Windows Serverコンポーネントのセキュリティ設定ポリシー

A. WScript.ShellおよびShell.applicationコンポーネントをアンインストールし、次のコードを.BATファイルとして保存します（Windows 2000および2003）。windows2000.batregsvr32 /u C：\\ WINNT \\ System32 \\ wshom .ocx del C：\\ WINNT \\ System32 \\ wshom.ocx regsvr32 /u C：\\ WINNT \\ system32 \\ shell32.dll del C：\\ WINNT \\ system32 \\ shell32.dllwindows2003.batregsvr32 /u C：\\ WINDOWS \\ System32 \\ wshom。危険なC：¥WINDOWS¥System32¥wshom.ocx regsvr32 /u C：¥WINDOWS¥system32¥shell32.dllデルのC：¥WINDOWS¥system32¥shell32.dllB、危険なコンポーネントの名前は、コンポーネントの名前に注意を払う必要がありますCLSIDが変更されなければならない、と
自身変更するには、コピーしない、完全に変更するには、[スタート]→[ファイル名を指定して実行→regeditと入力→]その後、レジストリエディタ

を開くには、[編集]→[シェルに記入→検索します。アプリケーション→次のレジストリキーを探すこのようにして2つのレジストリキーを見つけることができます：{13709620-C279-11CE-A49E-444553540000}そしてShell.application。

最初のステップ：確かに、これら2つのレジストリキーをファイルとして保存xxxx.regを案内します。で
ステップ2：たとえば、私たちはこれが

13709620-C279-11CE-A49E-444553540000が13709620-C279-11CE-A49E-444553540001

シェルと改名変更したいです.applicationはShell.application_nohackに変更されました

ステップ3：次に、上記の対応関係に従ってエクスポートされたばかりの.regファイルの内容を置き換えてから、変更された.regファイルをレジストリにインポートします。途中で（ダブルクリック）、名前を変更したレジストリキーをインポートした後、元の2つの項目を削除することを忘れないでください。ここで注意すべきことは、Clsidには10個の数字しかなく、ABCDEFには6個の文字しかないということです。
が成功します。Windows Registry Editor Version 5.00 [あるべき

は実際には、限り対応するレジストリがバックアップにエクスポート]をエントリした後、直接にキー名を変更すると、良い例はそれを自分自身をお勧めします
変更します,null,null,0],HKEY_CLASSES_ROOT \\ CLSID \\ {13709620-C279-11CE-A49E-444553540001}] @ = "シェルオートメーションサービス" [HKEY_CLASSES_ROOTの\\ {13709620-C279-11CE-A49E-444553540001} CLSID \\ \\のInprocServer32] @ =「C：\\\\ WINNT \\\\ SYSTEM32 \\\\ SHELL32.DLL "" ThreadingModelが "=" アパート "[HKEY_CLASSES_ROOT \\のCLSIDの\\ {13709620-C279-11CE-A49E-444553540001} \\プログラムID] @ =" Shell.Application_nohack.1「[HKEY_CLASSES_ROOT \\のCLSIDの\\ { 13709620-C279-11CE-A49E-444553540001} \\タイプライブラリ] @ = "{50a7e9b0-70ef-11D1-b75a-00a0c90564fe}" [HKEY_CLASSES_ROOT \\のCLSIDの\\ {13709620-C279-11CE-A49E-444553540001} \\版] @ = " 1.1 "[HKEY_CLASSES_ROOT \\ CLSID \\ {13709620-C279-11CE-A49E-444553540001} \\ VersionIndependentProgID] @ =" Shell.Application _nohack "[HKEY_CLASSES_ROOT \\ Shell.Application_nohack] @ ="シェル自動化サービス "[HKEY_CLASSES_ROOT \\ Shell.Application_nohack \\ CLSID] @ =" {13709620-C279-11CE-A49E-444553540001} "[HKEY_CLASSES \\ Curl \\ Application \\ CurlApp \\ Curl \\ Application \\ No> = "Shell.Application_nohack.1" Old Du Comments：WScript.ShellとShell.applicationのコンポーネントはスクリプト侵入の過程で重要なリンクであり、これら2つのコンポーネントのアンインストールと変更は登録キー名に相当します、かなり度合いが大きいです仮想ホストのスクリプトセキュリティパフォーマンスを向上させる一般的に言って、アクセス許可を強化するためのASPおよびphpスクリプトの機能、さらに一部のシステムサービス、ハードディスクアクセス権、ポートフィルタリング、およびローカルセキュリティポリシーの設定は実現できません。それでも、セキュリティパフォーマンスは大幅に向上しており、ハッキングの可能性は非常に低いです。 Shellコンポーネントからログアウトした後、侵入者が昇進ツールを実行する可能性は非常に小さいですが、prelのような他のスクリプト言語もシェル機能を持​​っています。これは似ている別の設定です。

