靈活配置 提高系統安全性

■ 河南 劉景云

編者按：筆者單位的一臺服務器遭到了黑客入侵，黑客通過非法提權和網頁掛馬等手段，將運行在其中的網站變得面目全非。該機是一臺相對較老的機器，上面安裝的是Windows Server 2003 R2系統。考慮到在一些企業中還運行著不少Windows Server 2003服務器，完全可以滿足一定的業務需求。所以需要增加其安全性，使其避開黑客襲擾，更好的為企業服務。

封鎖端口，防止非法連接

為了保護系統正常運行，最好將各種危險的端口全部封閉，不給黑客以可乘之機。使用IP安全策略，可以手動的封鎖危險的端口。

例如，運行“gpedit.msc”程序，在組策略編輯器左側打開“計算機配置→Windows設置→安全設置→IP安全策略”項，在右側窗口中右擊“創建IP安全策略”項，在向導窗口中點擊“下一步”按鈕，設置策略名稱和描述信息。在下一步窗口中取消“激活默認響應規則”項的選擇狀態。雙擊剛才創建的IP策略，在彈出窗口取消“使用添加向導”項的選擇狀態。

點擊“添加”按鈕，在彈出窗口中的“IP篩選器列表”面板中點擊“添加”按鈕，輸入本篩選器名稱和描述信息。點擊“添加”按鈕，同樣不選擇“使用添加向導”項。繼續點擊“添加”按鈕，在“尋址”面板的“源地址”列表中選擇“任何IP地址”，在“目標地址”列表中選擇“我的IP地址”項。在“協議”面板中的“選擇協議類型”列表中選擇“TCP”，先選擇“從任意端口”項，再選擇“到此端口”項，將端口設定為135，之后完成本篩選器創建操作。在“IP篩選器列表”面板選擇上述篩選器項，在“篩選器操作”面板中點擊“添加”按鈕，選擇“阻止”項。

完成本IP安全策略的創建操作以后，只要在該IP策略項的右鍵菜單上點擊“指派”項，就可以激活保護動作，別人就無法連接TCP 135端口了。

不過，單純依靠手工操作比較繁瑣，可以利用預設的策略文件來實現批處理要求。

例如，可以下載“lockp Port.ipsec”文件，選擇上述“IP安全策略”項，在右側窗口中右擊選擇“所有任務→導入策略”項，選擇“lockp Port.ipsec”文件后將其導入進來。之后雙擊“客戶端（僅相應）”項，在其屬性窗口中可以看到被封鎖的端口信息。

在“客戶端（僅相應）”項的右鍵菜單上點擊“指派”項，激活該策略。

配置權限，防止非法登錄

可運行“compmgmt.msc”程序，在計算機管理窗口左側選擇“本地用戶和組→用戶”項，在“Administrator”用戶的右鍵菜單上點擊“設置”密碼項，為其設置盡可能復雜的密碼。

在組策略管理器中打開“計算機配置→Windows設置→安全設置→本地策略→安全選項”項，雙擊“賬戶：重命名系統管理員賬戶”項，為Administrator設置新的名稱（例如“newuser01”）。然后雙擊“交互式登錄：不顯示上次的用戶名”項，選擇“已啟用”。選擇“用戶配置→管理模版→系統”項，雙擊“阻止訪問注冊表編輯工具”項，選擇“已啟用”項，分支非法操作注冊表。

通過運行“secpol.msc”程序，選擇“本地策略→用戶權限分配”項，雙擊“通過終端服務允許登錄”項，點擊“刪除”按鈕，將預設的賬戶全部刪除。點擊“添加用戶或組”按鈕，添加更名后的管理員賬戶。雙擊“通過終端服務拒絕登錄”項，點擊“添加用戶或組”按鈕，在選擇對象或組窗口中的“選擇對象類型”欄中確保選中“用戶或內置安全主體”項。

點擊“高級→搜索”按鈕，依次將“LOCALl SERVICE”“ANONYOUS LOGON” “BATCH”“CREATOR GROUP” “DIALUP”“TERMINAL SERVER USER”“SYSTEM”等對象添加進來。這樣設置益處很多，例如即使黑客在本地創建了賬戶，也無法通過終端服務登錄。為了避免黑客發現本機開啟了終端服務，可以運行華盾3389修改器之類的工具，將其設置不常見的端口，來避開黑客的掃描探測。

優化配置，提高安全性

當然，為了防止黑客利用系統漏洞進行滲透，可以借助于WSUS服務，或者使用安全工具為系統打上各種補丁。也可以運行Windows優化大師，在其左側選擇“系統安全優化”項，在右側的“分析及處理選項”欄中選擇“掃描木馬程序” “掃描蠕蟲病毒” “常見病毒檢查和免疫”“關閉445端口” “啟用自動抵御SYN攻擊” “啟用自動抵御ICMP攻擊” “啟用自動抵御SNMP攻擊” “啟用AFD.SYS” “禁止本機相應網絡請求發布自己的NetBIOS名稱”“減少連接有效性驗證間隔時間”等項目，點擊“分析處理”按鈕，來啟動對應的保護項目，以保護系統安全。

