勿讓系統(tǒng)后門成命門

■

提到Windows 2003系統(tǒng)的“安全”字眼，不少人都會下意識地“請”來各種專業(yè)安全工具，希望借助它們的力量來給該系統(tǒng)多一點的安全保護。其實，在手頭沒有外力工具可以利用的情況下，我們可以充分利用自己的聰明才智，對服務器系統(tǒng)進行嚴格管理，也能讓其安全無憂！

切斷關機腳本后門

大家知道，往系統(tǒng)組策略中添加關機腳本，能夠讓Windows在關閉系統(tǒng)時執(zhí)行一些特殊操作。由于這種操作具有很好的隱蔽效果，惡意用戶經(jīng)常會利用它來做Windows 2003服務器系統(tǒng)的后門。例如，惡意用戶事先構造一個腳本文件，讓其生成具有系統(tǒng)管理員權限的隱藏賬號，之后打開系統(tǒng)組策略編輯界面，將鼠標定位到“本地計算機策略”、“計算機配置”、“Windows設置”、“腳本 (啟動/關機)”節(jié)點上，用鼠標雙擊目標節(jié)點下的“關機”組策略，在對應組策略屬性對話框中（如圖1所示），導入剛才構造的腳本文件，這樣Windows系統(tǒng)日后在關機時，就能偷偷創(chuàng)建具有系統(tǒng)管理員權限的隱藏賬號了。

圖1 對應組策略屬性對話框

對于普通用戶來說，根本不清楚本地系統(tǒng)中悄悄生成了一個隱藏賬號，而惡意用戶能夠心安理得地通過該賬號控制本地系統(tǒng)，即使普通用戶發(fā)現(xiàn)并刪除了隱藏賬號，當執(zhí)行關閉系統(tǒng)操作時，該隱藏賬號又會卷土重來。

這種后門之所以被惡意用戶頻繁利用，主要是系統(tǒng)管理員自己平時疏于防范，對組策略中的關機腳本配置操作不熟悉。要想切斷關機腳本后門，只要定期打開系統(tǒng)組策略編輯窗口，依次展開“本地計算機策略”、“計算機配置”、“Windows 設置”、“腳本(啟動/關機)”節(jié)點，檢查目標節(jié)點下是否存在陌生的腳本文件，一旦發(fā)現(xiàn)有可疑腳本出現(xiàn)時，不但要將其從腳本列表中及時刪除掉，而且還要找到并刪除原始的腳本文件。

此外，系統(tǒng)管理員也可以打開資源管理器窗口，定 期 查 看“C：Windowssystem32GroupPolicyM a c h i n eS c r i p t sShutdown”窗口下的內(nèi)容，因為所有關機腳本內(nèi)容都會顯示在這里。按照同樣的操作方法，我們還要切斷啟動腳本后門。

切斷系統(tǒng)嗅探后門

為了防止被植入的專業(yè)嗅探程序被用戶發(fā)現(xiàn)，這類程序往往會被偽裝成系統(tǒng)驅動程序，而且文件尺寸也是相當?shù)匦。踩庾R不高的用戶一般很難找到它們的蹤跡。

那么怎樣才能切斷系統(tǒng)嗅探后門呢？

首先采取加密措施，對重要數(shù)據(jù)的傳輸進行安全保護。例如，在上網(wǎng)瀏覽站點信息時，可以使用https協(xié)議，來突破專業(yè)工具的嗅探，避免Web訪問密碼被黑客偷偷竊取，當然這種方法的安全保護，依賴瀏覽器的正確實現(xiàn)以及服務器軟件、實際加密算法的支持。

圖2 選項設置對話框

其次，加強對系統(tǒng)登錄操作的審核追蹤。惡意用戶要想植入專業(yè)嗅探程序，必須先要成功登錄Windows 2003服務器系統(tǒng)。

如果我們事先對系統(tǒng)登錄操作啟用審核監(jiān)控策略，那么惡意用戶的一切登錄入侵痕跡會被系統(tǒng)日志記憶下來，到時打開事件查看器窗口，檢查分析有沒有可疑時間的非法登錄，或許就能發(fā)現(xiàn)惡意用戶的“身影”。