FileSystemObjectはファイルに対して通常の操作を実行できますが、このようなトロイの木馬を防ぐためにレジストリを変更することでこのコンポーネントの名前を変更することができます。このコンポーネントは、あなたがこのノーマルを呼び出すことができます使用している場合FileSystemObject_ChangeNameで
コールの代わりに自分の将来<：

HKEY_CLASSES_ROOT \\ Scripting.FileSystemObjectオブジェクト\\

は、次のような他の名前に社名変更しましたBR>
CLSID値もそれ

HKEY_CLASSES_ROOT \\ Scripting.FileSystemObjectオブジェクト\\ CLSID \\プロジェクト値
は、トロイの木馬の危険性を防ぐために削除することができます。
このコンポーネントのコマンドの

2000年のキャンセル：RegSrv32 /U C：このコンポーネントのコマンドの\\ WINNT \\システム\\ scrrun.dll

2003年のキャンセル：RegSrv32 /U C：\\ WINDOWS \\ SYSTEM \\ scrrun.dll

ゲストユーザーがscrrun.dllを使ってこのコンポーネントが呼び出されないようにする方法を教えてください。

次のコマンドを使用します。cacls C：\\ WINNT \\ system32 \\ scrrun.dll /e /d guests

次に、WScript.Shellコンポーネントの使用を禁止します。 DOSの基本コマンドを実行するためにシステムカーネルを呼び出す

このようなトロイの木馬を防ぐためにレジストリを修正することで、このコンポーネントの名前を変更することができます。 WScript.Shell_ChangeNameまたはWScript.Shell.1_ChangeName
<：

HKEY_CLASSES_ROOT \\ WScript.Shell \\とHKEY_CLASSES_ROOT \\ WScript.Shell.1 \\

は、次のような他の名前を、名前が変更されP>後で呼び出すときに、このコンポーネントを通常どおりに呼び出すことができます。

clsid値も変更します。

HKEY_CLASSES_ROOT \\ WScript.Shell \\ CLSID \\ Item値

HKEY_CLASSES_ROOT \\ WScript.Shell.1 \\ CLSID \\ project

の値を削除して、このようなトロイの木馬に害を及ぼすことを防ぐこともできます。

第三に、Shell.Applicationコンポーネントの使用は禁止されています。

Shell.Applicationは、システムのカーネルを呼び出してDOSの基本コマンドを実行することができます。そのようなトロイの木馬の危険シェルに変更：

HKEY_CLASSES_ROOT \\ Shell.Application \\

と

HKEY_CLASSES_ROOT \\ Shell.Application.1 \\

は、次のような他の名前に社名変更しました.Application_ChangeNameまたはShell.Application.1_ChangeName

後で呼び出すときに、このコンポーネントを通常どおりに呼び出すことができます。

clsid値も変更します。

HKEY_CLASSES_ROOT \\ Shell.Application \\値

CLSID \\プロジェクトHKEY_CLASSES_ROOT \\ Shell.Application \\ CLSID \\プロジェクト値

は、このようなトロイの木馬の危険性を防ぐために削除することができます。

ゲストコンポーネントがshell32.dllを使用してこのコンポーネントが呼び出されないようにします。

2000はコマンドを使用します。cacls C：CACLS C：\\ WINNT \\ SYSTEM32 \\ shell32.dllの/E /Dのゲストは、2003年には、コマンドを使用
\\ WINDOWS \\ SYSTEM32 \\ shell32.dllの/E /Dゲストを< BR>
注：この操作は、Webサービスが再起動された後に有効になります。

4番目に、Cmd.exeを呼び出します。

ゲストグループのユーザー呼び出しを無効にします。cmd.exe

2000コマンドを使用します。cacls C：\\ WINNT \\ system32 \\ Cmd.exe /e /Dclient
2003次のコマンドを使用します。cacls C：\\ WINDOWS \\ system32 \\ Cmd.exe /e /d guests

上記の4つのステップを通じて、基本的にいくつかの一般的なトロイの木馬を防ぐことができますが、ほとんどの場合効果的な方法は、包括的なセキュリティ設定を介してサーバーとプログラムに対して一定のセキュリティレベルを達成することです。これにより、セキュリティレベルをより高く設定して、より違法な侵入を防ぐことができます。
C、Servの - Uは、最初のUltraEditのとServの - Uサービス

オープンServUDaemon.exe
を停止（Servの-U6.0、その後、あなたが直接パスワードを設定することができ、以前のバージョンに適用）特権の昇格を防ぐために
ASCII検索：LocalAdministratorおよび#l@$ak#.lk; 0 @ P


同じ長さの他の文字に変更すると、ServUAdmin.exeでも同じ処理が行われます。

Serv-Uが置かれているフォルダのアクセス権を設定するように注意してください匿名のユーザーに読み取り権限を与えないでください。