灵活配置 提高系统安全性

■ 河南 刘景云

编者按：笔者单位的一台服务器遭到了黑客入侵，黑客通过非法提权和网页挂马等手段，将运行在其中的网站变得面目全非。该机是一台相对较老的机器，上面安装的是Windows Server 2003 R2系统。考虑到在一些企业中还运行着不少Windows Server 2003服务器，完全可以满足一定的业务需求。所以需要增加其安全性，使其避开黑客袭扰，更好的为企业服务。

封锁端口，防止非法连接

为了保护系统正常运行，最好将各种危险的端口全部封闭，不给黑客以可乘之机。使用IP安全策略，可以手动的封锁危险的端口。

例如，运行“gpedit.msc”程序，在组策略编辑器左侧打开“计算机配置→Windows设置→安全设置→IP安全策略”项，在右侧窗口中右击“创建IP安全策略”项，在向导窗口中点击“下一步”按钮，设置策略名称和描述信息。在下一步窗口中取消“激活默认响应规则”项的选择状态。双击刚才创建的IP策略，在弹出窗口取消“使用添加向导”项的选择状态。

点击“添加”按钮，在弹出窗口中的“IP筛选器列表”面板中点击“添加”按钮，输入本筛选器名称和描述信息。点击“添加”按钮，同样不选择“使用添加向导”项。继续点击“添加”按钮，在“寻址”面板的“源地址”列表中选择“任何IP地址”，在“目标地址”列表中选择“我的IP地址”项。在“协议”面板中的“选择协议类型”列表中选择“TCP”，先选择“从任意端口”项，再选择“到此端口”项，将端口设定为135，之后完成本筛选器创建操作。在“IP筛选器列表”面板选择上述筛选器项，在“筛选器操作”面板中点击“添加”按钮，选择“阻止”项。

完成本IP安全策略的创建操作以后，只要在该IP策略项的右键菜单上点击“指派”项，就可以激活保护动作，别人就无法连接TCP 135端口了。

不过，单纯依靠手工操作比较繁琐，可以利用预设的策略文件来实现批处理要求。

例如，可以下载“lockp Port.ipsec”文件，选择上述“IP安全策略”项，在右侧窗口中右击选择“所有任务→导入策略”项，选择“lockp Port.ipsec”文件后将其导入进来。之后双击“客户端（仅相应）”项，在其属性窗口中可以看到被封锁的端口信息。

在“客户端（仅相应）”项的右键菜单上点击“指派”项，激活该策略。

配置权限，防止非法登录

可运行“compmgmt.msc”程序，在计算机管理窗口左侧选择“本地用户和组→用户”项，在“Administrator”用户的右键菜单上点击“设置”密码项，为其设置尽可能复杂的密码。

在组策略管理器中打开“计算机配置→Windows设置→安全设置→本地策略→安全选项”项，双击“账户：重命名系统管理员账户”项，为Administrator设置新的名称（例如“newuser01”）。然后双击“交互式登录：不显示上次的用户名”项，选择“已启用”。选择“用户配置→管理模版→系统”项，双击“阻止访问注册表编辑工具”项，选择“已启用”项，分支非法操作注册表。

通过运行“secpol.msc”程序，选择“本地策略→用户权限分配”项，双击“通过终端服务允许登录”项，点击“删除”按钮，将预设的账户全部删除。点击“添加用户或组”按钮，添加更名后的管理员账户。双击“通过终端服务拒绝登录”项，点击“添加用户或组”按钮，在选择对象或组窗口中的“选择对象类型”栏中确保选中“用户或内置安全主体”项。

点击“高级→搜索”按钮，依次将“LOCALl SERVICE”“ANONYOUS LOGON” “BATCH”“CREATOR GROUP” “DIALUP”“TERMINAL SERVER USER”“SYSTEM”等对象添加进来。这样设置益处很多，例如即使黑客在本地创建了账户，也无法通过终端服务登录。为了避免黑客发现本机开启了终端服务，可以运行华盾3389修改器之类的工具，将其设置不常见的端口，来避开黑客的扫描探测。

优化配置，提高安全性

当然，为了防止黑客利用系统漏洞进行渗透，可以借助于WSUS服务，或者使用安全工具为系统打上各种补丁。也可以运行Windows优化大师，在其左侧选择“系统安全优化”项，在右侧的“分析及处理选项”栏中选择“扫描木马程序” “扫描蠕虫病毒” “常见病毒检查和免疫”“关闭445端口” “启用自动抵御SYN攻击” “启用自动抵御ICMP攻击” “启用自动抵御SNMP攻击” “启用AFD.SYS” “禁止本机相应网络请求发布自己的NetBIOS名称”“减少连接有效性验证间隔时间”等项目，点击“分析处理”按钮，来启动对应的保护项目，以保护系统安全。

