Notas de solicitud de comando del sistema (1)

El predecesor del sistema Windows es el sistema operativo DOS. La operación del usuario en la computadora debe completarse ingresando comandos. Después de que nació Windows, la interfaz gráfica reemplazó a la interfaz de comandos en negro, y el sistema operativo DOS se fue olvidando gradualmente. Pero el DOS no está lejos de nosotros, pero ha cambiado su forma en el sistema Windows actual, que es el "indicador de comando". En todos los incidentes de piratería, la mayor parte de la piratería se realiza a través del "símbolo del sistema", por lo que el pirata informático captura el "símbolo del sistema", que es equivalente a capturar nuestro sistema, por lo que en nuestro sistema habitual En la protección de seguridad, la seguridad del "indicador de comando" no debe ser ignorada.

Consejos de edición: Proteger la importancia de la seguridad del "Símbolo del sistema"

Aunque Windows es ahora una interfaz gráfica de usuario, su trabajo se realiza mediante varias instrucciones. El "indicador de comandos" es más parecido al núcleo de Windows, donde podemos ingresar varios comandos para controlar el sistema. En el artículo anterior sobre ataques de desbordamiento, los piratas informáticos no invadieron Windows directamente, sino que obtuvieron un shell a través del código de desbordamiento. Este shell hace referencia al permiso del pirata informático para obtener el "indicador de comandos" del equipo de destino. El hacker puede ingresar el comando correspondiente en el shell para completar el paso de intrusión. Por ejemplo, ingrese "net user hacker /add" para crear un usuario llamado hacker. Ingrese "net localgroup administradores hacker /add" para actualizar al hacker usuario. A los privilegios de administrador. Desde que no se otorga permiso a los privilegios de administrador en el equipo de destino, el pirata informático puede simplemente ingresar dos comandos en el "indicador de comandos" para completar, por lo que la función del "indicador de comandos" en Windows es muy grande.

Deshabilitando el comando "usuario neto"

Después de obtener un shell, un hacker generalmente verifica primero el estado de la cuenta en el host de destino. El comando utilizado es "usuario neto". Si deshabilitamos este comando, podemos engañar al hacker y hacerle saber.

Haga clic en el menú "Inicio" → "Ejecutar", ingrese "regedit" Ingrese para ejecutar "Editor del Registro", localice HKEY_LOCAL_MACHINESAMSAM, haga clic derecho en el elemento SAM, seleccione "Permiso". En la ventana de configuración de privilegios, haga clic en "Control total", haga clic en Aceptar. Presione F5 para actualizar, expanda el elemento SAM, navegue a HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers

Nombres, haga clic con el botón derecho en el elemento Nombres, seleccione "Nuevo" → "Elemento" , el nombre del elemento para introducir un espacio, y luego haga doble clic en la tecla a la derecha será la clave para su espacio. una vez finalizado el registro se puede cerrar.
▲ modificar el registro

Ahora el pirata informático ingresa el comando "usuario neto" en el "indicador de comandos" y verá el eco trágico de "la lista está vacía". Hemos alcanzado el objetivo de piratería.

Deshabilitar el "símbolo del sistema"

Después de todo, es solo un pirata informático novato que parpadea. Un pirata informático poco experimentado puede verlo, por lo que la forma más segura es deshabilitar el "símbolo del sistema". El método es el siguiente:

Haga clic en el menú "Inicio" → "Herramientas administrativas" → "Política de seguridad local", expanda "Configuración de seguridad" → "Política de restricción de software", haga doble clic en "Otras reglas", a la derecha Haga clic en el espacio en blanco. En el menú que aparece, seleccione "Nueva regla de hash". Haga clic en el botón Examinar en "Archivo Hash" para seleccionar el archivo cmd.exe ubicado en el directorio c: windowssystem32 y configure su "Nivel de seguridad" en "No permitido". Luego haga clic en Aceptar.

Después de esta configuración, todos los usuarios no podrán ejecutar el "símbolo del sistema", ingrese "cmd" en "Ejecutar" y presione Entrar ". Debido a una política de restricción de software Bloqueando, Windows no puede abrir las indicaciones de este programa, el "indicador de comando" está completamente deshabilitado en este momento. Pero a veces, todavía necesitamos usar el "indicador de comando", no hay forma de usarlo usted mismo, Pero, ¿qué no puede usar el pirata informático?
▲ Establezca la regla de restricción "Símbolo del sistema"

Podemos configurarlo de esta manera: haga doble clic en "Política de restricción de software" y busque la opción "Forzar" en el lado derecho. La política de restricción de software se aplica a la siguiente opción de "Enganche para todos los usuarios excepto los administradores locales", haga clic en Aceptar. Una vez configurada, solo la cuenta del administrador local puede usar el "indicador de comando", otras cuentas que no sean de administrador, como el usuario no podrá usar el "indicador de comando", por supuesto, los piratas informáticos ya no pueden usar el "indicador de comando" para invadir .
▲ Establezca el permiso para ejecutar el "símbolo del sistema"