在啟用審核監(jiān)控策略時，可以依次點擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，輸入“gpedit.msc”命令并回車，開啟系統(tǒng)組策略編輯器運行狀態(tài)。將鼠標定位到左側列表中的“本地計算機策略”、“計算機配置”、“Windows 設置”、“安全設置”、“本地策略”、“審核策略”節(jié)點上，雙擊目標節(jié)點下的“審核登錄事件”選項，打開如圖2所示的選項設置對話框，選中“成功”選項，單擊“確定”按鈕保存設置即可。

當然，有些狡猾的惡意用戶，可能在實施攻擊后，會悄悄刪除或者修改遺留在日志中的痕跡，這時唯一的應對辦法，就是想辦法找到并刪除安裝在Windows 2003服務器系統(tǒng)中的嗅探工具，同時及時調(diào)整系統(tǒng)管理員登錄密碼。

第三拒絕使用雜錯節(jié)點。在Windows 2003服務器系統(tǒng)中安裝不支持雜錯的網(wǎng)卡設備，一般能夠預防IBM兼容機進行嗅探。

該礦體為浸染(星點)狀輝鉬礦，礦體呈灰白色—淺肉紅色—褐紅色，地表出露長度為142 m，厚度1.72～2.86 m，產(chǎn)狀310°∠69°。礦體規(guī)模不大，沿走向露頭不好。礦石金屬礦物主要有黃鐵礦、褐鐵礦、輝鉬礦、鉬華，蝕變主要為硅化。脈石礦物主要為二長花崗巖及碎裂石英巖。圍巖為二長花崗巖，礦體與圍巖界線不明顯，沿礦體兩側圍巖產(chǎn)生鉀化、硅化蝕變。礦石鉬品位0.038%～0.137%。

切斷放大程序后門

為了方便視力不好用戶的操作，Windows 2003系統(tǒng)特意內(nèi)置了一個小巧玲瓏的放大鏡程序。不過，該程序很容易被惡意用戶替換成具有破壞性的腳本文件，這樣它就會在不知不覺中成為服務器系統(tǒng)的后門，被黑客利用來攻擊控制服務器系統(tǒng)。一旦黑客通過自行構造的腳本程序，來竊取得到最高權限的用戶賬號時，那么整個服務器系統(tǒng)都降成為黑客的掌中玩物。

為了切斷放大程序后門，我們需要定期打開服務器系統(tǒng)資源管理器窗口，切換到“%Windir%system32”文件夾中，檢查“magnify.exe”程 序 圖標與默認的放大鏡圖標是否一致，如果不一致，那么多半是黑客正在利用放大程序后門。此時，先將被替換掉的放大程序文件刪除，同時從其他Windows 2003系統(tǒng)中拷貝一個正常 的“magnify.exe”文件回來，以恢復放大程序的工作狀態(tài)。

之后，用鼠標右鍵單擊服務器系統(tǒng)桌面上的“我的電腦”圖標，執(zhí)行快捷菜單中的“管理”命令，打開計算機管理窗口。在該窗口的左側列表中，將鼠標定位到“系統(tǒng)工具”、“本地用戶和組”、“用戶”節(jié)點上（如圖3所示），檢查目標節(jié)點下是否存在陌生的用戶賬號，一旦發(fā)現(xiàn)有可疑賬號存在時，必須及時選中并刪除它們，以防止惡意用戶再次利用它們進行惡意攻擊。

圖3 定位到”用戶“節(jié)點

圖4 設置界面

切斷粘滯鍵后門

與放大程序后門類似的是“粘滯鍵”后門，該后門在Windows服務器系統(tǒng)下連續(xù)按5下SHIFT鍵，就能開啟系統(tǒng)自帶的粘滯鍵程序，其對應的程序文件為“C：Windowssystem32Sethc.exe”。 當 黑客利用技術手段，將事先構造好的具有惡意攻擊性的程序替換掉系統(tǒng)自帶的粘滯鍵程序時，日后黑客就能通過連續(xù)按5下SHIFT的方式，達到攻擊特定計算機系統(tǒng)的目的。

