靈活配置 提高系統(tǒng)安全性

■ 河南 劉景云

編者按：筆者單位的一臺(tái)服務(wù)器遭到了黑客入侵，黑客通過(guò)非法提權(quán)和網(wǎng)頁(yè)掛馬等手段，將運(yùn)行在其中的網(wǎng)站變得面目全非。該機(jī)是一臺(tái)相對(duì)較老的機(jī)器，上面安裝的是Windows Server 2003 R2系統(tǒng)。考慮到在一些企業(yè)中還運(yùn)行著不少Windows Server 2003服務(wù)器，完全可以滿足一定的業(yè)務(wù)需求。所以需要增加其安全性，使其避開黑客襲擾，更好的為企業(yè)服務(wù)。

封鎖端口，防止非法連接

為了保護(hù)系統(tǒng)正常運(yùn)行，最好將各種危險(xiǎn)的端口全部封閉，不給黑客以可乘之機(jī)。使用IP安全策略，可以手動(dòng)的封鎖危險(xiǎn)的端口。

例如，運(yùn)行“gpedit.msc”程序，在組策略編輯器左側(cè)打開“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→IP安全策略”項(xiàng)，在右側(cè)窗口中右擊“創(chuàng)建IP安全策略”項(xiàng)，在向?qū)Т翱谥悬c(diǎn)擊“下一步”按鈕，設(shè)置策略名稱和描述信息。在下一步窗口中取消“激活默認(rèn)響應(yīng)規(guī)則”項(xiàng)的選擇狀態(tài)。雙擊剛才創(chuàng)建的IP策略，在彈出窗口取消“使用添加向?qū)А表?xiàng)的選擇狀態(tài)。

點(diǎn)擊“添加”按鈕，在彈出窗口中的“IP篩選器列表”面板中點(diǎn)擊“添加”按鈕，輸入本篩選器名稱和描述信息。點(diǎn)擊“添加”按鈕，同樣不選擇“使用添加向?qū)А表?xiàng)。繼續(xù)點(diǎn)擊“添加”按鈕，在“尋址”面板的“源地址”列表中選擇“任何IP地址”，在“目標(biāo)地址”列表中選擇“我的IP地址”項(xiàng)。在“協(xié)議”面板中的“選擇協(xié)議類型”列表中選擇“TCP”，先選擇“從任意端口”項(xiàng)，再選擇“到此端口”項(xiàng)，將端口設(shè)定為135，之后完成本篩選器創(chuàng)建操作。在“IP篩選器列表”面板選擇上述篩選器項(xiàng)，在“篩選器操作”面板中點(diǎn)擊“添加”按鈕，選擇“阻止”項(xiàng)。

完成本IP安全策略的創(chuàng)建操作以后，只要在該IP策略項(xiàng)的右鍵菜單上點(diǎn)擊“指派”項(xiàng)，就可以激活保護(hù)動(dòng)作，別人就無(wú)法連接TCP 135端口了。

不過(guò)，單純依靠手工操作比較繁瑣，可以利用預(yù)設(shè)的策略文件來(lái)實(shí)現(xiàn)批處理要求。

例如，可以下載“l(fā)ockp Port.ipsec”文件，選擇上述“IP安全策略”項(xiàng)，在右側(cè)窗口中右擊選擇“所有任務(wù)→導(dǎo)入策略”項(xiàng)，選擇“l(fā)ockp Port.ipsec”文件后將其導(dǎo)入進(jìn)來(lái)。之后雙擊“客戶端（僅相應(yīng)）”項(xiàng)，在其屬性窗口中可以看到被封鎖的端口信息。

在“客戶端（僅相應(yīng)）”項(xiàng)的右鍵菜單上點(diǎn)擊“指派”項(xiàng)，激活該策略。

配置權(quán)限，防止非法登錄

可運(yùn)行“compmgmt.msc”程序，在計(jì)算機(jī)管理窗口左側(cè)選擇“本地用戶和組→用戶”項(xiàng)，在“Administrator”用戶的右鍵菜單上點(diǎn)擊“設(shè)置”密碼項(xiàng)，為其設(shè)置盡可能復(fù)雜的密碼。

在組策略管理器中打開“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)”項(xiàng)，雙擊“賬戶：重命名系統(tǒng)管理員賬戶”項(xiàng)，為Administrator設(shè)置新的名稱（例如“newuser01”）。然后雙擊“交互式登錄：不顯示上次的用戶名”項(xiàng)，選擇“已啟用”。選擇“用戶配置→管理模版→系統(tǒng)”項(xiàng)，雙擊“阻止訪問(wèn)注冊(cè)表編輯工具”項(xiàng)，選擇“已啟用”項(xiàng)，分支非法操作注冊(cè)表。

