因为根据计算，密码长度增加，破解的难度和所需时间将会呈指数方式增长。同时配合长密码，我们还需要按照实际情况频繁更换密码。例如，假设当前使用的密码复杂程度决定了要破解该密码需要长时间的运算（假设需要40天），而我们每30天就更换一次密码。这样破解者就算能够计算出密码，等计算出来后我们的密码早已经更换了。我们可以通过组策略限制Windows对密码的加密方式，以及通过其他密码策略增强系统安全性，相关内容请参考本书第3.1节“账户策略”的相关内容。

另外，对于Windows Vista企业版和旗舰版，其中包含的BitLocker功能也可以有效防范对操作系统的脱机攻击。有关BitLocker的详细信息请参考本书第13章BitLocker中的相关内容。对于Windows XP，因为没有BitLocker功能，或者使用的是不带Bitlocker的Windows Vista版本，这时候还可以使用系统自带的Syskey程序。详细信息请参考本书第1.3.4.2节“Syskey”的相关内容。

需要注意的是，对于域环境中的Windows系统，这类软件往往也只能针对本地账户生效，而无法对域账户生效。因为域账户的登录信息都是保存在域控制器上的，因此域环境在这方面的安全性要更高一些。

好了，虽然简单介绍了如何防范对操作系统的脱机攻击，不过有时候我们可能依然需要进行这种操作。例如公司员工离职前忘了将自己的账户密码告诉同事，或者忘记了自己家里计算机的登录密码。需要提醒大家注意的是，这类软件很容易获得，而且使用方法也很简单，但随意对他人的计算机进行攻击或者盗用可能会触犯法律。

首先访问Editor的网站，并单击网页顶部的“Bootdisk”按钮，在随后的页面上拖动网页，在网页中部找到“Download”栏目，这里列出了所有可下载的链接。因为Editor可以使用多种介质引导计算机，例如软盘、光盘或者U盘，因此首先需要按照想要使用的介质下载对应的版本。例如，如果我们希望使用光盘引导电脑（不建议使用软盘版本，因为根据网站上的说明，软盘版本可能会让Windows Vista崩溃），可以选择标记为“Bootable CD image”的文件来下载，文件的体积在3MB左右。在写本书的时候，Editor的更新日期是2007年4月9日。

在使用该软件之前，有一些问题需要注意：

➢ 该软件可以用于单机或工作组环境下的所有Windows NT/2000/XP/2003/Vista系统，同时可以用于64位Windows系统。

➢ 如果希望重设Windows XP或Windows Vista中某个账户的密码，而该账户有EFS加密文件，那么重设密码后，所有EFS加密文件都将无法读取和解密。

➢ 对于光盘版本，下载回来的文件解压缩后可以得到一个.iso文件，请直接使用光盘刻录软件将该文件以光盘镜像的形式刻录到CD刻录盘上。注意，一定要以光盘镜像的形式进行刻录，而不能像普通文件那样刻录，否则刻录的光盘将无法引导计算机。我们用的刻录软件是否支持刻录光盘镜像，以及具体的操作方法，请参考刻录软件的说明文件。例如，可以使用本书第1.1.2.2节“将更新和补丁集成进Windows Vista”中提到的UltraISO。

准备好这样一张光盘后，我们就可以开始了。因为该软件可以对几乎所有基于NT的Windows操作系统生效，因此下文会以破解Windows Vista操作系统中本地账户的密码为例进行介绍。

Step 01 将刻录好的光盘放入光驱中，然后重启计算机，并让计算机从光驱引导（可能需要调整BIOS设置，具体方法请参考计算机或主板的说明书）。

Step 02 光盘引导计算机后，首先会显示一些引导选项，例如是否启用USB设备等。通常情况下使用默认选项即可，因此可以直接按下回车键，开始进行引导，这将会把计算机引导到一个运行在光盘上的Linux环境下。

Step 03 看到如图1-28所示的界面就表示系统已经引导成功了。

图1-28 用光盘引导成功后的显示界面

Step 04 注意屏幕底部，如果计算机中安装了多块硬盘，程序会首先需要我们选择操作系统所在的硬盘。但如果计算机上只安装了一块硬盘，那么会跳过这一步，然后要求我们选择安装了操作系统的分区，或者使用下列选项：

a：显示所有分区

d：自动载入新的磁盘驱动器

m：手工载入新的磁盘驱动器

l：重新列出所有NTFS/FAT分区

q：退出

让我们回头再看看程序提示的信息吧，首先注意，在屏幕底部有这样一行内容：

Disks:

Disk /dev/sda: 214.7 GB

这一行显示了当前选中的硬盘位置以及容量。在这一行下方的内容是：

NT partation found:

1: /dev/sda1204797MB Boot

这表示在SDA1这块硬盘上找到了一个分区，该分区的大小是200GB，是可引导分区。因此我们只需要直接输入“1”并按下回车键，Editor就会知道我们要处理的分区是哪个。