选择“禁止用户建立空连接” “禁止系统自动启用服务器共享” “禁止自动登录” “开机自动进入屏幕保护” “每次退出系统（注销系统）时，自动清除文档历史记录” “禁止光盘，U盘等所有磁盘自动运行”等项目，点击“优化”按钮，来提高系统安全性。

为了快速设置系统安全性，可以运行Windows 2003 Server安全自动化设置程序，在其操作界面中只需点击“0”键，就可以依次执行设置系统盘权限并优化系统，删除C盘所有Users权限，设置C盘EXE文件安全，删除SQL Server危险存储过程，封闭135、445端口，删除注册表危险项，删除服务器的网络共享，停止无用的系统服务，清理系统的垃圾文件等操作。

运行易方安全设置程序，在其中选择“磁盘安全设置” “网站主目录安全设置”“系统安全设置” “Serv-U安全设置” “PHP安全设置”“MySQL安全设置” “Winweb Mail安全设置”项，点击“开始设置”按钮，就可以毫不费力地完成所需的安全配置操作。

严密管控，防止黑客非法提权

为了防止黑客利用系统自带的工具提权，可以对其进行必要的控制。

例如，进入“c:windowssystem32”目录，选择“net.exe”程序，在其属性窗口中的“安全”面板中点击“删除”按钮，将“SYSTEM”之后的账户或组全部删除，点击“添加”按钮，导入上述更名后的管理员账户。对“SYSTEM”账户只保留“读取和运行”和“读取”权限。

对应地，可对“net1.exe”“ftp.exe” “sc.exe” “cacls.exe”“attrib.exe”以及“at.exe”等容易被黑客利用的程序进行同样的配置。

为黑客经常使用“cmd.exe”程序进行非法提权，所以需要对其严格控制。例如，可以在属性窗口中的“安全”面板中将所有的账户全部清除。点击“应用”按钮，在弹出的警告窗口中点击“确定”按钮，保存设置信息。

之后，“cmd.exe”程序就处于禁用状态，不管是任何用户试图调用该程序，系统都会弹出“无法访问指定设备，路径或文件，您可能没有合适的权限访问这个项目”的提示，使其无法操作该程序。

当然，为了自己实际需要，也可以创建专用的账户，将其单独添加到“cmd.exe”文件安全面板中的“组或用户”列表中，便于您使用命令行窗口。

为了防止SYSTEM账户访问“cmd.exe”程序，可以在注册表编辑器中打开“HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWin dowsSystem”分支，如果没有对应的子健则需要手工建立。在窗口右侧新建名称为“DisableCMD”类型为DWORD的项目，将其值设置为“1”，可以禁止命令解释器和批处理文件的运行。

经过以上设置之后，即使黑客对系统进行远程溢出攻击，但是在调用CMD Shell接口时会遭到系统拦截，使其无法对获得有效的控制权。当黑客通过某些漏洞实施系统远程溢出攻击后，就会利用获得远程CMD Shell接口执行各种危险的命令，例如添加账户、上传文件、激活木马等。

自动记录命令，追踪黑客痕迹

如果能够将黑客执行的所有命令记录下来，就可以了解其对系统进行了哪些入侵行为，进而将其入侵影响消除。例如，删除木马，清除非法账户等。还可以以此来顺藤摸瓜，了解系统存在哪些安全隐患，将其及时堵上。

使用CMD命令记录器，就可以轻松实现上述功能。点击“Windows+R”组合键，执行“cmd.exe”程序，在其中执行“ren c:windowssystem 32cmd.exe cm_.exe”命令，将原来的“cmd.exe”文件更名为“cm_.exe”。如果系统出现文件保护界面，需要点击“取消”按钮，让更名得以顺利进行。

当然也可以在安全模式，Windows PE等环境中进行更名操作。将下载的“CmdPlus.rar”压缩包解压到“c:windowssystem32”目录中。将其中的“cmdplus.exe”更名为“cmd.exe”，替换原来的“cmd.exe”程序。

之后，如果黑客对本机远程溢出得手，执行的所有命令全部经由“cmdplus.exe”程序，通过匿名管道传送给“cm_.exe”程序去执行，并将其完整记录下来。

打开“c:windowssys tem32”目录下的“history.txt”文件，可以看到CMD记录信息的所有内容。当然，您自己使用的话，可以直接执行“cm_.exe”程序，来操作各种命令。