电脑系统用户管理安全级别设置_电脑系统用户管理安全级别设置在哪里

2024-05-21 10:00:35

　在具体地谈电脑安全前，针对人们一些重大误解，我必须先申明一些观念:

－只有使用者自己的知识和意识才是唯一可保证电脑安全的因素，别的什么都不行

－安全防护软件只能对付陈旧而常见的病毒、木马和很菜的黑客

－傻瓜化地使用防火墙，实际效果还不如干脆不用

－绝大多数所谓的“漏洞”其实就是所谓的“系统默认”配置本身

－实时监控软件是最容易造成冲突的软件之一

－实时监控软件大幅度占用CPU时间，对专业人员损害远大于不良软件

－防护软件必须有，但选择哪个其实关系并不大

－除了电脑维护人员和防护软件开发者，没人该了解具体病毒

－多于一人登录过的电脑，理论上根本没有安全性可言

－只有逐步学习可以获得安全，依赖防护软件只能获得有限心理安慰

以上能理解多少算多少，不再详细述。下面进入正题，谈谈怎样设置你的Windows系统。当然，为方便起见，假定你面对的是一台已经或可能被侵染的机器，或者是刚安装系统的机器，你要做的是尽量用省事省时的办法让它变得安全或干净。

大致的步骤是（请严格按顺序执行，上一步必须完全成功才继续下一步）：

１、设置硬件或CMOS；

２、拔掉所有网线，“干净”引导机器；

３、清理“进程”；

４、清理“服务”；

５、关闭Windows的“自动播放”功能；

６、彻底删除不良程序；

７、清理自动运行项；

８、修改电脑的本地设置；

９、修改Internet选项；

１０、手工配置防火墙；

１１、管理Windows登录账号；

１２、重新启动，若正常则插上网线上网；

１３、更改网上账号的密码，或者使用密码保护。

以上是针对Windows XP的，对Win98有很大不同，对Win2000也有些区别，请自己研究，这里不讨论。上面步骤详细说明如下：

１、设置硬件或CMOS

为防护主板的ROM　BIOS遭侵染，有跳线的平时要把跳线设为禁止擦写，没跳线的（当然厂商弱智）在CMOS里设置禁写BIOS。

最好在CMOS中设置让硬盘成为你的唯一引导盘——防止启动时偶然受害。

２、拔掉网线，“干净”引导机器

除非自己有绝对的把握电脑上的数据不怕来自网络的侵害（当然自己的能力也要足够），否则不推荐带病毒（或木马）上网清理。比如，黑客可能正在破坏的有重要数据的电脑绝对不能上网清理。

从物理上断开一切网络的必要性是，一些不良程序的确通过局域网自动传播，Internet、局域内都有存在黑客的可能，被外部控制的机器不能保证本地操作最终有效。

如果是新装而非受侵染的系统，或者如果能直接跳到第３步能一直走完第６步而把不良程序成功清除的话，你可以直接去重启动机器去这样做；否则本步骤还没完——一些不良程序是通过侵染系统关键模块来自动加载，这样的程序不能在系统处于活动状态时被动被清理出内存。如果这样，你必须用其他干净操作系统处理你的硬盘。

“用其他干净系统”说起来简单，但非专业人员往往很难做到，经常是简单几下操作下来，系统立即就“不干净”了。其实关键是不要导致运行染毒盘上的任何程序——你要注意的操作，也要预先设置该“其他干净系统”，使它不要自动去加载程序，比如，“自动播放”功能必须禁止——最好在该系统下能访问你的受侵染硬盘前设置（两系统在同一硬盘则只能碰运气了）。

所谓的“干净系统”，可以是另外一台没被侵染的机器，也可以是本硬盘其他系统（但必须保证硬盘没有被跨系统侵染——这仅仅取决于病毒自己想怎么做）。

还应该保证，这“干净的系统”必须能访问你染毒硬盘的所有需要处理的部分。假如“干净的系统”是Win98，而染毒硬盘含有NTFS格式的逻辑盘或存在超大分区就不行，你另外的机器主板不支持染毒硬盘新的硬件接口或超大容量也不行，甚至你有第二台机器但不会拆装硬盘也是问题……。

对需要其他“干净系统”引导才能处理的硬盘，是无法清理被侵染系统的进程和服务的（即３、４步，那些不良程序未在新系统下运行，旧系统配置数据也很难在新系统下直接访问），似乎第３、４步可以不做了。但事实并非如此。其实可以先启动受侵染系统，在第３、４步里不清理进程，但搜集和记录足够多的不良程序位置信息，再引导到“干净系统”下，依次做第５步，第６步，再用原系统引导，重新从第３步做起（已经在另外系统下做过，重做是为排除没清理干净的可能）。