如果这里没有列出任何硬盘，那么请输入“d”或“m”并回车，重新加载硬盘。如果硬盘已经加载，但没有显示任何分区，请输入“a”或“l”进行刷新。

Step 05 输入目标分区并回车后，可以看到如图1-29所示的界面（为了节省版面，下文只截取屏幕中新增加的或者变化了的内容）。

图1-29 选中分区后的显示结果

接下来需要选择SAM文件的保存位置。通常，如果是默认的位置，直接按下回车键即可。如果SAM文件在其他位置（例如Windows使用了自定义的安装目录），请手工输入，并按下回车键。

Step 06 指定好SAM文件的位置，并按下回车键后，可以看到如图1-30所示的界面。

图1-30 指定好SAM文件的位置后看到的内容

在这里需要指定要加载的注册表内容，通常如果需要重设账户密码，只要使用默认的设置“1”，然后按下回车键即可。

Step 07 随后可以看到如图1-31所示的界面。因为我们需要重设账户的密码，因此可以使用默认的选项“1”，按下回车键。

图1-31 SAM文件中提供的内容以及可以进行的操作

Step 08 接下来Editor会列出系统中的所有本地账户，如图1-32所示，我们可以根据实际需要选择其中的某个账户。例如，该程序默认会选中Administrator账户，如果希望重设该账户的密码可以直接按下回车键。或者可以直接输入其他想要重设密码的账户的名称，然后按下回车键。

图1-32 可以重设密码的账户

Step 09 随后我们可以按照需要输入新的密码，并确定。如图1-33所示。这里有个问题需要注意：输入的密码会在屏幕上明文显示，而且不需要再次输入确认。因此设置密码的时候请小心不要错误输入。不过输错了也没关系，反正用这个软件修改密码是如此简单的一项工作。

图1-33 为指定的账户设置新的密码

另外，输入新的密码，并按下回车键后，输入“y”并回车即可确认更改。

至此密码的修改已经完成了，但是也不能着急，为了使设置生效，我们还必须按照正常途径退出程序，否则所有修改将无法保存。

在图1-33所示的界面上确认了修改后，输入“!”并按下回车键，然后输入“q”并再次按下回车键。最后程序会询问是否保存修改，并且默认是“否”，因此输入“y”并回车。现在把光盘拿出来，然后重新启动计算机，并使用新密码登录吧！

因为该程序本身的不足，有时候我们可能看似已经修改了账户的密码，但使用新密码依然无法登录。这时候可以试试看将该账户的密码清空（在设置新密码的时候输入一个星号“*”，然后回车），使用空密码登录，然后创建密码。同时要注意，如果是破解Windows Vista的密码，一定要直接将密码设置为空白，而不是修改为其他密码，只有这样才可以成功。

除了重设账户密码，Offline NT Password & Registry Editor还有很多其他功能，不过本书不打算过多介绍。因此感兴趣的朋友可以自己研究。

1.3.3 管理其他账户

上文已经说过，基于NT的Windows系统都是多用户操作系统，可以让每个用户在自己的账户下对一些非关键系统选项进行自定义设置。当然，每个用户可以修改哪些设置取决于该用户所在的用户组，准确地说，取决于该用户具有的权限。

只要有足够的权限，那么用户就可以修改绝大多数系统设置，包括管理其他用户的账户或者账户环境。这是本节将要介绍的内容。

1.3.3.1 重设其他账户的密码

如果忘了自己账户的登录密码，并且使用密码提示也无法想起，或者没有制作密码重设盘，那么在考虑使用其他软件进行脱机破解之前，先看看系统中有没有其他管理员账户。如果有，那么就简单了，使用这些账户登录系统，然后重设账户密码即可。

在重设他人账户密码之前需要记住，这样做会导致对方账户的EFS加密文件、网页上保存的密码等机密信息无法访问。因此如果不是万不得已，通常不建议使用这种方法。

使用管理员账户登录Windows，然后就可以在控制面板的用户账户工具中进行重设。但因为Windows XP和Windows Vista的控制面板界面有些区别，因此为了节约篇幅，这里准备介绍在计算机管理控制台的用户账户管理单元中进行的操作。

Step 01 打开“开始”菜单，在“计算机（我的电脑）”上单击鼠标右键，选择“管理”，打开计算机管理控制台。

Step 02 在控制台窗口左侧的控制台树中依次展开“系统工具→本地用户和组→用户”。

Step 03 在右侧面板中用鼠标右键单击要修改密码的账户，从右键菜单中选择“设置密码”。

Step 04 随后系统会显示一个“警告”对话框，告诉我们更改其他账户的密码有可能产生的后果。

Step 05 仔细阅读说明，如果可以接受该后果，单击“继续”按钮。

Step 06 在随后出现的“设置密码”对话框上相应的文本框中输入新的密码，然后单击“确定”按钮。

这样，该账户就可以使用新密码登录了。

1.3.3.2 设置其他账户的环境

有时候我们可能会希望实现这样的目的：使用这台计算机的人使用自己的账号登录后，可以在自己的开始菜单或者桌面上看到某个程序的快捷方式，或者在Internet Explorer的收藏夹中看到某些同样内容的收藏。怎样实现这个目的呢？

每个账户各自的设置，例如开始菜单快捷方式或者Internet Explorer收藏内容，都是保存在每个账户对应的配置文件夹中的。因此每个账户登录后对这些内容的修改，实际上修改的是自己的配置文件，因此这样做并不会影响本机上的其他账户。

