看透賬號 扎好籬笆

■

防止輸入法帳號風險

無論是誰操作計算機，總要不可避免地用到輸入法，所以它已經成為黑客、木馬重點關注的對象，也就不足為奇了。盡管微軟對Windows系統自帶的輸入法進行了完善，可是除了系統因素外，其他一些輸入法漏洞還會給系統的安全運行帶來不小的威脅。例如，在Windows 7系統環境下，如果安裝使用了陳橋智能輸入法時，該輸入自帶的漏洞就會被用來偷偷在系統中創建特權用戶賬號。

當臨時離開計算機系統時，為了防止別人隨意登錄使用，多數用戶會執行系統鎖定操作。可是，在這種鎖定狀態下，別人依然可以使用陳橋智能輸入法，而通過這種輸入法又能訪問其他組件。所以，當惡意用戶嘗試利用“cmd.exe”文件替換陳橋智能輸入法的可執行程序時，日后就能通過輸入法調用DOS命令行工作窗口，由于這個時候起作用的是系統System賬號，該賬號擁有至高無上的操作權限，這樣惡意用戶就能在命令行提示符狀態下，依次執行“net user aaa bbb/add”、“net localgroup administrators aaa/add”命令，來在Windows 7系統中創建一個名稱為“aaa”的系統管理員賬號。返回系統登錄對話框，輸入之前創建的系統管理員賬號和密碼，惡意用戶就能輕松掌控整個系統操作了。顯然，輸入法漏洞會給Windows系統的安全運行，帶來極大的威脅。

為了防止輸入法帶來賬號風險，我們首先應該選用系統自帶輸入法或名氣較大的輸入法，并及時對其進行升級，而不能輕易使用一些不起眼的輸入法。因為名氣不大的輸入法總會存在這樣或那樣的漏洞，這些漏洞常常會讓用戶防不勝防，而那些名氣很大的輸入法即使存在安全漏洞，但能夠及時通過安全補丁來彌補漏洞。例如，要升級搜狗輸入法程序時，只要先進入該程序的設置對話框，點擊“高級”選項，在對應選項設置頁面中，選中“升級選項”位置處的“自動升級”，單擊“確定”按鈕保存設置操作即可。當然，即使喜歡使用不知名的輸入法程序，也不要將其設置成Windows系統默認的輸入法，因為在使用系統缺省設置的情況下，惡意用戶日后在系統鎖定界面中是不能成功訪問第三方輸入法組件的，這樣就能有效避免惡意用戶通過輸入法非法攻擊本地系統的現象。

其次，盡量選用軟鍵盤輸入。在填寫網頁表單信息時，建議大家盡量選用表單程序內置的輸入控件和軟鍵盤輸入，畢竟在缺省狀態下，用戶輸入表單信息時，Windows系統是利用輸入法管理器訪問功能函數實現信息輸入操作的。目前，一些惡意程序能夠通過技術手段，輕松監控到鍵盤的輸入內容，從而竊取到用戶的賬號信息。為了防止賬號等隱私內容被偷窺，使用軟鍵盤輸入內容，可以讓惡意程序監控到一些毫無意義的編碼，因為軟鍵盤上的數字和字母排列是沒有任何規則的，每次輸入都會發生隨機變化，而且表單程序自帶的輸入控件也會強制隔絕鍵盤鉤子。

第三，停用一些平時用不到的網絡端口號碼。很多輸入法漏洞都會利用一些常見的網絡端口發動攻擊，所以對那些平時幾乎用不到或很少用到的網絡端口，應該毫不猶豫地將其停用。例如，要將不常 用的 21、23、25、80 等網 絡端口都集中停用時，可以依次點擊“開始”、“運行”命令，彈出系統運行對話框，在其中執行“notepad”命令，開啟文本編輯窗口，輸入下面的命令代碼（如圖1所示）：