通過(guò)運(yùn)行“secpol.msc”程序，選擇“本地策略→用戶權(quán)限分配”項(xiàng)，雙擊“通過(guò)終端服務(wù)允許登錄”項(xiàng)，點(diǎn)擊“刪除”按鈕，將預(yù)設(shè)的賬戶全部刪除。點(diǎn)擊“添加用戶或組”按鈕，添加更名后的管理員賬戶。雙擊“通過(guò)終端服務(wù)拒絕登錄”項(xiàng)，點(diǎn)擊“添加用戶或組”按鈕，在選擇對(duì)象或組窗口中的“選擇對(duì)象類型”欄中確保選中“用戶或內(nèi)置安全主體”項(xiàng)。

點(diǎn)擊“高級(jí)→搜索”按鈕，依次將“LOCALl SERVICE”“ANONYOUS LOGON” “BATCH”“CREATOR GROUP” “DIALUP”“TERMINAL SERVER USER”“SYSTEM”等對(duì)象添加進(jìn)來(lái)。這樣設(shè)置益處很多，例如即使黑客在本地創(chuàng)建了賬戶，也無(wú)法通過(guò)終端服務(wù)登錄。為了避免黑客發(fā)現(xiàn)本機(jī)開啟了終端服務(wù)，可以運(yùn)行華盾3389修改器之類的工具，將其設(shè)置不常見的端口，來(lái)避開黑客的掃描探測(cè)。

優(yōu)化配置，提高安全性

當(dāng)然，為了防止黑客利用系統(tǒng)漏洞進(jìn)行滲透，可以借助于WSUS服務(wù)，或者使用安全工具為系統(tǒng)打上各種補(bǔ)丁。也可以運(yùn)行Windows優(yōu)化大師，在其左側(cè)選擇“系統(tǒng)安全優(yōu)化”項(xiàng)，在右側(cè)的“分析及處理選項(xiàng)”欄中選擇“掃描木馬程序” “掃描蠕蟲病毒” “常見病毒檢查和免疫”“關(guān)閉445端口” “啟用自動(dòng)抵御SYN攻擊” “啟用自動(dòng)抵御ICMP攻擊” “啟用自動(dòng)抵御SNMP攻擊” “啟用AFD.SYS” “禁止本機(jī)相應(yīng)網(wǎng)絡(luò)請(qǐng)求發(fā)布自己的NetBIOS名稱”“減少連接有效性驗(yàn)證間隔時(shí)間”等項(xiàng)目，點(diǎn)擊“分析處理”按鈕，來(lái)啟動(dòng)對(duì)應(yīng)的保護(hù)項(xiàng)目，以保護(hù)系統(tǒng)安全。

選擇“禁止用戶建立空連接” “禁止系統(tǒng)自動(dòng)啟用服務(wù)器共享” “禁止自動(dòng)登錄” “開機(jī)自動(dòng)進(jìn)入屏幕保護(hù)” “每次退出系統(tǒng)（注銷系統(tǒng)）時(shí)，自動(dòng)清除文檔歷史記錄” “禁止光盤，U盤等所有磁盤自動(dòng)運(yùn)行”等項(xiàng)目，點(diǎn)擊“優(yōu)化”按鈕，來(lái)提高系統(tǒng)安全性。

為了快速設(shè)置系統(tǒng)安全性，可以運(yùn)行Windows 2003 Server安全自動(dòng)化設(shè)置程序，在其操作界面中只需點(diǎn)擊“0”鍵，就可以依次執(zhí)行設(shè)置系統(tǒng)盤權(quán)限并優(yōu)化系統(tǒng)，刪除C盤所有Users權(quán)限，設(shè)置C盤EXE文件安全，刪除SQL Server危險(xiǎn)存儲(chǔ)過(guò)程，封閉135、445端口，刪除注冊(cè)表危險(xiǎn)項(xiàng)，刪除服務(wù)器的網(wǎng)絡(luò)共享，停止無(wú)用的系統(tǒng)服務(wù)，清理系統(tǒng)的垃圾文件等操作。

運(yùn)行易方安全設(shè)置程序，在其中選擇“磁盤安全設(shè)置” “網(wǎng)站主目錄安全設(shè)置”“系統(tǒng)安全設(shè)置” “Serv-U安全設(shè)置” “PHP安全設(shè)置”“MySQL安全設(shè)置” “Winweb Mail安全設(shè)置”項(xiàng)，點(diǎn)擊“開始設(shè)置”按鈕，就可以毫不費(fèi)力地完成所需的安全配置操作。

嚴(yán)密管控，防止黑客非法提權(quán)