那么配置文件到底在哪里？首先需要明确一点：大部分关键的配置文件夹都具有隐藏属性，默认情况下Windows的资源管理器并不显示这些文件夹，因此我们必须先设置资源管理器显示隐藏文件，操作步骤如下：

Step 01 打开“计算机（我的电脑）”窗口。如果是Windows Vista，请按下键盘上的Alt键，这样资源管理器窗口会显示出菜单栏。Windows XP默认就显示了菜单栏，可以直接进行下面的操作。

Step 02 在菜单栏上依次单击“工具→文件夹选项→查看”，打开“文件夹选项”对话框的查看选项卡。

Step 03 在高级设置列表中，取消对“隐藏受保护的操作系统文件（推荐）”这个选项的选择，并在随后出现的“警告”对话框上单击“是”按钮。

Step 04 选中“显示隐藏的文件和文件夹”选项。

经过这样的设置，Windows资源管理器就可以显示硬盘上的所有文件和文件夹了。注意，有很多关键的系统文件是隐藏的，而经过上述设置这些文件都将显示在资源管理器窗口中。因此如果见到陌生文件，而不确定这个文件是做什么用的，最好不要对文件进行任何操作（例如修改或删除），以免影响系统或其他程序的正常运行。

对于Windows XP，用户配置文件夹是系统盘根目录下的“Documents and Settings”，打开这个文件夹后，可以看到很多子文件夹，每一个子文件夹对应了一个本地账户，而进入每个账户对应的子文件夹，还可以看到很多内容，如图1-34所示。

图1-34 Windows XP的用户配置文件夹

在图1-34中，右侧面板里显示了Documents and Settings文件夹的所有子文件夹，也就是说，通过右侧的内容可以知道系统中有哪些本地账户。而左侧的文件夹树列表显示的是Administrator账户配置文件中的子文件夹。

在窗口右侧显示的账户配置文件夹中，有两个账户需要特别注意：All Users和Default User，在自定义本地账户配置文件方面，这两个文件夹的作用是很重要的。

All Users，顾名思义，其中包含了可以适用于所有账户的内容。例如，如果需要将某个程序的快捷方式放置在所有用户的桌面上，那么就可以复制该快捷方式，然后粘贴到“All Users\桌面”文件夹中。

Default User，这是一个模板，简单来说，如果我们需要新建账户，那么在这个账户第一次登录的时候，系统会自动对Default User文件夹创建副本，并将副本的名称改为该账户的名字，这样该用户的配置文件就创建好了。而日后该用户对自己账户进行的所有设置都会被保存到创建的副本中。因此，如果我们希望日后新建的每个账户都具有某个同样的设置，就可以将设置应用到该文件夹中。

对于Windows Vista，情况基本类似，不过在细节上有所不同。在Windows Vista下，用户的配置文件夹是系统盘根目录下的“用户”文件夹，打开该文件夹后可以看到系统中每个本地账户对应的配置文件，同时每个配置文件中保存了有关该账户的所有自定义设置，如图1-35所示。

图1-35 Windows Vista下的用户配置文件

首先应该注意到，在Windows Vista的“用户”文件夹下，有两个文件夹上带有箭头图标。熟悉Windows的人应该知道，这个图标代表了快捷方式。也就是说，“用户”文件夹下的All Users和Default User这两个文件夹并不存在，只是两个快捷方式。那么根据前面对Windows XP的介绍我们应该都知道，这两个文件夹是非常重要的，那么怎样才可以用快捷方式代替呢？

其实在Windows Vista下，用户配置文件方面发生了一些小变化，那就是取消了以往的All Users和Default User文件夹，转为使用“公用”和Default这两个文件夹代替。然而为了照顾老程序的兼容性，保留了到All Users和Default User这两个文件夹的快捷方式。这样一旦用户在Windows Vista下安装了老的软件，并且软件试图给All Users和Default User这两个文件夹中写入数据，Windows Vista的虚拟重定向功能就会自动将数据写入其他目录。但同时，一旦这些软件在运行过程中需要从这两个文件夹中读取文件，虚拟重定向功能也会将文件读取请求定向到其他位置。关于虚拟重定向的详细内容，请参考本书第2.3节“文件和注册表虚拟化”的相关内容。

窍门 快速打开自己的配置文件夹

让我们用一个简单的例子进行介绍吧。假设我们需要本机所有本地账户在登录后都可以在桌面上看到某个程序的快捷方式，那么可以这样操作（以Windows Vista为例，Windows XP中的操作类似）：

Step 01 首先使用一个管理员账户登录，在桌面、开始菜单或Windows资源管理器中找到该程序的快捷方式，单击鼠标右键，选择“复制”。

Step 02 打开“计算机”窗口，进入到系统盘根目录下，然后依次进入“用户\公用\用户桌面”文件夹（该文件夹的实际路径是users\public\desktop，只不过Windows Vista的资源管理器将其翻译成了更“友好”的名称。另外“桌面”文件夹具有隐藏属性，需要按照上文的方法设置显示隐藏文件后才可以看见）。

