気にしないで！あなたの「コマンドプロンプト」を保護する

WindowsシステムはDOSオペレーティングシステムの前身であり、ユーザーがコンピュータを操作するにはコマンドを入力する必要があります。 Windowsが誕生した後、グラフィカルインタフェースは黒いコマンドインタフェースを置き換えました、そしてDOSオペレーティングシステムは徐々に忘れられていました。しかし、DOSは私たちから遠く離れていませんが、現在のWindowsシステムではその形式が変わりました。それが「コマンドプロンプト」です。

すべてのハッキングインシデントでは、ほとんどのハッキングは「コマンドプロンプト」を介して行われるため、ハッカーは「コマンドプロンプト」をキャプチャします。これはシステムをキャプチャするのと同じです。通常のシステムセキュリティ保護では、「コマンドプロンプト」のセキュリティは無視できません。

編集のヒント： "コマンドプロンプト"セキュリティを保護することの重要性

Windowsは現在グラフィカルユーザーインターフェイスですが、その作業はまだ終わっていません指示は完了していて、「コマンドプロンプト」はWindowsのコアのようなもので、システムを制御するためにさまざまなコマンドを入力できます。前回のオーバーフロー攻撃の記事では、ハッカーはWindowsに直接侵入するのではなく、オーバーフローコードを使ってシェルを入手しましたが、このシェルは、標的のコンピュータの「コマンドプロンプト」を入手するためのハッカーの許可です。たとえば、 "net user hacker /add"と入力してhackerという名前のユーザーを作成し、 "net localgroup administrator hacker /add"と入力してハッキングユーザーをアップグレードします。管理者権限へ。ターゲットコンピュータの権限がない場合から管理者権限まで、ハッカーは「コマンドプロンプト」に2つのコマンドを入力するだけで完了するため、Windowsでの「コマンドプロンプト」の役割は非常に大きくなります。

"net user"コマンドを無効にする

シェルを取得した後、ハッカーは通常ターゲットホストのアカウントステータスを最初にチェックします。使用されるコマンドは "net user"です。このコマンドを無効にすると、ハッカーをだまして彼に知らせることができます。

「スタート」メニュー→「ファイル名を指定して実行」の順にクリックし、「regedit」と入力して「レジストリエディタ」を実行し、HKEY_LOCAL_MACHINESAMSAMを見つけてSAM項目を右クリックし、「権限」を選択します。 F5キーを押して更新し、SAM項目を展開してHKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersに移動します。

Names、Names項目を右クリックし、[New]→[Item]を選択します。アイテム名にスペースを入力し、右側のキーをダブルクリックしてキーの値をスペースに設定します。終了したらレジストリを閉じます。

▲レジストリを変更します。

これで、ハッカーは「コマンドプロンプト」に「net user」コマンドを入力し、「リストは空です」という悲劇的なエコーを見ることになります。

"コマンドプロンプト"を無効にする

結局のところ、これは単なるちらつきのルーキーハッカーです。経験豊富なハッカーがそれを見ることができるので、最も安全な方法は次のように "コマンドプロンプト"を無効にすることです。

[スタート]メニュー→[管理ツール]→[ローカルセキュリティポリシー]の順にクリックし、[セキュリティの設定]→[ソフトウェアの制限のポリシー]の順にクリックし、[その他の規則]をダブルクリックします。右クリックして表示されるメニューから[New Hash Rule]を選択し、[File Hash]の[Browse]ボタンをクリックしてc：windowssystem32ディレクトリにあるcmd.exeファイルを選択し、その[セキュリティレベル]を[No]に設定します。 [

この設定をすると、すべてのユーザーが "コマンドプロンプト"を実行できなくなり、 "実行"に "cmd"と入力してEnterキーを押すことができなくなります。ポリシーが防止し、Windowsがこのプログラムを開くことができませんこのプロンプトでは、「コマンドプロンプト」は完全に無効になっていますが、「コマンドプロンプト」を使用する必要がある場合もあります。使用しますが、ハッカーに使用させないようにしますか。

▲「コマンドプロンプト」制限ルールを作成します。

これを設定できます。「ソフトウェア制限ポリシー」をダブルクリックし、右側にある「force」を見つけます。 [次のユーザーにソフトウェア制限ポリシーを適用する]オプションで、[ローカル管理者以外のすべてのユーザーを検索する]オプションをクリックし、[OK]をクリックします。一度設定すると、ローカルの管理者アカウントのみが "コマンドプロンプト"を使用できます。ユーザーなどの他の非管理者アカウントは "コマンドプロンプト"を使用できなくなります。もちろん、ハッカーは "コマンドプロンプト"を使用して侵入できなくなります。 。

▲「コマンドプロンプト」を実行する権限を設定します。