什么样的客人帐户存在？为什么禁用来宾帐户？

存在哪种来宾帐户？在Windows系统中，一直有一个长期存在的帐户，——Guest帐户，它的权限小到可以限制打开任何软件，大到可以直接删除系统文件。但是为什么要禁用本身就存在的Guest帐户呢？

　　Guest账户是什么样的存在？

　　客人最初的意思是“客人”、“旅行者”和“访客”。在计算机中，Guest指的是允许来宾访问计算机系统的帐户。也可以称之为“客帐”。与“管理员”和“用户”有本质区别的是，该帐户通常没有修改系统设置和安装程序的权利，也没有创建和修改任何文档的权利。它只能读取计算机系统信息和文件。

在　　,如果专业人士在用户不知情的情况下取得了Gues帐户的权限，并且超越了管理员的权限，他们可以在用户的计算机上做他们想做的任何事情。因此，在Windows系统中，Gues帐户被认为是不安全的授权帐户。

　　为什么要禁用Guest帐号？

　　1、权限设置带来的安全访问和故障

很多情况下，管理员要担心远程网络访问带来的风险因素，普通用户往往会被IE浏览器安全漏洞下载的新漏洞攻击或Web木马弄得筋疲力尽。事实上，合理使用NTFS格式分区和权限设置的组合，足以让我们抵御大多数病毒和黑客。

首先要尽量避免平时使用管理员账号登录系统，这样会让IE带来的一些病毒木马因为得不到相关权限而无法感染。但是国内很多电脑用户并没有意识到这一点，或者没有接触过相关概念，所以大部分系统都是在管理员账号下运行，这就为病毒传播提供了很好的环境。如果用户因某些工作需要必须以管理员身份操作系统，请降低IE的运行权限。实验证明，IE的每一级用户权限都降低了，漏洞感染的概率也相应降低了一级，因为有些病毒无法在Users组等权限级别修改系统环境。降低IE运行权限的方法有很多，最简单的就是用微软自己的产品“Drop MyRights”来调整程序的运行权限。

对于管理员来说，设置服务器的访问权限是他们关注的焦点。此时，IIS必须设置NTFS分区，因为只有NTFS具有文件访问权限的特性。然后安装IIS。在这一步之后，系统将为IIS进程建立两个来宾组帐户“IUSR_ machine name”和“IWAM_ machine name”，但这还不够。别忘了系统的特殊成员“大家”。虽然这个成员的存在是为了方便用户，但它是网络服务器最重要的“最小权限”思想(网络服务程序运行的权限越小，安全系数越高)，已经成为安全隐患。“人人”使得整个服务器的文件都可以随便访问。一旦被入侵，黑客就有机会升级自己的权限。因此，有必要从敏感文件夹的访问权限中删除麻烦的“所有人”成员。要实现这一步，只需运行“cacls.exe目录名/R ' everybody/E”。敏感文件夹包括整个系统磁盘、系统目录、用户主目录等。这是为了服务器安全专门设置的，不建议一般用户按照葫芦画，因为这样设置“最低权限”后，可能会影响一些日常使用的程序。

虽然权限设置会给安全带来一定的好处，但有时也会带来麻烦.“共享”是最常用的网络远程文件访问功能，但也是最容易出现问题的。很多用户在使用了一些优化工具后，发现文件共享功能突然失效，或者无论如何都无法成功共享文件，这也是很多网络管理员不得不面对的棘手问题。如果你没有遇到它。

(1)禁止相应的服务。文件共享功能依赖于这四种服务：计算机浏览器、TCP/IP NetBIOS助手服务、服务器和工作站。如果其中一个被禁用，文件共享功能就会出现各种奇怪的问题，比如被电脑名称无法访问，甚至完全无法访问。

(2)来宾，内置来宾帐户组的成员，未启用。文件共享功能需要使用来宾权限来访问网络资源。

(3) Guest，内置Guest帐户组的成员，禁止从网络访问。这个问题在XP系统中比较常见，因为它在组策略(gpedit.msc)-计算机配置-Windows设置-安全设置-本地策略-用户权限分配-拒绝网络访问中添加了Guest帐户，删除它就可以真正启用Guest的远程访问权限。

(4)匿名访问权受到限制。默认情况下，组策略(gpedit.msc)-计算机配置-窗口设置-安全设置-本地策略-安全选项-对匿名连接的附加限制设置应为“无”。根据默认权限”或“不允许枚举SAM帐户和共享”，如果一个工具足够智能，可以帮助您将其设置为“没有明确的匿名权限，禁止访问”，那么我可以非常负责任地告诉您，您的共享已经完成。

(5)意外的系统权限分配。默认情况下，系统会为共享目录分配一个“所有人”帐户访问权限。但是实际上还是需要使用Guest成员来完成访问工作，但是有时候大家都忘记了Guest的存在，这就意味着我们需要手动在共享目录中添加一个Guest账号来完成远程访问。

(6)NTFS权限限制。一些刚接触NTFS的用户或新手管理员经常会犯这个错误。在消除以上所有问题的前提下，他们仍然无法实现文件共享。他们就是不知道看这个目录的“安全”标签，设置“所有人”对应的权限，在里面添加一个Guest权限。如果他们会说话，他们可能会对着说话的人大喊：嘿，看这里！哟嗬！

(7)系统设置本身的问题。如果以上方法都无效，可以考虑重新安装一个系统。不要笑。有些用户遇到过这种问题。重新安装后，什么都没动，但一切正常。这可能是因为一些系统文件被新安装的工具替换后，已经失去了文件共享的功能。

权威带来的好处是显而易见的，但有时我们不得不面对它给我们带来的麻烦。我们没办法。凡事都有两面性。毕竟，正是因为有了这道栅栏，用户的安全才有了保障。

　　2、突破系统权限

距离上次被狼袭击已经一个多月了，羊们也渐渐忘记了恐惧。一天晚上，一只羊看到一个栅栏，因为下雨，它被浸泡在一点软和低中，就跳了出来。不幸的是，这只羊跳出后不久就遇到了一只饿狼。骨头不仅消失了，还给狼群带来了一个信息：栅栏有弱点，可以突破！

几天后的深夜，狼群在泥泞的地面上寻找栅栏，将栅栏挖松后走了进去，再次将羊群洗劫一空。

虽然权限将我们绑定在不同的范围内，但这些约束并不是独立的，它们都依赖于相同的指令来完成工作，这为入侵者提供了“调整令牌权限”的基础。

所谓“特权提升”，是指入侵者利用各种SYSTEM漏洞和手段，像羊或狼一样，找到“栅栏”的薄弱环节，突破系统赋予的特权等级，从而多级甚至管理员级别提升自己当前特权的方法。权限提升成功的前提是管理员犯了错误(比如没有按照“最小权限”的思路配置服务器)或者行业出现了新的溢出漏洞(比如LSASS溢出)

因此，综上所述，无论存在什么样的Guest账户，都不能轻易启用。如果长时间禁用，用户也可以直接删除Guest帐户。