Step 03 用鼠标右键单击文件夹内的空白处，选择“粘贴”，将之前复制的快捷方式粘贴到这里。

经过上述处理，所有登录到本机的本地账户的桌面上都将会出现我们粘贴的这个程序的快捷方式。

窍门 开始菜单内容在哪里

窍门 为什么有些快捷方式好删除，有些不好删除

1.3.3.3 管理配置文件

在配置文件的管理方面，本书只打算介绍其中一个比较有用的功能，同时还有一个需要注意的问题。

首先介绍功能。在上文曾经说过，通过配置文件，我们可以自定义很多东西，例如每个人登录系统后在桌面或者开始菜单上看到的内容，或者使用的桌面背景，甚至Internet Explorer收藏夹。其实可以自定义的东西还有很多，可难道我们只能手工编辑配置文件吗？其实有更简单的办法。

这种方法的原理很简单。首先，新建一个临时账户，并使用该账户登录，然后设置好所有必要的自定义设置，并注销该账户。接着使用管理员账户登录，然后将之前那个临时账户的配置文件复制给其他账户。这样用最简单的办法我们就可以让所有使用这台计算机的人使用同样的桌面环境。

假设我们已经新建了临时账户，并进行了自定义设置，然后在注销后使用管理员账户登录，那么接下来该如何操作？首先我们要打开“用户配置文件”对话框，在Windows XP和Windows Vista下打开该对话框的方式不太一样，不过打开后的操作完全一样。因此首先看看怎样打开该对话框。

对于Windows XP，可以这样操作：

Step 01 在“我的电脑”上单击鼠标右键，选择“属性”，打开“系统属性”对话框。

Step 02 打开高级选项卡，在“用户配置文件”选项下单击“设置”按钮。

Step 03 随后即可看到“用户配置文件”对话框。

对于Windows Vista，可以这样操作：

Step 01 在“计算机”上单击鼠标右键，选择“属性”，打开系统属性窗口。

Step 02 单击窗口左侧“任务”列表中的“高级系统设置”链接，打开“高级系统设置”对话框。

Step 03 打开“高级”选项卡，然后在“用户配置文件”选项下单击“设置”按钮。

Step 04 随后即可看到“用户配置文件”对话框。

打开该对话框后可以开始复制配置文件了，下面会以Windows Vista下的操作为例进行说明，Windows XP下的操作完全一样。假设我们需要将Guest这个用户的配置文件应用给用户Test，那么可以这样操作：

Step 01 在图1-36所示的“用户配置文件”对话框上，单击选中“Guest”账户，然后单击“复制到”按钮（这时候Guest账户必须处于注销状态，否则“复制到”按钮将无法点击）。

图1-36 在这里可以看到每个本地账户的配置文件信息

Step 02 在随后出现的“复制到”对话框中单击“浏览”按钮，并选定“Test”账户的配置文件的所在位置。选择好之后单击“确定”，回到“复制到”对话框，再次单击“确定”按钮（因为每个账户的配置文件都是在第一次登录的时候才创建的，因此在进行该操作之前，首先要使用Test账户登录至少一次，以便让Windows为其创建配置文件）。

经过这样的操作，当我们再次使用Test账户登录时，就可以看到指定好的全套桌面环境。

窍门 如何将用户账户恢复为初始状态

说到配置文件，还有一个有关账户删除的问题需要注意。如果我们需要删除某个不再需要的账户，那么在处理该账户的配置文件时就需要谨慎了，因为不同的操作可能导致不同的后果。

如果从控制面板的用户账户工具下删除，那么在删除的时候Windows会询问我们是否删除该账户的文件，如图1-37所示。

图1-37 在控制面板的用户账户工具中删除账户时可以选择是否保留该账户的私人文件

如果决定删除文件，那么可以单击“删除文件”按钮，否则可以单击“保留文件”按钮，这样Windows会自动将该用户的私人文件复制到当前用户的桌面上。

但如果是从计算机管理控制台的本地用户和组管理单元中删除账户，情况就不太相同了。为了保证数据的安全性，在本地用户和组管理单元中删除时，Windows根本就不询问我们，直接会保留被删除账户的所有配置文件。这听起来很正常，但有时候有可能带来新的问题。

假设我们的系统中曾经有一个叫做“Vista”的账户，后来将该账户删除了。但再后来，因为某些原因，我们又要新建一个名为“Vista”的账户。这种情况下，因为之前一个“Vista”账户的配置文件还保留着，因此新建的“Vista”账户无法使用老Vista账户的配置文件，进而Windows会将新Vista账户的配置文件夹的名称设置为类似“Vista.XXXXXX”的形式，其中“XXXXXX”是机器名的一部分，以及一串随机字符。虽然Windows本身不会被名称相似的配置文件搞混，但是对于需要手工管理配置文件的管理员，这种方式显然不够好，不仅不直观，而且手工操作配置文件的时候会感到很混乱。因此删除账户的工作最好在控制面板的用户账户工具中进行，这样可以根据需要选择是否删除账户的配置文件，同时如果一定要用本地用户和组管理单元管理账户和配置文件，最好在管理后手工处理保留的配置文件。

