■

提到Windows 2003系統(tǒng)的“安全”字眼，不少人都會(huì)下意識(shí)地“請(qǐng)”來各種專業(yè)安全工具，希望借助它們的力量來給該系統(tǒng)多一點(diǎn)的安全保護(hù)。其實(shí)，在手頭沒有外力工具可以利用的情況下，我們可以充分利用自己的聰明才智，對(duì)服務(wù)器系統(tǒng)進(jìn)行嚴(yán)格管理，也能讓其安全無憂！

切斷關(guān)機(jī)腳本后門

大家知道，往系統(tǒng)組策略中添加關(guān)機(jī)腳本，能夠讓W(xué)indows在關(guān)閉系統(tǒng)時(shí)執(zhí)行一些特殊操作。由于這種操作具有很好的隱蔽效果，惡意用戶經(jīng)常會(huì)利用它來做Windows 2003服務(wù)器系統(tǒng)的后門。例如，惡意用戶事先構(gòu)造一個(gè)腳本文件，讓其生成具有系統(tǒng)管理員權(quán)限的隱藏賬號(hào)，之后打開系統(tǒng)組策略編輯界面，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows設(shè)置”、“腳本 (啟動(dòng)/關(guān)機(jī))”節(jié)點(diǎn)上，用鼠標(biāo)雙擊目標(biāo)節(jié)點(diǎn)下的“關(guān)機(jī)”組策略，在對(duì)應(yīng)組策略屬性對(duì)話框中（如圖1所示），導(dǎo)入剛才構(gòu)造的腳本文件，這樣Windows系統(tǒng)日后在關(guān)機(jī)時(shí)，就能偷偷創(chuàng)建具有系統(tǒng)管理員權(quán)限的隱藏賬號(hào)了。

圖1 對(duì)應(yīng)組策略屬性對(duì)話框

對(duì)于普通用戶來說，根本不清楚本地系統(tǒng)中悄悄生成了一個(gè)隱藏賬號(hào)，而惡意用戶能夠心安理得地通過該賬號(hào)控制本地系統(tǒng)，即使普通用戶發(fā)現(xiàn)并刪除了隱藏賬號(hào)，當(dāng)執(zhí)行關(guān)閉系統(tǒng)操作時(shí)，該隱藏賬號(hào)又會(huì)卷土重來。

這種后門之所以被惡意用戶頻繁利用，主要是系統(tǒng)管理員自己平時(shí)疏于防范，對(duì)組策略中的關(guān)機(jī)腳本配置操作不熟悉。要想切斷關(guān)機(jī)腳本后門，只要定期打開系統(tǒng)組策略編輯窗口，依次展開“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“腳本(啟動(dòng)/關(guān)機(jī))”節(jié)點(diǎn)，檢查目標(biāo)節(jié)點(diǎn)下是否存在陌生的腳本文件，一旦發(fā)現(xiàn)有可疑腳本出現(xiàn)時(shí)，不但要將其從腳本列表中及時(shí)刪除掉，而且還要找到并刪除原始的腳本文件。

此外，系統(tǒng)管理員也可以打開資源管理器窗口，定 期 查 看“C：Windowssystem32GroupPolicyM a c h i n eS c r i p t sShutdown”窗口下的內(nèi)容，因?yàn)樗嘘P(guān)機(jī)腳本內(nèi)容都會(huì)顯示在這里。按照同樣的操作方法，我們還要切斷啟動(dòng)腳本后門。

切斷系統(tǒng)嗅探后門

為了防止被植入的專業(yè)嗅探程序被用戶發(fā)現(xiàn)，這類程序往往會(huì)被偽裝成系統(tǒng)驅(qū)動(dòng)程序，而且文件尺寸也是相當(dāng)?shù)匦?，安全意識(shí)不高的用戶一般很難找到它們的蹤跡。