選擇“禁止用戶建立空連接” “禁止系統自動啟用服務器共享” “禁止自動登錄” “開機自動進入屏幕保護” “每次退出系統（注銷系統）時，自動清除文檔歷史記錄” “禁止光盤，U盤等所有磁盤自動運行”等項目，點擊“優化”按鈕，來提高系統安全性。

為了快速設置系統安全性，可以運行Windows 2003 Server安全自動化設置程序，在其操作界面中只需點擊“0”鍵，就可以依次執行設置系統盤權限并優化系統，刪除C盤所有Users權限，設置C盤EXE文件安全，刪除SQL Server危險存儲過程，封閉135、445端口，刪除注冊表危險項，刪除服務器的網絡共享，停止無用的系統服務，清理系統的垃圾文件等操作。

運行易方安全設置程序，在其中選擇“磁盤安全設置” “網站主目錄安全設置”“系統安全設置” “Serv-U安全設置” “PHP安全設置”“MySQL安全設置” “Winweb Mail安全設置”項，點擊“開始設置”按鈕，就可以毫不費力地完成所需的安全配置操作。

嚴密管控，防止黑客非法提權

為了防止黑客利用系統自帶的工具提權，可以對其進行必要的控制。

例如，進入“c:windowssystem32”目錄，選擇“net.exe”程序，在其屬性窗口中的“安全”面板中點擊“刪除”按鈕，將“SYSTEM”之后的賬戶或組全部刪除，點擊“添加”按鈕，導入上述更名后的管理員賬戶。對“SYSTEM”賬戶只保留“讀取和運行”和“讀取”權限。

對應地，可對“net1.exe”“ftp.exe” “sc.exe” “cacls.exe”“attrib.exe”以及“at.exe”等容易被黑客利用的程序進行同樣的配置。

為黑客經常使用“cmd.exe”程序進行非法提權，所以需要對其嚴格控制。例如，可以在屬性窗口中的“安全”面板中將所有的賬戶全部清除。點擊“應用”按鈕，在彈出的警告窗口中點擊“確定”按鈕，保存設置信息。

之后，“cmd.exe”程序就處于禁用狀態，不管是任何用戶試圖調用該程序，系統都會彈出“無法訪問指定設備，路徑或文件，您可能沒有合適的權限訪問這個項目”的提示，使其無法操作該程序。

當然，為了自己實際需要，也可以創建專用的賬戶，將其單獨添加到“cmd.exe”文件安全面板中的“組或用戶”列表中，便于您使用命令行窗口。

為了防止SYSTEM賬戶訪問“cmd.exe”程序，可以在注冊表編輯器中打開“HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWin dowsSystem”分支，如果沒有對應的子健則需要手工建立。在窗口右側新建名稱為“DisableCMD”類型為DWORD的項目，將其值設置為“1”，可以禁止命令解釋器和批處理文件的運行。

經過以上設置之后，即使黑客對系統進行遠程溢出攻擊，但是在調用CMD Shell接口時會遭到系統攔截，使其無法對獲得有效的控制權。當黑客通過某些漏洞實施系統遠程溢出攻擊后，就會利用獲得遠程CMD Shell接口執行各種危險的命令，例如添加賬戶、上傳文件、激活木馬等。

自動記錄命令，追蹤黑客痕跡

如果能夠將黑客執行的所有命令記錄下來，就可以了解其對系統進行了哪些入侵行為，進而將其入侵影響消除。例如，刪除木馬，清除非法賬戶等。還可以以此來順藤摸瓜，了解系統存在哪些安全隱患，將其及時堵上。

使用CMD命令記錄器，就可以輕松實現上述功能。點擊“Windows+R”組合鍵，執行“cmd.exe”程序，在其中執行“ren c:windowssystem 32cmd.exe cm_.exe”命令，將原來的“cmd.exe”文件更名為“cm_.exe”。如果系統出現文件保護界面，需要點擊“取消”按鈕，讓更名得以順利進行。

當然也可以在安全模式，Windows PE等環境中進行更名操作。將下載的“CmdPlus.rar”壓縮包解壓到“c:windowssystem32”目錄中。將其中的“cmdplus.exe”更名為“cmd.exe”，替換原來的“cmd.exe”程序。

之后，如果黑客對本機遠程溢出得手，執行的所有命令全部經由“cmdplus.exe”程序，通過匿名管道傳送給“cm_.exe”程序去執行，并將其完整記錄下來。

打開“c:windowssys tem32”目錄下的“history.txt”文件，可以看到CMD記錄信息的所有內容。當然，您自己使用的話，可以直接執行“cm_.exe”程序，來操作各種命令。