1.3.4 其他选项

对于Windows操作系统安装好后初步的安全问题，基本就是这样了。在本书后面的章节中我们还会重点介绍其中比较关键的一些问题，但在这之前，还有几个问题需要注意。

1.3.4.1 自动播放

在写这本书的时候，有一个病毒大出风头，那就是俗称的“U盘病毒”。这个病毒是利用Windows的自动播放功能传染和传播的。

自动播放本来是一个很好的功能，这个功能可以检测可移动存储介质的存在，以及其中保存的文件内容，并自动提供方便我们使用的选项。例如，启用自动播放功能后，如果将一张DVD影碟放入光驱，Windows检测到了DVD影碟的存在，就会打开“自动播放”对话框，里面的选项则取决于系统中安装的软件，例如通过里面的选项我们可以使用Windows自带的Windows Media Player，或者自己安装的其他兼容的播放器播放DVD影碟的内容，或者打开Windows资源管理器窗口查看光盘内容；如果将数码相机的存储卡插入读卡器，Windows的“自动播放”对话框就会提供导入图片、查看图片等选项；如果将软件的安装光盘放入光驱；Windows的“自动播放”对话框则可以提供查看光盘文件，或者运行安装程序的选项。

可以说，自动播放功能简化了我们的很多日常工作，但这也容易带来隐患，例如U盘病毒。如果我们的可移动存储介质感染了病毒，那么当我们将这种存储介质连接到计算机后，自动播放功能就会自动运行病毒，感染计算机，并感染其他没有染毒的可移动存储介质。

被U盘病毒感染的可移动存储介质的根目录下会保存一个名为“autorun.inf”的文件，该文件中则指向了一个可执行的.exe文件。而根据设计，Windows一旦检测到可移动存储介质的根目录下存在autorun.inf文件，就会自动执行该文件指定的可执行文件。因此一旦原本无毒的计算机中连接了感染病毒的存储设备，很可能我们还来不及反应，自己的系统就已经被感染了。

如果系统已经中了这种病毒，请使用升级了最新病毒定义的反病毒软件查杀，详细信息请参考本书第10章 防范病毒、蠕虫和木马的相关内容。下面我们会介绍一下怎样预防这类病毒感染计算机。

对于Windows XP，因为Windows XP本身对自动播放功能的设置有限，因此为了安全起见我们最好能对所有设备都禁用自动播放功能。这可以通过编辑组策略或者修改注册表等多种方式实现，但考虑到Windows XP家庭版没有组策略功能，因此本书会介绍使用微软的TweakUI软件进行调整，因为这个软件是微软免费提供的，可以用于所有版本的Windows XP，同时不用担心直接修改注册表可能导致的任何错误。

Step 01 下载TweakUI：http://download.microsoft.com/download/f/c/a/fca6767b-9ed9-45a6-b352-839afb2a2679/TweakUiPowertoySetup.exe。注意，这个软件是Windows XP的一个附加程序，因此只能用于Windows XP，无法用于Windows Vista或其他版本的Windows。

Step 02 安装后运行该软件，从软件窗口左侧的树形图中定位到“My Computer-AutpPlay”，在这里我们可以针对Windows XP的自动播放功能进行设置。

Step 03 如果希望针对盘符进行设置，例如只禁用“F”盘或“G”盘的自动播放，请进入到Drives节点下，接着可以看到如图1-38所示的界面。

图1-38 利用Tweak UI禁止特定盘符的自动播放功能

这里列出了系统中可能使用的每个盘符，我们只需要根据实际情况反选希望禁用自动播放功能的盘符，然后单击“Apply”按钮应用更改即可。

Step 04 如果希望根据设备的类型禁用自动播放，例如禁止光盘的自动播放，或者禁止可移动存储设备（U盘）的自动播放，则可以打开“Types”节点，这里列出了两个选项：

➢ Enable AutoPlay for CD and DVD drives：选中该选项可以启用对光盘的自动播放，反选可禁用。

➢ Enable AutoPlay for removable drives：选中该选项可以启用对其他可移动存储设备的自动播放，反选可禁用。

设置好后单击“Apply”按钮即可应用更改。

对于Windows Vista，那就简单多了，因为Windows Vista在这方面有很多改进。首先，就算一个可移动存储设备中包含autorun.inf文件，Windows Vista也会首先询问我们需要对设备采取怎样的操作，而不会自作主张直接运行。另外，通过控制面板中提供的选项，我们完全可以控制自动播放的所有设置。

打开控制面板，依次进入“程序→默认程序→更改自动播放设置”，随后可以看到如图1-39所示的自动播放设置界面。

图1-39 利用控制面板中的选项设置各种介质的自动播放选项

如果希望彻底禁用自动播放功能，只需要反选窗口顶部的“为所有媒体和设备使用自动播放”这一选项，当然，选中该选项可以启用自动播放。

随后，Windows Vista列出了可以支持自动播放功能的所有媒体和设备类型，每个类型或者设备都有一个对应的下拉菜单，打开该菜单可以看到当前系统对这种媒体类型或者设备可以进行的操作。具体的操作内容取决于系统中安装的软件，因此每个人看到的内容可能和图1-39中的不完全相同。

