1.2 安装过程中的注意事项

就算使用集成了最新更新和补丁程序的Windows安装程序安装系统，这也不意味着装好的系统就是安全的，因为在安装过程中，我们还需要注意两个问题：Administrator账户以及网络上的威胁。另外，在安装好Windows 7之后，很多人可能会看到自己的硬盘上被建立了一个100 MB大小的隐藏分区。本节将介绍该分区的用途，以及为什么只有在某些计算机上才能看到该分区。

1.2.1 Administrator账户的问题

Windows 7也是基于Windows NT系统发展起来的，而在所有的Windows NT系统中，在管理员账户方面都有一个最显著的特征：所有的Windows NT系统都自带一个名为Administrator，且对整个系统拥有最高权限的管理员账户。因此，一旦该账户出现问题，例如没有设置密码，或者设置的密码强度不够，就容易导致他人乘虚而入，破坏我们的系统安全。

窍门 为什么不禁用Administrator账户

看到这里，可能有人会纳闷：既然Administrator账户会带来这么多问题，那为什么不直接将其禁用？毕竟我们还可以使用其他管理员账户。其实这是有原因的，虽然除了Administrator账户，系统中还可以创建其他管理员账户，但这些管理员账户和Administrator账户有所不同，主要体现在一些特殊情况下。举例来说，如果系统崩溃，已经无法启动，甚至连安全模式都无法进入，这时候可以考虑使用故障恢复控制台。然而只能使用系统自带的Administrator账户登录故障恢复控制台，其他管理员账户无法登录。

在安装过程中，这个问题主要体现在对该账户的密码设置方面，下面将介绍这个特殊的账户，同时还会讨论系统自带的Administrator账户和其他在安装系统过程中创建的账户。

注意 物理安全很重要。

很多人在系统安全方面存在一个误区，那就是：技术是万能的，靠技术可以解决一切问题。然而在安全领域（以及其他大部分领域）却并非如此。例如，前几年网上曾经盛传过一个所谓的Windows XP漏洞，具体内容是：“我们都知道，要想在Windows XP中进入故障恢复控制台，必须使用Windows XP的安装光盘引导计算机，选择修复，同时，如果要修复的是Windows XP专业版，还必须使用正确的Administrator账户的密码登录才可以使用。如果使用Windows 2000安装光盘引导安装了Windows XP的计算机，并选择修复，进入故障恢复控制台，无论是Windows XP专业版还是家庭版，完全不需要登录，就可以直接进入。”很多人认为这是一个很大的安全漏洞，但微软却一直没有修复这个问题。

在讨论这个问题之前，必须首先明白一个问题：到底什么才是安全的系统？要让自己的系统安全，是否单凭操作系统本身的功能就可以实现？其实上面就是一个很好的例子，虽然这样的“缺陷”可能导致系统不够安全，但严格说来，这种缺陷远非很多人想象的那么严重。因为如果怀有恶意的人可以使用光盘将我们的计算机引导到故障恢复控制台环境下，这也就意味着对方已经可以在物理上接触到这台计算机，而这种情况下，我们还能奢望操作系统的安全功能起什么作用呢？

举一个更形象的例子：如果我是一个黑客，想要攻击某个大型网站的服务器，让服务器的服务中断。为什么我非要费劲寻找成千上万的肉鸡对网站服务器发起拒绝服务（DDoS）攻击？或者为什么要辛苦寻找网站服务器的漏洞？直接把服务器的电源拔掉不就实现目的了吗？不管服务器运行多安全的操作系统，断电后将无法提供任何服务。事实上，重要的服务器一般都放置在保安措施很严密的机房中，同时有很多机制保证服务器在遇到各种突发问题的时候都能继续提供服务，让人拔电源就更不容易了。

因此，在这里也要提醒大家，在按照本书介绍加固操作系统安全的同时，计算机的物理安全问题依然不能忽视。大部分时候，技术都不是万能的。

在Windows 7中，Administrator账户的问题其实很明了，在所有版本的Windows 7中，Administrator账户默认情况下都是被禁用的，而且在安装过程中不需要我们为该账户设置密码。默认的设置下，就算在安全模式中也不能使用Administrator账户登录。

