Windows 服務器組件安全設置策略

2019-11-02 16:01:11

字體：大中小

來源：轉載

供稿：網友

A、卸載WScript.Shell 和 Shell.application 組件，將下面的代碼保存為一個.BAT文件執行（分2000和2003系統）

windows2000.bat regsvr32/u C:/WINNT/System32/wshom.ocx del C:/WINNT/System32/wshom.ocx regsvr32/u C:/WINNT/system32/shell32.dll del C:/WINNT/system32/shell32.dll

windows2003.bat regsvr32/u C:/WINDOWS/System32/wshom.ocx del C:/WINDOWS/System32/wshom.ocx regsvr32/u C:/WINDOWS/system32/shell32.dll del C:/WINDOWS/system32/shell32.dll

B、改名不安全組件，需要注意的是組件的名稱和Clsid都要改，并且要改徹底了，不要照抄，要自己改

【開始→運行→regedit→回車】打開注冊表編輯器

然后【編輯→查找→填寫Shell.application→查找下一個】

用這個方法能找到兩個注冊表項：

{13709620-C279-11CE-A49E-444553540000} 和 Shell.application 。

第一步：為了確保萬無一失，把這兩個注冊表項導出來，保存為xxxx.reg 文件。

第二步：比如我們想做這樣的更改

13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001

Shell.application 改名為 Shell.application_nohack

第三步：那么，就把剛才導出的.reg文件里的內容按上面的對應關系替換掉，然后把修改好的.reg文件導入到注冊表中（雙擊即可），導入了改名后的注冊表項之后，別忘記了刪除原有的那兩個項目。這里需要注意一點，Clsid中只能是十個數字和ABCDEF六個字母。

其實，只要把對應注冊表項導出來備份，然后直接改鍵名就可以了，

改好的例子

建議自己改

應該可一次成功 Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}] @="Shell Automation Service" [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/InProcServer32] @="C://WINNT//system32//shell32.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/ProgID] @="Shell.Application_nohack.1" [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/TypeLib] @="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}" [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/Version] @="1.1" [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/VersionIndependentProgID] @="Shell.Application_nohack" [HKEY_CLASSES_ROOT/Shell.Application_nohack] @="Shell Automation Service" [HKEY_CLASSES_ROOT/Shell.Application_nohack/CLSID] @="{13709620-C279-11CE-A49E-444553540001}" [HKEY_CLASSES_ROOT/Shell.Application_nohack/CurVer] @="Shell.Application_nohack.1"

老杜評論： WScript.Shell 和 Shell.application 組件是腳本入侵過程中，提升權限的重要環節，這兩個組件的卸載和修改對應注冊鍵名，可以很大程度的提高虛擬主機的腳本安全性能，一般來說，ASP和php類腳本提升權限的功能是無法實現了，再加上一些系統服務、硬盤訪問權限、端口過濾、本地安全策略的設置，虛擬主機因該說，安全性能有非常大的提高，黑客入侵的可能性是非常低了。注銷了Shell組件之后，侵入者運行提升工具的可能性就很小了，但是prel等別的腳本語言也有shell能力，為防萬一，還是設置一下為好。下面是另外一種設置，大同小異。

　　一、禁止使用FileSystemObject組件

　　FileSystemObject可以對文件進行常規操作,可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。

　　HKEY_CLASSES_ROOT/Scripting.FileSystemObject/

　　改名為其它的名字，如：改為 FileSystemObject_ChangeName

上一篇：windows服務器記錄3389遠程桌面IP策略

下一篇：Windows rsync服務器備份配置實例