為了防止該后門程序成為Windows 2003系統(tǒng)的命門，我們最好關閉系統(tǒng)粘滯鍵的快捷鍵調(diào)用方式。在進行該操作時，可以依次點擊“開始”、“設置”、“控制面板”命令，彈出系統(tǒng)控制面板窗口，雙擊其中的“輔助功能選項”圖標，切換到輔助功能選項設置對話框。點擊“鍵盤”標簽，在對應標簽頁面的“粘滯鍵”位置處，按下“設置”按鈕，彈出如圖4所示的設置界面，取消選中“使用快捷鍵”選項，單擊“確定”按鈕保存設置即可。

如果不希望關閉系統(tǒng)粘滯鍵的快捷鍵調(diào)用方式時，也可以通過授權的方式，禁止普通用戶使用系統(tǒng)粘滯鍵功能。只要先進入系統(tǒng)資源管理器窗口，找到其中的“C：Windowssystem32Sethc.exe”文件，用鼠標右鍵單擊該文件，點擊快捷菜單中的“屬性”命令，進入對應文件屬性對話框。選擇“安全”標簽，在對應標簽頁面中，將“everyone”賬號的權限設置為拒絕訪問，單擊“確定”按鈕保存設置操作，這樣普通用戶日后就不能使用系統(tǒng)粘滯鍵功能了。

切斷文件解析后門

基于Windows 2003系統(tǒng)的Web服務器，一般都存在文件解析后門，當特定站點根目錄下的某個文件夾名稱與“*.asp”格式類似的時候，那么對應文件夾中的所有內(nèi)容，都會自動被IIS服務器當作ASP程序來進行解析執(zhí)行，這么一來惡意用戶就可以通過向特定文件夾上傳圖象格式的惡意文件，來悄悄向服務器系統(tǒng)植入木馬或間諜程序了，那樣Web服務器系統(tǒng)的運行安全性和穩(wěn)定性就會受到嚴重威脅。

為了切斷文件解析后門，建議用戶將通過網(wǎng)站上傳的文件統(tǒng)一保存到指定的一個文件夾里面，同時將該文件夾的執(zhí)行權限設置為“無”，這樣一定程度能對文件解析后門進行預防。

在進行這種設置操作時，不妨先以系統(tǒng)管理員權限登錄進入Windows 2003系統(tǒng)，展開系統(tǒng)資源管理器窗口，從中找到用來保存上傳文件的特定文件夾。用鼠標右鍵單擊該文件夾圖標，點擊快捷菜單中的“屬性”命令，切換到特定文件夾屬性設置對話框。

圖5 選項設置頁面

選擇其中的“安全”選項卡，打開如圖5所示的選項設置頁面，從該頁面的“組或用戶名稱”位置處將“everyone”帳號選中，同時將其操作權限調(diào)整為“讀取”和“寫入”，再將其他所有權限全部設置為拒絕，確認后保存設置。這樣，黑客就無法利用Windows 2003系統(tǒng)的IIS服務器文件解析后門，悄悄上傳運行gif或jpg格式的圖象木馬了。

切斷遠程登錄后門

為了提高管理維護效率，很多系統(tǒng)管理員經(jīng)常喜歡使用telnet命令，對局域網(wǎng)中的重要主機系統(tǒng)進行遠程登錄管理?？墒牵瑃elnet程序在缺省狀態(tài)下會使用端口23，一旦開啟該端口后，惡意用戶是很容易掃描到的，并悄悄利用該端口遠程控制服務器系統(tǒng)。

要想切斷遠程登錄后門，只要將人人皆知的23端口號碼修改為其他用戶不知道的號碼即可，下面就是具體的端口號碼修改步驟：首先依次單擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，輸入“cmd”命令并回車，開啟DOS命令行工作窗口。在該窗口命令提示符下，執(zhí)行“tlntadmn config port=1286”命令（這里假設1286為新的登錄端口），本地計算機的telnet登錄端口就被修改為1286了。

值得注意的是，新指定的遠程登錄端口號碼不能和本地計算機中已開啟的端口號碼相同，否則telnet遠程登錄連接操作將會失效。

經(jīng)過上述操作后，當用戶想通過telnet連接方式遠程登錄本地計算機時，只要在本地系統(tǒng)主機的IP地址后面加上“：1286”，就能保證telnet連接操作的成功。