假设您不希望任何人能够登录您的 Windows 配置文件。
我喜欢在我的网络浏览器中保存密码。
但是,我不是唯一拥有域管理员帐户的人。其他人只需在 AD 中重置密码,然后他/她就可以登录我的机器。
我怎样才能防止这种情况?
是否有一些应用程序可以强制额外登录或其他一些免费解决方案?
编辑:感谢您的建议,我的意思是一般的额外安全性,而不是过多地关注网络浏览器密码。看起来加密的主目录可以解决我的问题。
AskOverflow.Dev
这听起来像是利用 EFS(加密文件系统)的好时机。强制重置帐户密码后,任何使用 EFS 加密的文件都将无法访问。
http://support.microsoft.com/kb/290260
设置您的浏览器,使其将您的个人资料存储在加密目录中,然后您就可以开始了。
如果您不能信任其他域管理员,那么他们不应该是域管理员,同样的原因,如果您不能被信任,那么您也不应该是域管理员。
如果有人要更改您的密码,这将被记录,该人找到并终止(我假设您启用了审核)。
就个人而言,我不会担心它,它可能不会发生。
如果担心它,请在这里听取其他人的建议,不要保存您的密码。如果它被保存,它最终可以被读取。
如果您在 Internet Explorer 中保存密码,则使用Protected Storage根据您的登录密码对密码进行加密。如果其他人更改您的密码,他们将一无所获。( http://support.microsoft.com/kb/290260 )
如果您使用的是备用浏览器,那么您可能需要查看该浏览器如何保护数据。例如在 Firefox 中,您可以设置主密码。
全盘加密可能是保护本地存储数据的最有效选择。
如果您不信任您的管理员同事并且担心他们会窃取您的密码,我建议您需要确保没有键盘记录程序。对他们来说,简单地加载键盘记录器会容易得多。使用硬件键盘记录器,您几乎无法检测到他们窃取您的密码。
虽然我通常同意以下评论,即如果您不能信任您的域管理员,则需要在您的环境中修复一些问题,但我可以看到一些很好的论据,可以在某些情况下提供额外的访问控制层。
无论如何,即使您只是个人偏执,我也建议您检查您的系统是否具有内置的可信平台模块,以及供应商是否为其提供驱动程序和安全套件。几乎所有的商务级 PC 现在都有一个相当强大的 TPM,它将提供安全的凭证存储等。有了一个体面的安全套件,这将使您 [A] 防御流氓管理员和 [B] 承受域密码重置的能力(与 EFS 不同)。联想在他们的客户端安全套件上有一篇很好的文章它利用 Thinkpad 上的内置 TPM 提供硬件安全的凭据存储,并使用该凭据存储来保护密码管理器和加密专用磁盘的密钥。如果您在没有 Active Directory 集成的情况下安装它,您可以使用他们的浏览器安全机制,或者简单地从受保护的磁盘运行便携式浏览器安装,您将拥有所需的额外安全层。
对于特定示例(在浏览器中保存的密码),我建议使用 Firefox 提供的主密码。它加密密码缓存。
在 KDE(和 Gnome)中,有像 Wallet 这样的工具,它们还使用单独的密码为凭据(例如,浏览器、邮件应用程序、聊天客户端等)提供安全存储。我相信这样的东西也适用于 Windows。
另一种方法是使用包含您的个人资料和文档的容器文件使用TrueCrypt加密您的主目录。
为什么有人会在不告诉您的情况下更改您的密码?这是过去发生的事情吗?
保存密码的另一个选项是使用此 UPEK 指纹读取器来记住它们。它不是免费的,但很便宜。每次您希望它登录到您保存的网站时,您都需要用手指进行身份验证。我已经使用它几个月了,没有任何问题。
请记住,指纹读取器并非不可能被破解,但它会阻止随意的黑客。