WIN2003服务器防止黑客入侵5大招--防止被建管理员用户

    本教程仅适用于安装Windows2003系统的美云VPS和云主机产品。

 

    管理windows 2003服务器的时候，相信大家一定是用远程桌面来进行管理，首先一定要关闭不必要的端口，同时要把默认的3389端口修改掉。通过注册表修改3389端口的办法，相信大家一定知道了。如果不知道，搜索下就有了。除了这些，还有几招很有用的操作。

 

    一、关闭电脑大门，禁止新建用户

    在入侵了一台电脑后，黑客一般先会使用“net user用户名 密码/add”命令新建一个用户，并用“net localgroup administrators 用户名/add”命令，将新用户添加到Administrator管理员组中。这样黑客就可以用添加的用户名登录，并拥有管理员权限了。如何才能防止用户添加新用户呢？

    可以看到在黑客添加新用户的过程中，net命令是必不可少的，如果让黑客无法运行net命令的话，也就间接的阻止了黑客新建用户。net命令的执行文件位于系统目录“c:\windows\system32”下，文件名为“net.exe”，我们只要将此文件重命名，改为如“netno.exe”等。当黑客入侵后添加新用户时，就会显示命令错误，从而无法新建用户了。

    二、陌生人不得入内，禁止新建用户登录

    如果碰上比较厉害的黑客，他们可能会使出“杀手锏”，自己上传一个“net.exe”文件，从而恢复新建用户名的功能。魔高一尺，道高一丈，我们依然有办法对付这招——直接禁止新建的用户登录，对黑客下一道逐客令，黑客即使拥有管理员帐号，也无法登录。

    打开资源管理器，定位到文件夹“C:\Documents and Settings”，可以看到在此文件夹下有以系统中用户名命名的目录，这些目录中就包含了每个用户登录信息。其中“Default User”目录管理着所有用户默认配置，每个新建的用户在首次登录时，都必须从这个目录中调用一些信息。首先将此文件夹改名，例如可改为“No Users”。

    当黑客新建了一个普通权限的用户，在第一次登录时将出现错误无法登录成功，会提示“……无法加载您的配置文件……”，这就禁止了黑客以新帐号登录。但是如果黑客新建立的是一个管理员权限用户时，虽然也会弹出无法加载配置文件的提示，但是系统还会允许新建的管理员登录。这是因为存放管理员的默认配置文件存放在另一个目录中，路径为“C:\WINDOWS\system32 \config\systemprofile”，将“systemprofile”文件夹改名后，即可防止任意新建的管理员用户登录了。

    三、揪出克隆的帐号

    经过上面的两个步骤，黑客已经无法在我们的系统中添加任何帐户了，但是这还不能保证帐号足够安全，因为高明的黑客一般是不会主动添加帐号的，而是采用最隐藏厉害的“帐号克隆”。顾名思义，帐号克隆就是对某个帐号所具有的权限进行完整的复制，黑客一般是对系统中已有的帐号Guest进行复制，克隆提升成具有管理员权限的用户帐号，而被克隆的帐号往往看不出丝毫破绽，依然显示为原来的普通权限。

    1.克隆帐号现身

    具体如何克隆帐号这里就不多说了，我们主要来看看如何让克隆帐号现身。一般克隆的Guest帐号，在“用户帐户”管理器中会显示为Guest组，而且是未启用激活状态，但是却具有管理员权限，登录后可进行各种管理员权限的操作，危害十分的大。如何才能检测出这类克隆帐号呢？
这里使用一款名为LP_Check的帐号克隆检测工具，程序运行后检测系统中的所有用户帐号信息，如果发现某一个帐号有问题的话，会在列表中以红色三角符号重点标记出来，并在“Important”中提示发现隐藏或克隆的管理员帐号。

   　2.清除克隆帐号

    检测出了系统中的克隆管理员帐号后，需要清除已克隆的帐号。但是由于Guest帐号是内置帐号，因此无法直接通过帐号管理器将其删除。虽然可以更改该帐号的密码，让黑客无法用该帐号登录，不过该帐号依然还是具有管理员权限，非常的危险，因此需要清除克隆帐号所具有的权限。
在命令提示符下进入MT所在的文件夹，执行命令“mt-killuser guest”，提示“Kill User: guest Success!”删除Guest帐号成功。执行命令“net user”，显示系统中的所有用户列表，可以看到Guest帐号已经不存在了。最后再执行命令“net user guest”，重新添加一个Guest帐号，新添加的帐号权限就恢复正常了。

 

    补充：其他的一些手段

    1. 修改默认的来宾帐号

    2.修改默认的管理员帐号

    3.不允许管理员组远程控制，只允许指定的管理员使用远程桌面。