圖1 輸入命令代碼

圖2 操作成功提示

其中第二行代碼表示關閉telnet服務，以實現停用23端口目的。如果telnet服務已被停用時，執行這行代碼時系統會彈出錯誤提示。為了確保批處理文件運行連貫，在第二行代碼后面添加“2>&0”參數，強制批處理文件在運行錯誤時，不要將提示內容直接返回到命令行窗口，而是自動返回鍵盤輸入流中。而且，為了避免命令執行結果返回到DOS提示符狀態，使用“>123”參數將批處理文件執行結果保存到“123”文件中。第三行代碼表示停用Windows系統正在啟用的Internet服務，當該服務被停用時，與之關聯的 21、25、80等服務端口，也會被隨之停用掉。最后逐一選擇“文件”、“保存”選項，展開文件存儲對話框，將上面的命令代碼保存為“999.bat”批處理文件，日后通過鼠標雙擊的方式，就能快速將相關網絡端口集中停止運行了。

謹防隱藏管理員賬號風險

眾所周知，一些版本的Windows系統在缺省狀態下，存在一個系統管理員賬號“Administrator”，這種賬號是Windows系統在安裝過程中自動生成的，而且系統在默認狀態下沒有為其設置登錄密碼，這樣一些惡意用戶可能會通過這個沒有密碼的管理員賬號，悄悄攻擊重要計算機系統，進行各種惡意操作。既然隱藏管理員賬號存在這么大的安全風險，我們必須要及時采取有關措施加以防范，確保Windows系統不會由于隱藏管理員賬號受到非法攻擊。

以Vista系統為例，在防止隱藏管理員賬號風險時，可以依次單擊“開始”、“程序”、“附件”選項，選中下級菜單中的“命令提示符”，同時用鼠標右擊之，執行右鍵菜單中的“以管理員身份運行”命令，彈出Vista系統的DOS命令行窗口，在該窗口中執行“net user administrator/active:yes”命令，強制激活“Administrator”賬號的顯示狀態，當屏幕彈出如圖2所示的操作成功提示內容時，那就表示該管理員賬號日后就能正常顯示在Windows系統登錄界面中了。

重新啟動Windows系統，當發現系統登錄界面中的“Administrator”賬號時，用鼠標直接單擊該賬號圖標，登錄進入Vista系統桌面，逐一單擊該系統桌面上的“開始”、“設置”、“控制面板”選項，切換到系統控制面板窗口，點擊“用戶帳戶和家庭安全”選項，在對應選項設置區域按下“改變你的Windows密碼”，點擊“為您的帳戶創建密碼”，彈出“Administrator”帳號的密碼設置對話框；在這里正確輸入兩遍合適的密碼內容，再單擊“創建密碼”按鈕即可。

此 外， 在 設 置“Administrator”賬號的登錄密碼時，也可以同時定義一下合適的密碼提示內容，日后一旦忘記對應賬號的登錄密碼時，用戶還能進行回答問題，來尋找遺忘的密碼內容。如果想讓“Administrator”賬號重新隱藏顯示時，只要先以系統管理員權限登錄Vista系統，同時“以管理員身份運行”方式切換到Vista系統的DOS命令行窗口，在該狀態下輸入“net user administrator/active:no”命令即可。

圖3 自動統計克隆數量

謹防克隆賬號帶來風險

通過Windows系統自身的漏洞或應用程序漏洞成功入侵主機后，惡意用戶可能會進行用戶賬號克隆操作。在進行這項操作時，惡意用戶會先想法激活Windows系統中的一個默認賬號，同時使用外力工具提升目標賬號的訪問權限，我們從外表來看，會看到克隆賬號與目標賬號并沒有什么不同。很明顯，克隆賬號很難被一般用戶發現，所以它的安全威脅特別大，惡意用戶經常會利用這種賬號對局域網中的重要主機系統進行遠程控制。

那么，如何才能及時揪出隱藏在重要主機系統中的克隆賬號呢？在“LP_Check”這款外力工具的幫助下，我們能夠很輕松地發現并移除安全威脅很大的系統克隆賬號。從網上下載安裝好“LP_Check”這款外力工具后，從系統開始菜單開啟它的運行狀態，在對應程序界面中能夠看到所有用戶賬號的“身影”，而且“LP_Check”工具還會將克隆賬號數量自動統計并顯示出來（如圖3所示）。如果發現特定登錄賬號的“result”位置處顯示有“Shadow Administrator”信息時，那就表示對應登錄賬號處于被克隆狀態。