即使是不需要其他“干净系统”，对受侵染系统的处理，一般也以用安全模式启动为好——系统自动加载的东西越少越容易清理。

一、管理员根据需要可以选择不同的控制级别

在Windows7中，将这个控制级别分为四个级别。最高的级别是“始终通知我”，即用户安装应用软件或者对应用软件进行升级、应用软件在用户知情或者不知情的情况下对操作系统进行更改、修改Windows设置等等，都会向系统管理员汇报。

第二个级别为“仅在应用程序试图尝试改变计算机时”通知系统管理员。这个级别是操作系统的默认控制级别。他与第一个级别的主要差异就在于改变Windows设置时不会通知系统管理员。在这个级别下，即使操作系统上有恶意程序在运行，也不会给操作系统造成多大的负面影响。因为其恶意程序不能够在系统管理员不知情的情况下修改系统的配置，如更改注册表、更改IE浏览器的默认页面、更改服务启动列表等等。为此对于大部分用户来说，特别是企业用户来说，这个安全级别已经够用。级别太高的话，就太过于死板了。可能系统管理员要不断的为此奔忙了。

第三个级别与第四个级别其安全性逐渐降低，最后到所有都不通知为止。其实这个控制级别跟原先IE浏览器的控制级别类似，都是微软自定义的控制级别。作为系统管理员需要了解各个级别控制的具体内容，然后根据企业的实际情况，来设置安全级别。通常来说，安全级别越高，操作系统越安全。但是系统管理员可能需要抽出更多的时间来应对用户的抱怨。因为可能用户对操作系统任何的更改都需要告知系统管理员。鱼与熊掌不可兼得，系统管理员需要在安全与便利性上取得一个均衡。

二、用户权利不够如何通知系统管理员

不知道各位读者有没有用过微软或者其他公司的工作流产品?其实微软在这个问题的处理上就是借鉴了工作流得处理方法。当用户试图更改某个设置或者安全某个应用程序，当其权限不够时，系统就会向管理者发送一个请求。当系统管理员下次登陆系统时就会看到一个对话框。在对话框中显示了用户需要更改的设置或者要安装的应用程序。系统管理员要仔细查看这些信息，以判断是否会破坏系统的稳定性。然后可以通过这个对话框告诉操作系统，允许或者拒绝用户的更改操作。最后，系统会把系统管理员的这个决定反馈给用户。用户就可以继续后续的操作了。如果系统管理员同意的话，就可以安装应用程序或者更改操走系统的配置。显然，这个流程的话大家非常的熟悉。不错，这就是一个工作流处理流程。在Windows7操作系统中，很多地方都可以看到这个工作流的身影。这也是Windows7操作系统人性化的体现。

三、关掉UAC控制

如果用户不喜欢这个先进的东西，而是喜欢Window的控制方案，这也是可以的。系统管理员只需要将这个级别调到第四个级别，即关掉UAC控制。此时，跟以前的操作系统版本一样，任何的改变不会告知系统管理员。如当用户以管理员的身份登陆到操作系统中，则应用程序对操作系统所作的任何更改都将不会提醒管理员，而是直接应用了相关的更改。可见，此时如果是一些恶意的程序在进行更改，则会在神不知鬼不觉的情况下，更改了系统的某些设置，如网页、注册表等等。如果用户是以普通标准用户登录操作系统的，如果其所作的操作，包括安装或者升级应用程序、更改操作系统配置等等，只要其没有相关的权限，则操作系统就会直接拒绝掉。也就是，不会采用工作流的形式去通知管理员。如果用户确实有这个需要的话，只有口头去通知，并让系统管理员调整相关的权限。当系统管理员将这个UAC控制从高级别调到这第四个级别，必须重新启动后这个控制级别才会生效。

当系统管理员关闭这个UAC的话，就必须要小心各种应用程序可能对操作系统所造成的破坏，因为应用程序只要以管理员帐户运行，则其就可以访问或者修改那些受保护的区域、用户的私人数据等等。也就是说，其应用程序的权限就跟系统管理员的权限相同。另外一些恶意程序也可以在系统管理员不知情的情况下跟网络中的其他电脑、甚至互联网上的主机进行通信与数据传输，以达到破坏的作用。