日志
win2003防止黑客创建用户OR管理员
||
如何防止黑客入侵进你的服务器之后,进行创建用户或管理员呢?
这篇文章不讲如何来入侵一个服务器,现在我也不会,我就先说下,即使黑客入侵进去了,那你也有办法,不让他创建用户,以防止他日后用他创建的用户进行提权、登录。
一、首先来看下win2003下如何查看、创建、分组用户。
查看:net user
创建:net user用户名 密码/add
分组:net localgroup administrators 用户名/add
二、禁止新建用户
在入侵了一台电脑后,黑客一般先会使用“net user用户名 密码/add”命令新建一个用户,并用“net localgroup administrators 用户名/add”命令,将新用户添加到Administrator管理员组中。这样黑客就可以用添加的用户名登录,并拥有管理员权限了。如何才能防止用户添加新用户呢?
可以看到在黑客添加新用户的过程中,net命令是必不可少的,如果让黑客无法运行net命令的话,也就间接的阻止了黑客新建用户。net命令的执行文件位于系统目录“c:\windows\system32”下,文件名为“net.exe”,我们只要将此文件重命名,改为如“netno.exe”等。当黑客入侵后添加新用户时,就会显示命令错误,从而无法新建用户了。
三、即使他突破了防线,建立了新用户,也得禁止新建用户登录。
如果碰上比较厉害的黑客,他们可能会使出“杀手锏”,自己上传一个“net.exe”文件,从而恢复新建用户名的功能。魔高一尺,道高一丈,我们依然有办法对付这招——直接禁止新建的用户登录,对黑客下一道逐客令,黑客即使拥有管理员帐号,也无法登录。
打开资源管理器,定位到文件夹“C:\Documents and Settings”,可以看到在此文件夹下有以系统中用户名命名的目录,这些目录中就包含了每个用户登录信息。其中“Default User”目录管理着所有用户默认配置,每个新建的用户在首次登录时,都必须从这个目录中调用一些信息。首先将此文件夹改名,例如可改为“No Users”。
当黑客新建了一个普通权限的用户,在第一次登录时将出现错误无法登录成功,会提示“……无法加载您的配置文件……”,这就禁止了黑客以新帐号登录。但是如果黑客新建立的是一个管理员权限用户时,虽然也会弹出无法加载配置文件的提示,但是系统还会允许新建的管理员登录。这是因为存放管理员的默认配置文件存放在另一个目录中,路径为“C:\WINDOWS\system32 \config\systemprofile”,将“systemprofile”文件夹改名后,即可防止任意新建的管理员用户登录了。
四、先查出克隆用户,并删除克隆用户。
克隆用户很难被发现。而且一般黑客都是克隆guest用户。
1.克隆帐号现身
具体如何克隆帐号这里就不多说了,我们主要来看看如何让克隆帐号现身。一般克隆的Guest帐号,在“用户帐户”管理器中会显示为Guest组,而且是未启用激活状态,但是却具有管理员权限,登录后可进行各种管理员权限的操作,危害十分的大。如何才能检测出这类克隆帐号呢?
这里使用一款名为LP_Check的帐号克隆检测工具,程序运行后检测系统中的所有用户帐号信息,如果发现某一个帐号有问题的话,会在列表中以红色三角符号重点标记出来,并在“Important”中提示发现隐藏或克隆的管理员帐号。
这里贴出LP_Check.
2.清除克隆帐号
检测出了系统中的克隆管理员帐号后,需要清除已克隆的帐号。但是由于Guest帐号是内置帐号,因此无法直接通过帐号管理器将其删除。虽然可以更改该帐号的密码,让黑客无法用该帐号登录,不过该帐号依然还是具有管理员权限,非常的危险,因此需要清除克隆帐号所具有的权限。
在命令提示符下进入MT所在的文件夹,执行命令“mt-killuser guest”,提示“Kill User: guest Success!”删除Guest帐号成功。执行命令“net user”,显示系统中的所有用户列表,可以看到Guest帐号已经不存在了。最后再执行命令“net user guest”,重新添加一个Guest帐号,新添加的帐号权限就恢复正常了。
在命令提示符下进入MT所在的文件夹,执行命令“mt-killuser guest”,提示“Kill User: guest Success!”删除Guest帐号成功。执行命令“net user”,显示系统中的所有用户列表,可以看到Guest帐号已经不存在了。最后再执行命令“net user guest”,重新添加一个Guest帐号,新添加的帐号权限就恢复正常了。
