就地取材,用好系统组件保安全

愚人 《电脑爱好者》2016年第16期 2017-02-17 09:58专题 标签:系统组件

对于宿舍电脑,由于经常放置在宿舍公共区域,很多时候其他舍友会使用我们的电脑,而且还需要开启共享。那么如何在不伤面子方便共享的前提下保护系统安全?

安全从头开始,人为制造启动故障

由于每个朋友的电脑配置不同,在日常使用中总会有其他舍友借用我们的电脑。借用电脑就经常要告诉他们登录密码,因此对于宿舍电脑来说再强健的密码也没有多大保密效果。如何更好保护自己电脑,又不伤害彼此感情?大家知道,现在主板大多支持BIOS/UEFI双启动,因此我们可以手动破坏其中启动方式,人为造成电脑系统损坏,从而“合理”不让舍友们用我们的电脑。这里以原来UEFI启动电脑,添加BIOS启动,同时设置UEFI为默认启动为例。

小提示:

人为破坏系统启动有很大风险,可能会造成无法启动故障,所以是否尝试这一技巧,请务务必慎重衡量。另外,操作之前请确保自己主板支持BIOS/UEFI,并且测试两种方式都可以成功启动系统后再执行破坏操作。还有就是在尝试之前,一定要对电脑中的数据做好充分的备份工作。

首先同上使用Diskpart命令行加载系统的ESP分区,打开ESP分区后将“\EFI\microsoft\boot”目录复制到“C:\”,“\boot\boot.sdi”复制到“C\boot”备用,接着启动bootice.exe,同上打开“C:\boot\bcd”,然后将其中启动文件由\windows\system32\boot\winload.efi更改为\windows\system32\boot\winload.exe,重启后选择BIOS启动看看能否成功启动(图1)。

201616bdaq01

图1 修改启动文件

确认可以成功启动后,同上再次进入ESP分区,将其中的“\EFI\boot\bootx64.efi”(有的电脑名称可能是bootmgrfw.efi)更改为“bootx65.efi”,这样默认UEFI启动就找不到启动文件了(图2)。

201616bdaq02

图2 更改UEFI启动文件

重启进入BIOS设定,在启动项设置里找到启动顺序调整项目,然后将UEFI启动顺序调整为第一启动,为了更有效果,有些电脑主板还可以设置为“仅UEFI启动”(图3)。

201616bdaq03

图3 调整UEFI启动为第一启动

这样以后自己电脑不想给其他朋友使用的时候,只要执行上述操作后自己的电脑就无法启动了,这下拒绝理由就充分了。如果自己需要使用,只要重新进入BIOS将传统启动设置为第一启动即可,如果要恢复UEFI,则恢复“\EFI\boot\bootx64.efi”原来名称。

共享有道,权限设置保安全

上述方法虽然可以拒绝室友使用我们的电脑,但是很多时候舍友确实是需要用我们的电脑,如果无法拒绝则可以在本机设置一个供他人专用的账户。不过为了自己电脑的安全,我们需要为账户设置好权限,防止电脑在给他人使用时造成泄密。

首先新建一个标准账户,假设名称为cfan。接着启动组策略编辑器,依次展开“计算机配置→Windows设置→安全设置→本地策略→用户权限分配”,根据自己的实际情况设置账户权限,比如默认Users组用户可以通过网络访问计算机,如果不想让这个用户登录电脑时可以通过网络访问计算机,则打开右侧窗格的“从网络访问计算机”,将其中的Everyone和Users组删除即可(图4)。

201616bdaq04

图4 指派用户权利

同时使用权限保护电脑上敏感资料,比如不让cfan有访问“F:\电影”的权限,则打开上述目录的权限设置窗口后,将cfan账户添加到“组和用户列表”,并勾选其“拒绝”权限即可(图5)。

201616bdaq05

图5 使用权限阻止用户访问目录

安全为上,重要资料要加“锁”

权限设置只是阻止账户访问目录,对于允许访问的目录,如果要更好地保护文件不被使用电脑的人误删除,我们还可以参照系统设置,将特定目录设置为只有系统内置TrustedInstaller可以访问的目录,这样可以更有效地保护系统安全。

假设需要对“C:\资料”制作保护,打开上述目录权限属性窗口后点击“高级→更改”,在打开的窗口中将目录所有者更改为“NT service\TrustedInstaller”账户(图6)。

201616bdaq06

图6 添加账户

接着返回高级属性窗口,去除禁止继承权限,然后依次将Administrators组、Users组用户对该目录读取权限设置为“读取和执行”, TrustedInstaller用户则为“完全控制”(图7)。

201616bdaq07

图7 更改文件所有者

这样通过上述设置后,“C:\资料”目录就类似于受系统保护的目录,默认用户无法复制文件到该目录,用户也没有权限删除其中的文件(但是可以读取),可以很好保护文件的安全(图8)。

201616bdaq08

图8 文件保护效果

当然如果自己需要完全控制该目录,具体操作和系统目录一样,需要先更改目录所有者为当前管理员账户,并赋予完全控制权限才可以删除或者往其中复制文件。

资料要共享,账户巧关联

由于共享是对其他人开放访问目录,这样会带来安全隐患。如果我们不希望他人使用cfan账户登录我们的电脑后还开启共享,那么可以使用批处理实现共享目录和特定账户关联,做到共享更有个性。

假设现在希望cfan账户登录系统后关闭“F:\电影”共享,可以先使用记事本建立二个批处理,批处理1.bat代码如下:

Net share 电影 /delete

上述批处理代码作用是删除共享名为“电影”的共享,然后将它保存在“C:\Users\cfan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup”下,这样cfan账户登录后就会自动删除上述共享(图9)。

201616bdaq09

图9 保存批处理到启动目录

继续使用记事本制作批处理2.bat代码如下:

net share 电影=f:\电影

批处理代码作用是删除共享名为“电影”的共享,然后将它保存在“C:\Windows\System32\GroupPolicy\Machine\Scripts\Shutdown”。即关机脚本位置,接着启动组策略编辑器,依次展开“计算机配置→Windows设置→脚本(启动/关机)”,双击右侧“关机”,在打开的窗口中点击“浏览”选择上述保存的批处理(图10)。

201616bdaq10

图10 添加脚本

完成上述设置后,以后只要使用cfan账户登录电脑,进入桌面后就会自动删除“电影”共享,每次用户关机后则会自动开启“F:\电影”共享。这样专用账户登录后不会共享资源,下次开机后使用其他账户登录电脑则可以继续共享。