那么怎樣才能切斷系統(tǒng)嗅探后門呢？

首先采取加密措施，對(duì)重要數(shù)據(jù)的傳輸進(jìn)行安全保護(hù)。例如，在上網(wǎng)瀏覽站點(diǎn)信息時(shí)，可以使用https協(xié)議，來突破專業(yè)工具的嗅探，避免Web訪問密碼被黑客偷偷竊取，當(dāng)然這種方法的安全保護(hù)，依賴瀏覽器的正確實(shí)現(xiàn)以及服務(wù)器軟件、實(shí)際加密算法的支持。

圖2 選項(xiàng)設(shè)置對(duì)話框

其次，加強(qiáng)對(duì)系統(tǒng)登錄操作的審核追蹤。惡意用戶要想植入專業(yè)嗅探程序，必須先要成功登錄Windows 2003服務(wù)器系統(tǒng)。

如果我們事先對(duì)系統(tǒng)登錄操作啟用審核監(jiān)控策略，那么惡意用戶的一切登錄入侵痕跡會(huì)被系統(tǒng)日志記憶下來，到時(shí)打開事件查看器窗口，檢查分析有沒有可疑時(shí)間的非法登錄，或許就能發(fā)現(xiàn)惡意用戶的“身影”。

在啟用審核監(jiān)控策略時(shí)，可以依次點(diǎn)擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“gpedit.msc”命令并回車，開啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。將鼠標(biāo)定位到左側(cè)列表中的“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“安全設(shè)置”、“本地策略”、“審核策略”節(jié)點(diǎn)上，雙擊目標(biāo)節(jié)點(diǎn)下的“審核登錄事件”選項(xiàng)，打開如圖2所示的選項(xiàng)設(shè)置對(duì)話框，選中“成功”選項(xiàng)，單擊“確定”按鈕保存設(shè)置即可。

當(dāng)然，有些狡猾的惡意用戶，可能在實(shí)施攻擊后，會(huì)悄悄刪除或者修改遺留在日志中的痕跡，這時(shí)唯一的應(yīng)對(duì)辦法，就是想辦法找到并刪除安裝在Windows 2003服務(wù)器系統(tǒng)中的嗅探工具，同時(shí)及時(shí)調(diào)整系統(tǒng)管理員登錄密碼。

第三拒絕使用雜錯(cuò)節(jié)點(diǎn)。在Windows 2003服務(wù)器系統(tǒng)中安裝不支持雜錯(cuò)的網(wǎng)卡設(shè)備，一般能夠預(yù)防IBM兼容機(jī)進(jìn)行嗅探。

該礦體為浸染(星點(diǎn))狀輝鉬礦，礦體呈灰白色—淺肉紅色—褐紅色，地表出露長(zhǎng)度為142 m，厚度1.72～2.86 m，產(chǎn)狀310°∠69°。礦體規(guī)模不大，沿走向露頭不好。礦石金屬礦物主要有黃鐵礦、褐鐵礦、輝鉬礦、鉬華，蝕變主要為硅化。脈石礦物主要為二長(zhǎng)花崗巖及碎裂石英巖。圍巖為二長(zhǎng)花崗巖，礦體與圍巖界線不明顯，沿礦體兩側(cè)圍巖產(chǎn)生鉀化、硅化蝕變。礦石鉬品位0.038%～0.137%。

切斷放大程序后門

為了方便視力不好用戶的操作，Windows 2003系統(tǒng)特意內(nèi)置了一個(gè)小巧玲瓏的放大鏡程序。不過，該程序很容易被惡意用戶替換成具有破壞性的腳本文件，這樣它就會(huì)在不知不覺中成為服務(wù)器系統(tǒng)的后門，被黑客利用來攻擊控制服務(wù)器系統(tǒng)。一旦黑客通過自行構(gòu)造的腳本程序，來竊取得到最高權(quán)限的用戶賬號(hào)時(shí)，那么整個(gè)服務(wù)器系統(tǒng)都降成為黑客的掌中玩物。

