看透賬號 扎好籬笆

■

防止輸入法帳號風險

無論是誰操作計算機，總要不可避免地用到輸入法，所以它已經成為黑客、木馬重點關注的對象，也就不足為奇了。盡管微軟對Windows系統(tǒng)自帶的輸入法進行了完善，可是除了系統(tǒng)因素外，其他一些輸入法漏洞還會給系統(tǒng)的安全運行帶來不小的威脅。例如，在Windows 7系統(tǒng)環(huán)境下，如果安裝使用了陳橋智能輸入法時，該輸入自帶的漏洞就會被用來偷偷在系統(tǒng)中創(chuàng)建特權用戶賬號。

當臨時離開計算機系統(tǒng)時，為了防止別人隨意登錄使用，多數(shù)用戶會執(zhí)行系統(tǒng)鎖定操作。可是，在這種鎖定狀態(tài)下，別人依然可以使用陳橋智能輸入法，而通過這種輸入法又能訪問其他組件。所以，當惡意用戶嘗試利用“cmd.exe”文件替換陳橋智能輸入法的可執(zhí)行程序時，日后就能通過輸入法調用DOS命令行工作窗口，由于這個時候起作用的是系統(tǒng)System賬號，該賬號擁有至高無上的操作權限，這樣惡意用戶就能在命令行提示符狀態(tài)下，依次執(zhí)行“net user aaa bbb/add”、“net localgroup administrators aaa/add”命令，來在Windows 7系統(tǒng)中創(chuàng)建一個名稱為“aaa”的系統(tǒng)管理員賬號。返回系統(tǒng)登錄對話框，輸入之前創(chuàng)建的系統(tǒng)管理員賬號和密碼，惡意用戶就能輕松掌控整個系統(tǒng)操作了。顯然，輸入法漏洞會給Windows系統(tǒng)的安全運行，帶來極大的威脅。

為了防止輸入法帶來賬號風險，我們首先應該選用系統(tǒng)自帶輸入法或名氣較大的輸入法，并及時對其進行升級，而不能輕易使用一些不起眼的輸入法。因為名氣不大的輸入法總會存在這樣或那樣的漏洞，這些漏洞常常會讓用戶防不勝防，而那些名氣很大的輸入法即使存在安全漏洞，但能夠及時通過安全補丁來彌補漏洞。例如，要升級搜狗輸入法程序時，只要先進入該程序的設置對話框，點擊“高級”選項，在對應選項設置頁面中，選中“升級選項”位置處的“自動升級”，單擊“確定”按鈕保存設置操作即可。當然，即使喜歡使用不知名的輸入法程序，也不要將其設置成Windows系統(tǒng)默認的輸入法，因為在使用系統(tǒng)缺省設置的情況下，惡意用戶日后在系統(tǒng)鎖定界面中是不能成功訪問第三方輸入法組件的，這樣就能有效避免惡意用戶通過輸入法非法攻擊本地系統(tǒng)的現(xiàn)象。

其次，盡量選用軟鍵盤輸入。在填寫網頁表單信息時，建議大家盡量選用表單程序內置的輸入控件和軟鍵盤輸入，畢竟在缺省狀態(tài)下，用戶輸入表單信息時，Windows系統(tǒng)是利用輸入法管理器訪問功能函數(shù)實現(xiàn)信息輸入操作的。目前，一些惡意程序能夠通過技術手段，輕松監(jiān)控到鍵盤的輸入內容，從而竊取到用戶的賬號信息。為了防止賬號等隱私內容被偷窺，使用軟鍵盤輸入內容，可以讓惡意程序監(jiān)控到一些毫無意義的編碼，因為軟鍵盤上的數(shù)字和字母排列是沒有任何規(guī)則的，每次輸入都會發(fā)生隨機變化，而且表單程序自帶的輸入控件也會強制隔絕鍵盤鉤子。

第三，停用一些平時用不到的網絡端口號碼。很多輸入法漏洞都會利用一些常見的網絡端口發(fā)動攻擊，所以對那些平時幾乎用不到或很少用到的網絡端口，應該毫不猶豫地將其停用。例如，要將不常 用的 21、23、25、80 等網 絡端口都集中停用時，可以依次點擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，在其中執(zhí)行“notepad”命令，開啟文本編輯窗口，輸入下面的命令代碼（如圖1所示）：