对于每种类型或设备，我们只需要在对应的下拉菜单中选择希望使用的选项即可。这里需要注意的是“软件和游戏”这种类型，因为Windows Vista还没有智能到知道我们提供的光盘或U盘中的内容是否是软件或游戏的安装文件，因此如果Windows Vista检测到介质中包含autorun.inf文件，或者其他可执行文件，那么就会将该介质识别为“软件和游戏”，而实际上这可能只是一个染毒的U盘。因此建议将“软件和游戏”这个类别设置为“每次都询问”或“不执行操作”，这样相对更加安全一些，同时其他类型的介质的自动播放不会受到影响。

“混合内容/增强型音频CD/增强型DVD电影”又是什么意思？现在有一种新型的光盘，原本只是音频CD或视频DVD，但发行商为了增加卖点，会给光盘中添加一些小功能，例如音频CD，不仅可以在一般的CD唱机中播放，而且在计算机上使用的时候还可以玩其中的游戏，或者观看MV。这种包含多种不同类型功能的介质就被叫做“混合内容/增强型内容”。本来这个功能只是为了增加产品的附加值，但有时候容易被造成滥用，例如2005年底名噪一时的新闻，SONY唱片公司给自己发行的很多音乐CD中预置了一种叫做Rootkit的软件，这类软件会在我们将CD唱片放入计算机光驱后自动运行，安装并潜伏到系统中，主要是为了防止非法复制唱片。但这种Rootkit软件比较隐蔽，无法卸载，因此SONY的这种做法引起了轩然大波。其实这种包含Rootkit的CD唱片就是一种“增强型音频CD”，那么对于这类介质该怎样设置自动播放选项，相信大家都已经很清楚了。

Step 05 设置好所有类型和设备的自动播放选项后，单击“保存”按钮可以保存更改，或者单击“重置所有默认值”按钮可以将所有选项恢复为默认设置。

1.3.4.2 Syskey

我们介绍了怎样使用软件对Windows系统进行脱机攻击，破解本地账户的密码。那么怎样预防这类攻击？对于Windows Vista企业版和旗舰版，我们可以使用BitLocker（关于该功能的详细信息，请参考本书第13章BitLocker），那么如果用的Windows Vista是其他版本，或者还在使用Windows XP，有什么好办法吗？难道只能将计算机锁进保险柜？

还是让我们再来回忆一下Windows操作系统保存用户登录信息的方式，以及脱机破解密码软件的工作原理吧。在单机或工作组环境下，每个本地账户的登录信息（用户名和密码）都是加密保存在SAM文件中的，而winlogon进程会将我们在欢迎屏幕或者Windows登录对话框上输入的用户名和密码与SAM数据库中的信息进行比对，如果能找到匹配的项目，就认为用户提供的登录信息是有效的，允许登录；如果找不到匹配的信息，则会拒绝登录。

而脱机破解密码的软件正是利用了这一点，在Windows没有运行的情况下访问SAM数据库文件，并根据一些复杂的算法强行进行破解。那么我们可以考虑，如果将SAM文件进行再次加密，并将解密所需的信息保存在计算机以外的地方，是否就可以防范这种脱机破解呢？答案是肯定的。

这里要用到syskey.exe，这是Windows系统自带的一个工具。启用该功能后，SAM数据库会被再次加密，同时加密后的信息会被保存到软盘上。这样我们需要使用计算机的时候，就必须提供这张保存了机密信息的软盘，这样Windows才可以利用软盘中的信息解密SAM数据库，并接受登录。如果无法提供软盘，SAM数据库依然处于加密状态，自然也就无法进行登录了。

Syskey.exe可以用于Windows 2000/XP/2003/Vista系统，同时在所有这些系统中的操作方式都是一样的。因此下文会以Windows Vista为例进行介绍。

在继续操作之前，请确定：计算机上装有软驱，并且手头有空白的，被格式化过的软盘。很令人费解，现在配备软驱的计算机已经很少了，毕竟软盘的容量小，速度慢，可靠性还差，但这里只能使用软盘。为了避免软盘损坏后无法使用系统，在创建好这张“密钥盘”后，建议直接将其中的文件复制到别的软盘中，进行备份，这样一张软盘损坏了还可以使用其他软盘应急。同时请注意，一定要将密钥盘和密钥盘的备份保存在安全的地方。另外，该功能一旦启用就无法禁用，除非重装操作系统或者进行系统还原。

Step 01 打开“开始”菜单，在Windows Vista的“开始”菜单搜索框中输入“syskey”并回车，即可打开该程序（对于Windows XP，则需要在“开始”菜单上单击“运行”，打开“运行”对话框，输入该命令，并按下回车键）。

Step 02 在随后出现的“保证Windows账户数据库的安全”对话框上，确保已经选中了“启用加密”选项，然后单击“更新”按钮，随后可以看到如图1-40所示的界面。

图1-40 使用syskey程序进一步保证系统安全

Step 03 其实syskey程序有两种工作方式，该程序可以让我们自己指定解密SAM所需的密码，这样以后每次启动系统的时候只要输入该密码即可继续；或者我们可以让系统自动生成一个密码，并将解密信息保存在本机或者软盘上，而如果保存在软盘上，那么每次启动系统的时候都需要插入这张软盘。这里我们选择将启动密钥保存在软盘上，因此首先选中“系统产生的密码”，然后选择“在软盘上保存启动密钥”选项，随后单击“确定”按钮。

