服务器被入侵,很多时候我们无法预测会出现何种漏洞,但很多hacker都习惯性的通过提升Guest账号的权限,
再通过这个没有密码的Guest账号来访问你的机器。要是能删掉Guest就好了、、、
说起来好像很容易,但其实你打算删的时候就会发现,Guest账号同Administrator账号一样,没办法删掉。
当然,这并非不可能,下面就是方法:
一、在NT4.0环境里删掉Guest账号
很容易了,因为已经有现成的工具被人写出来了。
DelGuest下载,官方网站 http://www.ntsecurity.nu/toolbox/delguest/
很久以前 NT4.0的时候,我就用过这个工具了,虽说微软并不赞同这个做法,呵呵
但,从我了解的资料看,的确并没有影响到系统原本的正常运行。
二、在Windows2K环境里删掉Guest账号
没有现成的工具,也可能是我还没找到吧。呵呵
一些线索:Windows系统的账号信息,是存放在HKEY_LOCAL_MACHINE\SAM里的,但是
直接打开注册表想去修改却并不能打开它,哪怕你是管理员权限都不行。
因为为了安全性考虑,必须由“SYSTEM”权限才能访问。
所以整理一下,大致思路是这样的:
以“SYSTEM”权限启动注册表,然后检查注册表项,把账号Guest删掉。
首先,我们以AT来添加一个计划任务,看了一下时间 13:51,OK,设定一分钟后运行。
使用AT,目的是以“SYSTEM”权限运行。
/interactive,目的是让运行的程序以交互式界面的方式运行。
趁程序还在等待调度,我们先看看Guest账号的资料
呵呵,想想待会它就没了,还是很爽的
ok,13:52了,regedt32程序运行了
打开注册表程序
把 HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users下的两个相关键删掉。
一个是000001F5,一个是Names下的Guest
呵呵,怎么删不用我讲了吧
然后呢,我们再检查一下,账号
net user guest
不见了吧
好的,就到这里。
另,如果是win2k域模式下,推荐不要删掉Guest账号,我没有测试过,不知道会不会出现什么问题。
|
