在所有的黑客事件中,絕大部分的黑客行為都是通過“命令提示符”來完成的,因此黑客攻占了“命令提示符”,就等於攻占了我們的系統,所以,在我們平時的系統安全防護中,“命令提示符”的安全絕對不容忽視。
編輯提示:保護“命令提示符”安全的重要性
雖然現在的Windows是圖形化的操作界面,但是其本身的工作還是通過各種指令來完成的,而“命令提示符”更像是Windows的核心,我們可以在其中輸入各種命令來控制系統。在上期介紹溢出攻擊的文章中,黑客並不是直接對Windows進行入侵,而是通過溢出代碼獲取一個shell,這個shell就是指黑客獲取到目標電腦“命令提示符”的權限。黑客可以在shell中輸入相應的指令來完成入侵步驟,例如輸入“net user hacker /add”就可以創建一個用戶名為hacker的用戶,輸入“net localgroup administrators hacker /add”就可以將hacker這個用戶提升至管理員權限。從毫無權限,到獲取目標電腦的管理員權限,黑客只需在“命令提示符”中輸入兩句命令就可以完成,可見“命令提示符”在Windows中的作用是十分巨大的。
禁用“net user”命令
黑客在得到shell後,通常會先查看目標主機上的賬戶情況,使用的命令是“net user”,如果我們將這個命令給禁用,就能忽悠一下黑客,讓他知難而退。
點擊“開始”菜單→“運行”,輸入“regedit”回車運行“注冊表編輯器”,定位到HKEY_LOCAL_MACHINESAMSAM處,在SAM項上點右鍵,選擇“權限”。在權限設置窗口中勾尋完全控制”,點擊確定。按F5刷新一下,展開SAM項,定位到HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers
Names處,在Names項上點右鍵,選擇“新建”→“項”,將項的名稱處輸入一個空格,然後雙擊右側的鍵,將其鍵值也設為空格。完成後關閉注冊表即可。
▲修改注冊表
現在黑客在“命令提示符”中輸入“net user”命令,將會看到“列表是空的”這樣的悲劇回顯。我們忽悠黑客的目的就達到了。
禁用“命令提示符”
障眼法畢竟只是忽悠一下菜鳥黑客,稍有經驗的黑客就能識破,因此最安全妥當的方法就是將“命令提示符”禁用,方法如下:
點擊“開始”菜單→“管理工具”→“本地安全策略”,依次展開“安全設置”→“軟件限制策略”,雙擊其中的“其他規則”,在右側的空白處點擊右鍵,在出現的菜單中選擇“新散列規則”。點擊“文件散列”處的浏覽按鈕,選中位於c:windowssystem32目錄下的cmd.exe文件,將其“安全級別”設置為“不允許的”。然後點擊確定。
這樣設置後,所有的用戶都將無法運行“命令提示符”,在“運行”中輸入“cmd”回車後會出現“由於一個軟件限制策略的阻止,Windows 無法打開此程序”這樣的提示,此時的“命令提示符”被徹底禁用了。但某些時候,我們還是要用到一下“命令提示符”的,有沒有辦法自己可以用,但是讓黑客用不了呢?
▲建立“命令提示符”的限制規則
我們可以這樣設置:雙擊“軟件限制策略”,在右側找到“強制”選項,在“將軟件限制策略應用到下列用戶”處勾尋除本地管理員以外的所有用戶”選項,點擊確定即可。設置好後只有本地的管理員賬戶可以使用“命令提示符”,其他非管理員權限的賬戶,例如user將無法使用“命令提示符”,當然黑客也無法再利用“命令提示符”來入侵了。
▲設置運行“命令提示符”的權限