Step 04 随后系统会要我们在软驱中插入一张用于保存启动密钥的软盘，并单击“确定”按钮，当提示操作成功后单击“确定”按钮，如图1-41所示。

图1-41 Syskey要求提供密钥盘

让我们看看这张软盘可以怎样保护我们吧。将软盘从软驱中拿出来，然后重新启动系统。当系统开始引导，加载后台服务之前，首先就会要求我们提供密钥盘或者输入启动密码，如图1-42所示。

图1-42 Syskey要求提供启动密码

如果不能提供密钥盘或者输入启动密码，那么Windows连启动过程都无法顺利完成。同时因为这一步需要在加载后台服务之前进行，因此这时操作系统的任何功能（包括后台服务，例如文件服务、Web服务等）都无法顺利使用。

因为启用Syskey后无法禁用，因此如果日后不再需要如此高的安全性，这时可以考虑将启动密钥保存在硬盘上，这样Syskey依然处于启用状态，但是至少不要求我们在系统启动的时候提供密钥了。切换Syskey工作方式的方法很简单，正常启动系统，并使用管理员账户登录，运行Syskey，在图1-40所示的界面上选中“启用加密”，单击“更新”按钮，然后选中“系统产生的密码”，选择“在本机上保存启动密钥”选项即可。

1.3.4.3 安全中心

对于一般用户，可能很难判断出自己系统当前是否是安全的。因为有太多因素会影响系统的安全性，例如是否安装了反病毒软件，反病毒软件的实时监控功能是否被启用，病毒定义是否被更新到最新，是否安装了网络防火墙，网络防火墙是否被启用，系统的安全设置是否存在问题等。

若是以前，我们必须打开多个程序，并查看大量选项的设置才能了解系统的整体安全性，不仅麻烦，而且容易造成遗漏。自从Windows XP SP2开始，微软给Windows中增加了一个叫做“Windows安全中心”的功能，这是一个后台运行的服务，会密切监控系统中和安全有关的程序和设置，一旦发现有威胁到安全的事件，就会立刻发出警报提醒我们注意，并提供相应的解决方法。

因为Windows XP SP2和Windows Vista都带有安全中心功能，因此下文主要以Windows Vista中的安全中心为例进行介绍。在Windows XP中，安全中心的功能不如Windows Vista的全面。

注意 Windows安全中心功能并不是安全软件

很多人认为，如果有Windows安全中心的存在，那是否意味着安全问题可以交给它，而我们不用安装和设置其他安全软件。其实这是完全错误的。Windows安全中心只是一个监控程序，它可以监控系统的安全状态，并在需要的时候发出警报提醒我们注意，而它并没有任何安全防范功能。例如，如果系统中存在病毒，我们还是需要依靠反病毒软件查杀，Windows安全中心只能告诉我们系统中是否安装了反病毒软件。

全新安装好Windows后，可能很快就会看到安全中心警报，因为它会提醒我们系统中没有安装反病毒软件（如图1-43所示）。按照提示装好反病毒软件后，安全中心程序就开始在后台默默地工作了。很多人可能觉得，如果我的系统已经完全满足安全中心的要求，需要的软件都装了，需要的设置也都设置好了，那以后是否可以禁用该功能，以节约系统资源。在这里，笔者的建议是，尽量不要这样做。因为有时候可能会有恶意软件修改我们的系统设置，让原本安全的系统变得不够安全。这时候，正常情况下反病毒软件是需要干预的，然而一旦发生漏报，就会直接危害到系统安全。这时如果启用了安全中心，安全中心会立刻提醒我们系统的安全设置发生了改变；然而如果禁用了安全中心，我们可能就会在很长一段时间内在毫无知觉的情况下进行在线交易或者网上支付等活动，危险不言而喻。

图1-43 Windows Vista的安全中心警报

双击桌面右下角通知区域内的安全中心图标后，可以看到图1-44所示的界面，这里分了好几个类别提醒我们当前的系统安全状态。而一旦某个类别不够安全，那么安全中心还会提供相应的选项。例如，如果没有安装反病毒软件，那么安全中心就会提供获取这些软件的方法；如果反病毒软件被禁用，直接单击安全中心提供的按钮就可以将反病毒软件启用，或者对其进行更新。

图1-44 Windows安全中心的主界面

首先，在Windows安全中心中，和安全有关的类别有：

➢ 防火墙 默认情况下，该项目会检测Windows防火墙的状态，看该防火墙是否启用，如果被禁用，则提供启用Windows防火墙的选项。如果系统中安装了其他第三方网络防火墙软件，并且支持安全中心所用的WIM标准，那么从这里就可以监控安装的其他防火墙。有关Windows防火墙的详细信息请参考本书第8章 网络防火墙。

➢ 自动更新 这里可以检测Windows的自动更新功能是否启用，以及是否使用了推荐的设置。如果没有启用，或者没有使用推荐设置，那么这里会用不同的颜色进行区别。有关自动更新，以及Windows Update的详细信息请参考本书第4章“补丁和更新”。

