危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18982241

在WindowsXP中巧妙掌握上网权限

我们知道,在Windows XP中可以建立多个账户,在默认情况下,所有的账户都可正常连接因特网。有时处于安全性的考虑,我们常常希望只有管理员权限的用户才上网,而禁止普通用户上网。那么该如何实现上述功能昵?本文就深入的探讨解决方法。假设本机的IP为192.168.0.2,路由器网关的IP为192.168.0.1,管理员名称为“ly so fter”,普通用户名称为“user”。在这里危险漫步给大家介绍两种方法,我们可实现“lysofter”用户上网,而“user”用户无法上网。

通过NetSh命令控制网关

Netsh是Windows 2000/XP/2003自身提供的实用工具,允许用户在本地或远程显示和修改当前系统的网络配置信息。这里就使用该命令并配合相关的组策略,让管理员账户可以拥有正确的网关配置,而让普通用户无法得到,因此巧妙的阻止普通用户连接因特网。首先以“lysofter”用户身份登录系统,建立“Linko k.bat”和“Linkno,bat”两个批处理文件,其中“Linkok.bat”的内容为“netsh interface ip set address”本地连接”source-static addF192.168,0.2 mask=255.255.255.0gateway=192.168.0,1 gwmetric=l",“Linkno.bat"的内容为“netsh interface ip set address”本地连接”source=static addF192.168.0.2 mask=255.255.255.0gateway-none”。之后在“开始”-“运行”中执行“gpedit.msc”程序,在组策略窗口左侧展开“用户配置”-“Windows设置”-“脚本(登录注销)”,在右侧窗口中双击“登录”项,在登录属性窗口中点击“添加”按钮,在添加脚本窗口中的“脚本名”栏中输入“Linkok.bat”文件的完整路径即可。在右侧窗口中双击“注销”项,按照同样的方法,将“Linkno.bat”文件添加到注销脚本中。这样,当“lysofter”用户登录系统时,就会自动执行“Lin_kok.bat”程序,将网关配置为正确信息,当注销“lysofter”用户时,就自动执行“Linkno.bat”程序,从而清空网关的配置信息。然而当“User”用户登录系统时,虽然也可以运行以上登录脚本,但是普通用户是没有权限执行NetSh命令的,因此普通用户只能就无法得到正确的网关配置,也就无法正常上网了。即使普通用户在本地连接属性窗口中试图修改网络配置信息,系统也会弹出权限不够的提示,从而禁止其手工配置网关信息。

巧用IE的代理功能

我们知道,IE是可以使用代理服务器上网的,因此只要将其代理服务器指向“127.0.0.1”地址,那么普通用户就无法通过IE浏览网页了。首先使用“lyso fter”用户登录系统,在组策略管理器中震开“用户配置”-“Windows设置”-“InternetExplorer维护”-“连接”分支,在右侧窗口中双击“代理设置”项,在弹出窗口中勾选“启用代理服务器设置”项,将“HTTP”的代理服务器的地址设为“127.0.0.1”,点击确定按钮保存即可。这样,当在IE中浏览网页时,因为其代理服务器实际上并不存在,因此就无法访问因特网了。那么问题的关键在于如何让管理员用户可以跳过上述限制,从而正常使用IE访问因特网昵?实际上,打开“C:\WINDOWS\s多stem3 2\GroupPolicy\User\MICROSOFT\IE AKP文件夹,在其中可以看到名称为“ins tall.ins”的文件,在该文件中就包含了IE的代理服务器信息。打开该文件,其中的“Proxy_Enable”参数的数值为1,表示启用了代理服务器,其中的“HTTPProxy_Server”参数就指明了代理地址。因此,如果“lysofter”用户不读取ufinstall.ins”文件,就可以“跳过”IE的代理服务器配置。而组策略中的“用户配置”部分中的配置项目大多都是在登录后才生效的,因此,只要使用NTFS分区的权限分配机制,让“lysofter”用户无法读取“install.ins”文件,即可实现上述要求。在“instalf-ins”文件的属性窗口的“安全”面板中选中“lysofter”用户,如果不存在的话,可以点击“添加”按钮导入该用户。之后在其下的权限设置面板中的“读取”栏中勾选“拒绝”项,即可禁止“Iysofter”用户读取该文件了。这样,当再次使用“lysofter”用户登录系统时,果然不再读取“install.ins”文件,从而跳过了IE的代理服务配置。但是普通用户却没有比“特权”,依然正常加载IE代理服务信息,当然无法正常使用IE了。

相关推荐