星期四, 九月 20, 2007

安全技巧系列之如何强制用户关机或离线

标签: ,

安全技巧系列之如何强制用户关机或离线

笔者在一篇文章《命令限制用户上网妙法一则》中指出,运用net user命令,通过实施登录限制可以控制对计算机的访问。不过大家可以看出,虽然这个方法能够限制登录,却不能强制在网络上中止联接服务器的操作。(在这里还要指出,上文中的命令应该空格的地方一定要空格,一定要使用系统中的已经存在的用户名!否则命令运行会出错!这可是基本常识呵。)

从本质上讲,这意味着只要是在一个可接受的(也就是允许的)时间范围内,一个用户就能够保持登录状态,除非你用一个可靠的方法强制其关机离线并真正地强制执行你所设置的时间限制。这次,笔者将帮助你解决这个问题。

为什么不能确定用户关机离线的时间?

微软已经承认,用户不能通过AT…shutdown.exe命令确定一个基于Windows XP计算机的关机和重新启动的时间。

在其执行关机操作之前,Shutdown.exe尽力启用某些确定的权力。本地系统账户并不拥有Shutdown.exe尽力启用的权力,因此关机操作并不成功。特别是,本地系统账户并没有SeRemoteShutdownPrivilege权力,这就会启用已经预定的命令来执行。然而,我们可以用一个简单的免费软件来解决这个问题。

获取Beyond Logic Shutdown for NT/2000/XP程序

Beyond Logic Shutdown for NT/2000/XP是一个简单的实用程序,用户可以确定其运行时间,而且这个软件执行操作时无需修改用户权力。请先下载这个程序,然后将它解压到一个目录中,再执行下面的步骤:

1.单击“开始”/“运行”,键入cmd,单击“确定”。

2.转向解压文件所在的目录。

3.要查看shutdown命令的全部可用参数,可键入shutdown /?查看。

创建一个批处理文件

使用这个实用程序,我们就可以创建一个可以运行的批处理文件,以执行时间限制功能。请遵循如下的步骤:

1、单击“开始”/“运行”,输入notepad,单击“确定”。

2、打开记事本程序后,在其中输入shutdown -s -f –l -t 30 -c “时间限制功能将在30秒钟后强迫你关机,请保存你的工作。”

在这里,-l 表示注销当前用户,这是默认设置。-s 表示关闭本地计算机。-f 强制运行要关闭的应用程序。 -t 30 将用于系统关闭的定时器设置为30秒。-c“…” 指定将在“系统关闭”窗口中的“消息”区域显示的消息。最多可以使用 127 个字符。注意引号中必须包含消息。

3、单击“文件”/“保存”,将此文件命名为shutpc.bat,并将它与Beyond实用程序放到同一目录。

通过这个命令,我们可以强制性地使机器关闭,强制应用程序在关机时关闭,防止用户取消这个命令,显示一个消息窗口通知用户所发生的事情,并给用户30秒的时间来保存所有的工作。

下一步,我们将使用内置的调度程序-即任务计划,确定这个批处理文件的运行时间。请执行如下的步骤:

1.单击“开始”/“设置”/“控制面板”,在弹出的菜单中选择“任务计划”/“添加任务计划”。如图1



2.单击“下一步”,浏览找到你刚创建的shutpc.bat文件,并双击这个文件。如图2、3





3、用户可以修改这个任务的名字,然后选择“每天”,单击“下一步”。如图4



4、设置你想强制其关机离线的时间,并单击“下一步”。如图5



5、为将要运行这个任务的账户(当然只有超级用户可以设置)创建口令,单击下一步。如图6



6、在对话框中,选中“在单击‘完成’时,打开此任务的高级属性(A)。”,单击“完成”。如图7



7、在新的对话框中,单击“设置”选项卡,取消选择“电源管理”中的复选框。如图8



8、单击“确定”,全部搞定。

结束语

限制登录时间对于我们管理小型网络安全是一个很有用的工具,不过必须具备在用户的使用时间到了之后可以强制其关机的能力。Beyond这个实用程序可以帮助我们达成此目的。

打击非法用户登录--Vista帐户锁定

出处:Vista天地

  让Vista登陆时输错n次密码后自动锁定,防止猜解密码。

  很多时候,尤其当您为Windows vista用户设置了不够“强壮”的密码时,非法用户很容易通过多次重试“猜”出用户密码而登录系统,存在很大的数据风险。  

  要避免这一情况,简单的办法便是设置帐户锁定策略。所谓Windows Vista的帐户锁定策略,简言之,即当某一用户尝试登录系统时,如果Windows Vista检测到其输入错误密码的次数达到一定阈值,比如说10次,即自动将该帐户锁定,在帐户锁定期满之前,该用户将不可使用,除非管理员手动解除锁定。其带来的最大好处便是让“猜”密码包括部分暴力破解密码的方式失去意义——当然,前提是您不至于设置了一个让人一猜即中的密码——举例来说,如果设置输入4次错误密码即触发帐户锁定并将帐户锁定时间设置为15分钟的话,那么,非法用户每小时至多只有16次尝试的机会,大大提高了系统的安全。  

  1、如何设置帐户锁定策略

  在开始菜单的搜索框输入“Secpol.msc”,打开本地安全策略编辑器;或:在开始菜单的搜索框输入“gpedit.msc”,打开组策略对象编辑器,然后依次点击“计算机设置” => “Windows设置” => “安全设置”,编辑本地安全策略;

  2、浏览至“帐户策略” => “帐户锁定策略”;

  3、双击“帐户锁定阈值”,此项设置触发用户帐户被锁定的登录尝试失败的次数。

  4、将登录尝试失败次数设置为 0 ~ 999 之间的值。(注:如果将值设置为 0,则永远不会锁定帐户。)本例中我们设置为4;

  5、Windows Vista接下来将自动为您设置帐户锁定时间与复位帐户锁定计数器的时间间隔,一般而言,我们可使用默认值,当然,您也可根据自己的需要修改;  

  6、修改完毕后退出,即可。

发帖者 查皮 时间: 8:05:00 下午

没有评论:

发表评论

订阅: 博文评论 (Atom)

推广链接