為了防止黑客利用系統(tǒng)自帶的工具提權(quán)，可以對(duì)其進(jìn)行必要的控制。

例如，進(jìn)入“c:windowssystem32”目錄，選擇“net.exe”程序，在其屬性窗口中的“安全”面板中點(diǎn)擊“刪除”按鈕，將“SYSTEM”之后的賬戶或組全部刪除，點(diǎn)擊“添加”按鈕，導(dǎo)入上述更名后的管理員賬戶。對(duì)“SYSTEM”賬戶只保留“讀取和運(yùn)行”和“讀取”權(quán)限。

對(duì)應(yīng)地，可對(duì)“net1.exe”“ftp.exe” “sc.exe” “cacls.exe”“attrib.exe”以及“at.exe”等容易被黑客利用的程序進(jìn)行同樣的配置。

為黑客經(jīng)常使用“cmd.exe”程序進(jìn)行非法提權(quán)，所以需要對(duì)其嚴(yán)格控制。例如，可以在屬性窗口中的“安全”面板中將所有的賬戶全部清除。點(diǎn)擊“應(yīng)用”按鈕，在彈出的警告窗口中點(diǎn)擊“確定”按鈕，保存設(shè)置信息。

之后，“cmd.exe”程序就處于禁用狀態(tài)，不管是任何用戶試圖調(diào)用該程序，系統(tǒng)都會(huì)彈出“無(wú)法訪問(wèn)指定設(shè)備，路徑或文件，您可能沒(méi)有合適的權(quán)限訪問(wèn)這個(gè)項(xiàng)目”的提示，使其無(wú)法操作該程序。

當(dāng)然，為了自己實(shí)際需要，也可以創(chuàng)建專用的賬戶，將其單獨(dú)添加到“cmd.exe”文件安全面板中的“組或用戶”列表中，便于您使用命令行窗口。

為了防止SYSTEM賬戶訪問(wèn)“cmd.exe”程序，可以在注冊(cè)表編輯器中打開“HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWin dowsSystem”分支，如果沒(méi)有對(duì)應(yīng)的子健則需要手工建立。在窗口右側(cè)新建名稱為“DisableCMD”類型為DWORD的項(xiàng)目，將其值設(shè)置為“1”，可以禁止命令解釋器和批處理文件的運(yùn)行。

經(jīng)過(guò)以上設(shè)置之后，即使黑客對(duì)系統(tǒng)進(jìn)行遠(yuǎn)程溢出攻擊，但是在調(diào)用CMD Shell接口時(shí)會(huì)遭到系統(tǒng)攔截，使其無(wú)法對(duì)獲得有效的控制權(quán)。當(dāng)黑客通過(guò)某些漏洞實(shí)施系統(tǒng)遠(yuǎn)程溢出攻擊后，就會(huì)利用獲得遠(yuǎn)程CMD Shell接口執(zhí)行各種危險(xiǎn)的命令，例如添加賬戶、上傳文件、激活木馬等。

自動(dòng)記錄命令，追蹤黑客痕跡

如果能夠?qū)⒑诳蛨?zhí)行的所有命令記錄下來(lái)，就可以了解其對(duì)系統(tǒng)進(jìn)行了哪些入侵行為，進(jìn)而將其入侵影響消除。例如，刪除木馬，清除非法賬戶等。還可以以此來(lái)順藤摸瓜，了解系統(tǒng)存在哪些安全隱患，將其及時(shí)堵上。

使用CMD命令記錄器，就可以輕松實(shí)現(xiàn)上述功能。點(diǎn)擊“Windows+R”組合鍵，執(zhí)行“cmd.exe”程序，在其中執(zhí)行“ren c:windowssystem 32cmd.exe cm_.exe”命令，將原來(lái)的“cmd.exe”文件更名為“cm_.exe”。如果系統(tǒng)出現(xiàn)文件保護(hù)界面，需要點(diǎn)擊“取消”按鈕，讓更名得以順利進(jìn)行。

當(dāng)然也可以在安全模式，Windows PE等環(huán)境中進(jìn)行更名操作。將下載的“CmdPlus.rar”壓縮包解壓到“c:windowssystem32”目錄中。將其中的“cmdplus.exe”更名為“cmd.exe”，替換原來(lái)的“cmd.exe”程序。

之后，如果黑客對(duì)本機(jī)遠(yuǎn)程溢出得手，執(zhí)行的所有命令全部經(jīng)由“cmdplus.exe”程序，通過(guò)匿名管道傳送給“cm_.exe”程序去執(zhí)行，并將其完整記錄下來(lái)。

打開“c:windowssys tem32”目錄下的“history.txt”文件，可以看到CMD記錄信息的所有內(nèi)容。當(dāng)然，您自己使用的話，可以直接執(zhí)行“cm_.exe”程序，來(lái)操作各種命令。