圖1 輸入命令代碼

圖2 操作成功提示

其中第二行代碼表示關閉telnet服務，以實現(xiàn)停用23端口目的。如果telnet服務已被停用時，執(zhí)行這行代碼時系統(tǒng)會彈出錯誤提示。為了確保批處理文件運行連貫，在第二行代碼后面添加“2>&0”參數(shù)，強制批處理文件在運行錯誤時，不要將提示內容直接返回到命令行窗口，而是自動返回鍵盤輸入流中。而且，為了避免命令執(zhí)行結果返回到DOS提示符狀態(tài)，使用“>123”參數(shù)將批處理文件執(zhí)行結果保存到“123”文件中。第三行代碼表示停用Windows系統(tǒng)正在啟用的Internet服務，當該服務被停用時，與之關聯(lián)的 21、25、80等服務端口，也會被隨之停用掉。最后逐一選擇“文件”、“保存”選項，展開文件存儲對話框，將上面的命令代碼保存為“999.bat”批處理文件，日后通過鼠標雙擊的方式，就能快速將相關網絡端口集中停止運行了。

謹防隱藏管理員賬號風險

眾所周知，一些版本的Windows系統(tǒng)在缺省狀態(tài)下，存在一個系統(tǒng)管理員賬號“Administrator”，這種賬號是Windows系統(tǒng)在安裝過程中自動生成的，而且系統(tǒng)在默認狀態(tài)下沒有為其設置登錄密碼，這樣一些惡意用戶可能會通過這個沒有密碼的管理員賬號，悄悄攻擊重要計算機系統(tǒng)，進行各種惡意操作。既然隱藏管理員賬號存在這么大的安全風險，我們必須要及時采取有關措施加以防范，確保Windows系統(tǒng)不會由于隱藏管理員賬號受到非法攻擊。

以Vista系統(tǒng)為例，在防止隱藏管理員賬號風險時，可以依次單擊“開始”、“程序”、“附件”選項，選中下級菜單中的“命令提示符”，同時用鼠標右擊之，執(zhí)行右鍵菜單中的“以管理員身份運行”命令，彈出Vista系統(tǒng)的DOS命令行窗口，在該窗口中執(zhí)行“net user administrator/active:yes”命令，強制激活“Administrator”賬號的顯示狀態(tài)，當屏幕彈出如圖2所示的操作成功提示內容時，那就表示該管理員賬號日后就能正常顯示在Windows系統(tǒng)登錄界面中了。

重新啟動Windows系統(tǒng)，當發(fā)現(xiàn)系統(tǒng)登錄界面中的“Administrator”賬號時，用鼠標直接單擊該賬號圖標，登錄進入Vista系統(tǒng)桌面，逐一單擊該系統(tǒng)桌面上的“開始”、“設置”、“控制面板”選項，切換到系統(tǒng)控制面板窗口，點擊“用戶帳戶和家庭安全”選項，在對應選項設置區(qū)域按下“改變你的Windows密碼”，點擊“為您的帳戶創(chuàng)建密碼”，彈出“Administrator”帳號的密碼設置對話框；在這里正確輸入兩遍合適的密碼內容，再單擊“創(chuàng)建密碼”按鈕即可。

此 外， 在 設 置“Administrator”賬號的登錄密碼時，也可以同時定義一下合適的密碼提示內容，日后一旦忘記對應賬號的登錄密碼時，用戶還能進行回答問題，來尋找遺忘的密碼內容。如果想讓“Administrator”賬號重新隱藏顯示時，只要先以系統(tǒng)管理員權限登錄Vista系統(tǒng)，同時“以管理員身份運行”方式切換到Vista系統(tǒng)的DOS命令行窗口，在該狀態(tài)下輸入“net user administrator/active:no”命令即可。

圖3 自動統(tǒng)計克隆數(shù)量

謹防克隆賬號帶來風險

通過Windows系統(tǒng)自身的漏洞或應用程序漏洞成功入侵主機后，惡意用戶可能會進行用戶賬號克隆操作。在進行這項操作時，惡意用戶會先想法激活Windows系統(tǒng)中的一個默認賬號，同時使用外力工具提升目標賬號的訪問權限，我們從外表來看，會看到克隆賬號與目標賬號并沒有什么不同。很明顯，克隆賬號很難被一般用戶發(fā)現(xiàn)，所以它的安全威脅特別大，惡意用戶經常會利用這種賬號對局域網中的重要主機系統(tǒng)進行遠程控制。

那么，如何才能及時揪出隱藏在重要主機系統(tǒng)中的克隆賬號呢？在“LP_Check”這款外力工具的幫助下，我們能夠很輕松地發(fā)現(xiàn)并移除安全威脅很大的系統(tǒng)克隆賬號。從網上下載安裝好“LP_Check”這款外力工具后，從系統(tǒng)開始菜單開啟它的運行狀態(tài)，在對應程序界面中能夠看到所有用戶賬號的“身影”，而且“LP_Check”工具還會將克隆賬號數(shù)量自動統(tǒng)計并顯示出來（如圖3所示）。如果發(fā)現(xiàn)特定登錄賬號的“result”位置處顯示有“Shadow Administrator”信息時，那就表示對應登錄賬號處于被克隆狀態(tài)。