看到克隆的登錄賬號后，我們又該怎樣將它快速從計算機系統中徹底移除呢？由于重要主機系統中的所有用戶賬號信息都被保存到系統注冊表中了，我們不妨通過system賬號權限來徹底移除特定的克隆賬號。我們可以通過“psExec”小程序先讓系統切換到system賬號權限狀態，只要先使用Ctrl+Alt+Del組合鍵，調用任務管理器窗口，單擊“進程”選項卡，進入對應選項設置頁面，找到并選中“explorer.exe”進程，打開該進程的右鍵菜單，單擊“結束進程”命令，強制關閉“explorer.exe”進程，接著切換到“應用程序”選項設置頁面，單擊“新任務”按鈕，在命令文本框中輸 入“E:111PsExec-s-i-d explorer”這段代碼，這里的“E:111PsExec”文件夾是“PsExec”工具解壓目錄，單擊“確定”按鈕后，“explorer.exe”進程就會被自動重啟，這時就能進入system賬號權限狀態了。

在這種狀態下，依次單擊“開始”、“運行”命令，彈出系統運行對話框，執行“regedit”命令，打開系統注冊表編輯界面。依次展開注冊表分支HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames，在指定分支下就能發現包含克隆賬號在內的所有隱藏用戶賬號，將之前看到的特定克隆賬號選中并刪除，再重新啟動計算機系統即可。

謹防陌生賬號帶來風險

不少惡意用戶經常會在局域網重要主機或服務器系統中，偷偷生成隱藏的陌生賬號，同時將其作為攻擊后門，通過網絡實施非法攻擊。考慮到隱藏陌生賬號隱蔽性好，普通用戶一般不能及時看到它，它的安全威脅明顯比較大。為了防止陌生賬號帶來風險，我們不妨進行如下操作，及時找到并刪除隱藏的陌生用戶賬號：

圖4 選項設置對話框

惡意用戶在悄悄生成隱藏的陌生賬號后，往往要將其提升為超級用戶權限，才能隨意進行各種攻擊操作，因此我們只要找出所有具有超級用戶權限的賬號，就能將潛藏在其中的陌生用戶揪出來。在進行該操作時，可以逐一單擊“開始”、“運行”命令，在其后彈出的運行框中執行“cmd”命令，展開DOS命令行窗口，輸入“net localgroup administrators”命令，從返回的結果界面中就能發現所有超級用戶權限的賬號了，這也包括隱藏的陌生用戶賬號。

因為陌生的隱藏賬號后面往往都存在“$”這樣的尾巴，通過它我們就能直接分辨出具有超級用戶權限的陌生隱藏賬號，該賬號多半是非法賬號。

謹防組賬號帶來風險

為了便于管理、維護，很多系統管理員常常會為特定組賬號集中授權，這樣雖然改善了工作效率，但也容易給網絡訪問帶來安全麻煩。例如，一些惡意用戶會利用偽裝術，偷偷將惡意隱藏賬號，加入到某個特定組賬號中，日后一旦系統管理員為該組賬號集中授權時，惡意用戶就能趁機竊取較高級別的操作權限，這顯然是十分危險的。

所以，為了防止組賬號通過網絡帶來風險，我們必須及時取消重要主機或服務器系統中的組賬號網絡訪問權。要做到這一點，可以逐一單擊“開始”、“運行”選項，彈出系統運行文本框，在其中執行“gpedit.msc”命令，開啟系統組策略編輯器運行狀態。

在該編輯界面左側顯示區域，依次展開“本地計算機策略”、“計算機配置”、“Windows設置”、“安全設置”、“本地策略”、“用戶權限分配”分支，雙擊指定分支下的“從網絡訪問此計算機”選項，彈出如圖4所示的選項設置對話框。在這里，我們能看到各種普通用戶賬號和組賬號，它們在默認狀態下都獲得了網絡訪問權限，選中需要刪除權限的特定組用戶賬號，按下“刪除”按鈕，將它們從網絡訪問權限列表中刪除出去，再按下“確定”按鈕保存設置操作。