安全移除Guest帳號

[psac]

安全移除Guest帳號


伺服器被入侵，很多時候我們無法預測會出現何種漏洞，但很多hacker都習慣性的通過提升Guest帳號的權限，

再通過這個沒有密碼的Guest帳號來訪問你的機器。要是能刪掉Guest就好了、、、

說起來好像很容易，但其實你打算刪的時候就會發現，Guest帳號同Administrator帳號一樣，沒辦法刪掉。

當然，這並非不可能，下面就是方法：

一、在NT4.0環境裡刪掉Guest帳號

很容易了，因為已經有現成的工具被人寫出來了。

DelGuest下載，官方網站 http://www.ntsecurity.nu/toolbox/delguest/

很久以前 NT4.0的時候，我就用過這個工具了，雖說微軟並不贊同這個做法，哈哈

但，從我瞭解的資料看，的確並沒有影響到系統原本的正常執行。

二、在Windows2K環境裡刪掉Guest帳號

沒有現成的工具，也可能是我還沒找到吧。哈哈

一些線索：Windows系統的帳號訊息，是存放在HKEY_LOCAL_MACHINE\SAM裡的，但是

直接開啟註冊表想去修改卻並不能開啟它，哪怕你是管理員權限都不行。

因為為了安全性考慮，必須由「SYSTEM」權限才能訪問。

所以整理一下，大致思法是這樣的：

以「SYSTEM」權限啟動註冊表，然後檢查註冊表項，把帳號Guest刪掉。

首先，我們以AT來增加一個計劃工作，看了一下時間 13:51，OK，設定一分鍾後執行。


使用AT，目的是以「SYSTEM」權限執行。

/interactive，目的是讓執行的程序以交互式界面的方式執行。

趁程序還在等待調度，我們先看看Guest帳號的資料


哈哈，想想待會它就沒了，還是很爽的

ok，13:52了，regedt32程序執行了

開啟註冊表程序

把 HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users下的兩個相關鍵刪掉。

一個是000001F5，一個是Names下的Guest　


哈哈，怎麼刪不用我講了吧

然後呢，我們再檢查一下，帳號

net user guest


不見了吧

好的，就到這裡。

另，如果是win2k域模式下，推薦不要刪掉Guest帳號，我沒有測試過，不知道會不會出現什麼問題。