為了切斷放大程序后門，我們需要定期打開服務(wù)器系統(tǒng)資源管理器窗口，切換到“%Windir%system32”文件夾中，檢查“magnify.exe”程 序 圖標(biāo)與默認(rèn)的放大鏡圖標(biāo)是否一致，如果不一致，那么多半是黑客正在利用放大程序后門。此時(shí)，先將被替換掉的放大程序文件刪除，同時(shí)從其他Windows 2003系統(tǒng)中拷貝一個(gè)正常 的“magnify.exe”文件回來，以恢復(fù)放大程序的工作狀態(tài)。

之后，用鼠標(biāo)右鍵單擊服務(wù)器系統(tǒng)桌面上的“我的電腦”圖標(biāo)，執(zhí)行快捷菜單中的“管理”命令，打開計(jì)算機(jī)管理窗口。在該窗口的左側(cè)列表中，將鼠標(biāo)定位到“系統(tǒng)工具”、“本地用戶和組”、“用戶”節(jié)點(diǎn)上（如圖3所示），檢查目標(biāo)節(jié)點(diǎn)下是否存在陌生的用戶賬號(hào)，一旦發(fā)現(xiàn)有可疑賬號(hào)存在時(shí)，必須及時(shí)選中并刪除它們，以防止惡意用戶再次利用它們進(jìn)行惡意攻擊。

圖3 定位到”用戶“節(jié)點(diǎn)

圖4 設(shè)置界面

切斷粘滯鍵后門

與放大程序后門類似的是“粘滯鍵”后門，該后門在Windows服務(wù)器系統(tǒng)下連續(xù)按5下SHIFT鍵，就能開啟系統(tǒng)自帶的粘滯鍵程序，其對(duì)應(yīng)的程序文件為“C：Windowssystem32Sethc.exe”。 當(dāng) 黑客利用技術(shù)手段，將事先構(gòu)造好的具有惡意攻擊性的程序替換掉系統(tǒng)自帶的粘滯鍵程序時(shí)，日后黑客就能通過連續(xù)按5下SHIFT的方式，達(dá)到攻擊特定計(jì)算機(jī)系統(tǒng)的目的。

為了防止該后門程序成為Windows 2003系統(tǒng)的命門，我們最好關(guān)閉系統(tǒng)粘滯鍵的快捷鍵調(diào)用方式。在進(jìn)行該操作時(shí)，可以依次點(diǎn)擊“開始”、“設(shè)置”、“控制面板”命令，彈出系統(tǒng)控制面板窗口，雙擊其中的“輔助功能選項(xiàng)”圖標(biāo)，切換到輔助功能選項(xiàng)設(shè)置對(duì)話框。點(diǎn)擊“鍵盤”標(biāo)簽，在對(duì)應(yīng)標(biāo)簽頁(yè)面的“粘滯鍵”位置處，按下“設(shè)置”按鈕，彈出如圖4所示的設(shè)置界面，取消選中“使用快捷鍵”選項(xiàng)，單擊“確定”按鈕保存設(shè)置即可。

如果不希望關(guān)閉系統(tǒng)粘滯鍵的快捷鍵調(diào)用方式時(shí)，也可以通過授權(quán)的方式，禁止普通用戶使用系統(tǒng)粘滯鍵功能。只要先進(jìn)入系統(tǒng)資源管理器窗口，找到其中的“C：Windowssystem32Sethc.exe”文件，用鼠標(biāo)右鍵單擊該文件，點(diǎn)擊快捷菜單中的“屬性”命令，進(jìn)入對(duì)應(yīng)文件屬性對(duì)話框。選擇“安全”標(biāo)簽，在對(duì)應(yīng)標(biāo)簽頁(yè)面中，將“everyone”賬號(hào)的權(quán)限設(shè)置為拒絕訪問，單擊“確定”按鈕保存設(shè)置操作，這樣普通用戶日后就不能使用系統(tǒng)粘滯鍵功能了。