➢ 恶意软件保护 这部分内容包括反病毒软件，以及反间谍软件（Windows XP的安全中心不提供对反间谍软件的监控），Windows Vista已经自带一个叫做Windows Defender的反间谍软件，但不包含反病毒软件，因此系统安装好后，安全中心会立刻提醒我们。同时，如果这两类软件虽然安装，但没有被启用；或者定义文件过期，安全中心都可以为我们发出警报。有关反病毒软件的详细信息，请参考本书第10章 防范病毒、蠕虫和木马；有关Windows Defender的详细信息请参考本书第11章防范恶意软件。

➢ 其他安全设置 这部分内容包括Internet安全设置，以及用户账户控制两方面的内容，同时这也是Windows Vista中独有的。对于Internet安全设置，主要是一些和安全性有关的选项，因为我们都知道，目前Internet Explorer的很多安全性设置都有可能威胁到整个系统的安全，因此在Windows Vista中，微软对Internet Explorer采取了最保守的设置，也就是说，所有设置都是以确保安全为前提的。那么这可能影响到我们正常的网页浏览，有时候我们可能会调整某些选项，但如果不了解每个选项的具体作用，可能会无意中更改了重要的安全设置，导致系统变得不够安全。这时候安全中心就会发出警报，提醒我们注意，并提供修复问题的方法（有关Internet Explorer安全选项的相关内容请参考本书第9.1节“安全浏览网页”中的内容）。用户账户控制也是同样的方式，会检测用户账户控制功能的状态和设置，一旦检测到该功能被禁用或者被设置得不够安全，就会发出警报，并提供解决方法（有关用户账户控制的详细信息请参考本书第2.2节“用户账户控制（UAC）”的相关内容）。

除了这4个分类外，安全中心还会用不同的颜色标示出每类内容不同的状态，我们可以看到的状态包括：

➢ 绿色 表示该类别的状态完全正常，系统安全有保障，可以放心使用。

➢ 黄色 表示该类别的状态异常，系统安全可能存在问题，需要注意。

➢ 红色 表示该类别的状态完全不正常，系统安全存在严重的问题，需要立刻解决。

对于缺少的软件，例如缺少网络防火墙、反病毒软件或者反间谍软件，只要安装了支持WIM的这类软件，然后重新启动系统，安全中心就可以识别出新安装的软件，并更新相应类别的状态。但如果自己不知道有哪些软件是兼容Windows Vista的，例如还没有安装反病毒软件，希望使用一个微软推荐的软件，则可以单击相应类别（例如，反病毒软件对应的“恶意软件保护”类别），然后单击“查找程序”按钮，这样系统会自动调用Internet Explorer浏览器访问微软网站上的相关页面，在那里我们可以看到微软推荐的所有软件，并下载和试用。

对于错误的设置，安全中心则会在对应的类别下提供一个“还原设置”按钮，只要单击这个按钮，不用知道具体有哪些设置需要改变，安全中心会自动将不安全的设置修改为推荐的，安全的设置。

这里可能还存在另一种情况，已经安装了反病毒软件，但安全中心无法检测到该软件的存在，依然报告说没有安装反病毒软件，这时候则可以单击对应类别下的“显示可用选项”链接，随后可以看到如图1-45所示的对话框。

图1-45 相关类别的安全选项

在这里提供了两个选项，其实作用基本类似。以图1-45为例，如果单击“我有一个自己监视的防病毒程序”选项，那么Windows会知道，当前系统中已经安装了反病毒软件，只不过安全中心没有检测出来，因此这种情况下有关反病毒的安全问题安全中心将不再负责。如果选择“不监视我的防病毒软件状态”选项，则表示系统中没有安装反病毒软件，并且不希望安全中心继续报告有关反病毒软件的问题。

另外，我们还可能存在另外一种情况，为了满足使用上的特殊需要，我们可能需要使用一些不够安全的设置。例如，确实需要禁用用户账户控制功能（虽然强烈不推荐这样做），或者确实需要使用不够安全的Internet Explorer设置，但安全中心总会频繁地告诉我们这样做不够安全，显得有些烦人。

这时候我们可以告诉安全中心，自己需要它监视哪些类别的安全问题，同时忽略哪些类别的安全问题。方法很简单，只要单击安全中心主窗口左侧的“更改安全中心通知我的方法”链接，随后可以看到如图1-46所示的界面。

图1-46 安全中心的通知方式

在这里可以根据实际需要进行选择，例如，如果不希望安全中心频繁通知我们已经知道的安全问题，可以选择“不通知我，但显示图标”，这样安全中心将不再使用气泡图标通知安全问题，但会在系统通知区域显示一个盾牌图标；如果连这个盾牌图标都不愿意看到，则可以选择“不通知我，且不显示该图标”选项。当然，一般情况下，如果没有特殊需要，建议选择“是，通知我并显示图标”选项，这样我们才能在第一时间注意到发现的安全问题。

最后，在安全中心主窗口的左侧，还有4个链接，单击后可以直接打开Windows Update、Windows防火墙、Windows Defender，以及Internet选项这4个类别的设置界面。