另外，有很重要的一点需要注意，虽然将Administrator账户启用后，可以在正常模式或者安全模式下使用该账户登录系统，但该账户在默认情况下完全不受用户账户控制功能的限制，有可能带来一定的安全隐患。因此，建议平时使用标准账户或者非Administrator的其他管理员账户。关于用户账户控制的相关内容，请参考本书2.2 节“用户账户控制（UAC）”的相关内容。

1.2.2 来自网络的威胁

在安装过程中，关于网络，只有一个问题需要注意，那就是将系统接入网络的时间。

我们都知道，系统的安装是分阶段进行的，一般情况下，在系统还没有完全安装好的时候，只要网络组件已经安装好，系统就可能已经被接入网络。那么在安装过程中，如果系统已经连通了网络，但其他安全组件尚未启动，就有可能导致隐患。

例如，前几年冲击波病毒肆虐网络的时候，笔者曾亲身经历过的一件事：当时我在给朋友的电脑安装系统，安装的是没有集成任何Service Pack的Windows XP专业版，安装系统之前忘记了将网线拔掉，而他使用了不需要拨号即可联网的小区宽带。结果在安装系统的过程中，当网络组件被安装好，安装程序还在继续后面的安装时，网络中其他中了冲击波病毒的计算机就对这台计算机发起了攻击，这直接导致系统还没有装完就因为被攻击而自动重启。

对于这个问题上，操作系统本身的一些功能可以有效地避免。例如，在Windows 7中，Windows防火墙是被默认启用的，同时在操作系统的启动过程中，一旦网络组件被成功启动，Windows防火墙的一部分就会开始生效，限制系统只能进行必要的网络活动，例如，联系DHCP服务器获取新的IP地址配置。而只有在系统完全启动好，Windows防火墙组件也全部被成功加载后，系统才可以完整地使用所有的网络功能。

虽然系统自身的一些改进已经让这个问题不再那么突出了，不过为了保险起见，在安装系统的过程中，最好能将网络断开，甚至把网线拔掉，待系统安装好，并配置好防火墙和反病毒软件之后，再将系统连接到网络。

1.2.3 隐藏分区的问题

有些人在安装好Windows 7，并运行“diskmgmt.msc”打开磁盘管理控制台后可以看到，自己的系统中存在一个100 MB的隐藏分区，并且该分区还会被Windows标注为“系统”分区（如图1-9所示）。但是有些人的系统中并没有这样的分区。这是为什么？为何要创建这样的分区？又如何让安装程序不要创建？

其实，这个分区中保存了用于启动Windows 7系统的所有引导文件，以及WinRE（Windows恢复环境）使用的必要文件。如果将其删除，或进行任何操作，都有可能导致Windows无法启动。

另外，在使用BitLocker功能对本地硬盘分区进行加密的时候，如果要加密系统盘，那么就需要准备一个独立的系统分区（100 MB大小），用于保存不能被加密的引导文件（有关BitLocker功能的详细介绍，请参考本书第12章）。在Windows Vista时代，如果需要使用这样的功能，往往需要在安装系统之前手工调整硬盘分区，或使用微软提供的一个工具软件。这样做往往很麻烦，而且容易出错。因此，某些情况下，在Windows 7中安装程序可以自动创建这样的隐藏分区。

那么什么情况才能创建？其实主要需要满足两个条件：使用介质引导计算机，并进行安装时。这里的介质可以是光盘，或者经过上文介绍的步骤处理过的U盘，甚至可以是网络引导。但一定需要使用介质引导计算机，如果是在老版本Windows运行的过程中从介质上运行安装程序，是无法创建的。

另外，在安装过程中选择安装位置时，必须选中“未分配”的磁盘空间，而不能选择一个已经创建好的分区。在安装过程中，我们可以看到如图1-10所示的界面，在这里可以选择安装Windows 7的目标分区。

如果硬盘上已经建立了分区，即使在这里将该分区格式化并安装，安装程序也无法创建隐藏分区。只有选择“未分配空间”，安装程序才能创建两个分区，其中一个是100 MB的隐藏分区，用于保存引导文件；另一个则会使用所有剩余的未分配空间，用于保存Windows系统文件。

因此，如果是在已经安装有操作系统的计算机上全新安装Windows 7，并且希望创建这样的隐藏分区，此时可以首选原系统盘（通常是C盘），然后单击“驱动器选项（高级）”链接，利用安装程序提供的选项将该分区删除（这里必须要“删除”，而不能“格式化”），这样即可获得一块未分配空间。