看到克隆的登錄賬號后，我們又該怎樣將它快速從計算機系統(tǒng)中徹底移除呢？由于重要主機系統(tǒng)中的所有用戶賬號信息都被保存到系統(tǒng)注冊表中了，我們不妨通過system賬號權限來徹底移除特定的克隆賬號。我們可以通過“psExec”小程序先讓系統(tǒng)切換到system賬號權限狀態(tài)，只要先使用Ctrl+Alt+Del組合鍵，調用任務管理器窗口，單擊“進程”選項卡，進入對應選項設置頁面，找到并選中“explorer.exe”進程，打開該進程的右鍵菜單，單擊“結束進程”命令，強制關閉“explorer.exe”進程，接著切換到“應用程序”選項設置頁面，單擊“新任務”按鈕，在命令文本框中輸 入“E:111PsExec-s-i-d explorer”這段代碼，這里的“E:111PsExec”文件夾是“PsExec”工具解壓目錄，單擊“確定”按鈕后，“explorer.exe”進程就會被自動重啟，這時就能進入system賬號權限狀態(tài)了。

在這種狀態(tài)下，依次單擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，執(zhí)行“regedit”命令，打開系統(tǒng)注冊表編輯界面。依次展開注冊表分支HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames，在指定分支下就能發(fā)現(xiàn)包含克隆賬號在內的所有隱藏用戶賬號，將之前看到的特定克隆賬號選中并刪除，再重新啟動計算機系統(tǒng)即可。

謹防陌生賬號帶來風險

不少惡意用戶經常會在局域網重要主機或服務器系統(tǒng)中，偷偷生成隱藏的陌生賬號，同時將其作為攻擊后門，通過網絡實施非法攻擊。考慮到隱藏陌生賬號隱蔽性好，普通用戶一般不能及時看到它，它的安全威脅明顯比較大。為了防止陌生賬號帶來風險，我們不妨進行如下操作，及時找到并刪除隱藏的陌生用戶賬號：

圖4 選項設置對話框

惡意用戶在悄悄生成隱藏的陌生賬號后，往往要將其提升為超級用戶權限，才能隨意進行各種攻擊操作，因此我們只要找出所有具有超級用戶權限的賬號，就能將潛藏在其中的陌生用戶揪出來。在進行該操作時，可以逐一單擊“開始”、“運行”命令，在其后彈出的運行框中執(zhí)行“cmd”命令，展開DOS命令行窗口，輸入“net localgroup administrators”命令，從返回的結果界面中就能發(fā)現(xiàn)所有超級用戶權限的賬號了，這也包括隱藏的陌生用戶賬號。

因為陌生的隱藏賬號后面往往都存在“$”這樣的尾巴，通過它我們就能直接分辨出具有超級用戶權限的陌生隱藏賬號，該賬號多半是非法賬號。

謹防組賬號帶來風險

為了便于管理、維護，很多系統(tǒng)管理員常常會為特定組賬號集中授權，這樣雖然改善了工作效率，但也容易給網絡訪問帶來安全麻煩。例如，一些惡意用戶會利用偽裝術，偷偷將惡意隱藏賬號，加入到某個特定組賬號中，日后一旦系統(tǒng)管理員為該組賬號集中授權時，惡意用戶就能趁機竊取較高級別的操作權限，這顯然是十分危險的。

所以，為了防止組賬號通過網絡帶來風險，我們必須及時取消重要主機或服務器系統(tǒng)中的組賬號網絡訪問權。要做到這一點，可以逐一單擊“開始”、“運行”選項，彈出系統(tǒng)運行文本框，在其中執(zhí)行“gpedit.msc”命令，開啟系統(tǒng)組策略編輯器運行狀態(tài)。

在該編輯界面左側顯示區(qū)域，依次展開“本地計算機策略”、“計算機配置”、“Windows設置”、“安全設置”、“本地策略”、“用戶權限分配”分支，雙擊指定分支下的“從網絡訪問此計算機”選項，彈出如圖4所示的選項設置對話框。在這里，我們能看到各種普通用戶賬號和組賬號，它們在默認狀態(tài)下都獲得了網絡訪問權限，選中需要刪除權限的特定組用戶賬號，按下“刪除”按鈕，將它們從網絡訪問權限列表中刪除出去，再按下“確定”按鈕保存設置操作。