切斷文件解析后門

基于Windows 2003系統(tǒng)的Web服務(wù)器，一般都存在文件解析后門，當(dāng)特定站點(diǎn)根目錄下的某個(gè)文件夾名稱與“*.asp”格式類似的時(shí)候，那么對(duì)應(yīng)文件夾中的所有內(nèi)容，都會(huì)自動(dòng)被IIS服務(wù)器當(dāng)作ASP程序來進(jìn)行解析執(zhí)行，這么一來惡意用戶就可以通過向特定文件夾上傳圖象格式的惡意文件，來悄悄向服務(wù)器系統(tǒng)植入木馬或間諜程序了，那樣Web服務(wù)器系統(tǒng)的運(yùn)行安全性和穩(wěn)定性就會(huì)受到嚴(yán)重威脅。

為了切斷文件解析后門，建議用戶將通過網(wǎng)站上傳的文件統(tǒng)一保存到指定的一個(gè)文件夾里面，同時(shí)將該文件夾的執(zhí)行權(quán)限設(shè)置為“無”，這樣一定程度能對(duì)文件解析后門進(jìn)行預(yù)防。

在進(jìn)行這種設(shè)置操作時(shí)，不妨先以系統(tǒng)管理員權(quán)限登錄進(jìn)入Windows 2003系統(tǒng)，展開系統(tǒng)資源管理器窗口，從中找到用來保存上傳文件的特定文件夾。用鼠標(biāo)右鍵單擊該文件夾圖標(biāo)，點(diǎn)擊快捷菜單中的“屬性”命令，切換到特定文件夾屬性設(shè)置對(duì)話框。

圖5 選項(xiàng)設(shè)置頁(yè)面

選擇其中的“安全”選項(xiàng)卡，打開如圖5所示的選項(xiàng)設(shè)置頁(yè)面，從該頁(yè)面的“組或用戶名稱”位置處將“everyone”帳號(hào)選中，同時(shí)將其操作權(quán)限調(diào)整為“讀取”和“寫入”，再將其他所有權(quán)限全部設(shè)置為拒絕，確認(rèn)后保存設(shè)置。這樣，黑客就無法利用Windows 2003系統(tǒng)的IIS服務(wù)器文件解析后門，悄悄上傳運(yùn)行g(shù)if或jpg格式的圖象木馬了。

切斷遠(yuǎn)程登錄后門

為了提高管理維護(hù)效率，很多系統(tǒng)管理員經(jīng)常喜歡使用telnet命令，對(duì)局域網(wǎng)中的重要主機(jī)系統(tǒng)進(jìn)行遠(yuǎn)程登錄管理?？墒?，telnet程序在缺省狀態(tài)下會(huì)使用端口23，一旦開啟該端口后，惡意用戶是很容易掃描到的，并悄悄利用該端口遠(yuǎn)程控制服務(wù)器系統(tǒng)。

要想切斷遠(yuǎn)程登錄后門，只要將人人皆知的23端口號(hào)碼修改為其他用戶不知道的號(hào)碼即可，下面就是具體的端口號(hào)碼修改步驟：首先依次單擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“cmd”命令并回車，開啟DOS命令行工作窗口。在該窗口命令提示符下，執(zhí)行“tlntadmn config port=1286”命令（這里假設(shè)1286為新的登錄端口），本地計(jì)算機(jī)的telnet登錄端口就被修改為1286了。

值得注意的是，新指定的遠(yuǎn)程登錄端口號(hào)碼不能和本地計(jì)算機(jī)中已開啟的端口號(hào)碼相同，否則telnet遠(yuǎn)程登錄連接操作將會(huì)失效。

經(jīng)過上述操作后，當(dāng)用戶想通過telnet連接方式遠(yuǎn)程登錄本地計(jì)算機(jī)時(shí)，只要在本地系統(tǒng)主機(jī)的IP地址后面加上“：1286”，就能保證telnet連接操作的成功。