注销计算机与关闭计算机的不同之处只在于前者仅关闭计算机的应用进程,同时加载新的启动项和注册表项,通过这样的过程我们可以修改注册表启动项来达到绕过第三方管理程序或者应用软件的目的,所以很多网吧对促销都进行了限制,但我个人认为他们设置的还不够全面!
我发现网吧限制注销的最常用方法就是通过修改注册表项,对注册表项进行权限设置从而达到限制注销的目的,权限设置是Windows系统的一把利刃,但它的前提是不能滥用,我们可以通过一些类似的MT的工具来提升破解工具的权限,同样可以突破限制,那么我们该如何全面的防范注销呢?
1.网吧自动登录时注销有机可乘
几乎所有的网吧都开启了自动登录功能,这样我们便可以轻松地通过注册表中的HKEY_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon的键值来读取自动登录的账户和密码,使用这个账户和密码直接登录就可以突破注销的限制了,所以防范注销的第一步就是防范自动登录,注意是防范而不是禁止,因为不采用自动登录的话肯定会对用户的上网带来不方便!我们可以采用其他的方法来实现,比如登录计算机后自动修改计算机账户的密码!
首先我们要编辑如下代码,将其保存为changepass.bat文件。
然后我们将这个文件设置为自启动,这样做的目的是可以根据客户登录计算机的时间来修改不同的密码,我们可以将时间段分割得更细,这样不仅可以防范自动登录带来的密码账户泄露,还可以防范某些攻击,比如Windows的LSA验证缺陷,同在一个局域网中不存在域控制器的时候,只要两台客户机上存在相同的账户和密码就可以绕过验证,直接访问目标机器。上述代码就可以轻松的解决这个问题了。
2.不让系统有添加账户的机会
上面虽然解决了自动登录带来的问题,但是只要我们能在系统中添加账户,那么上面所说的防范措施就没有任何意义了!如何让系统不能添加账户是一个值得我们思考的问题,我总结了以下几条!
(1)制作一个虚拟的系统盘
很多时候网吧都会隐藏系统盘,但是只要找不到系统盘,一些用户就会想办法进行破解,我们完全可以制作一个虚拟的系统盘,让他们认为系统盘没有被隐藏。首先将系统盘目录下的所有文件复制到d:\test文件夹下,然后我们将这个属性设置为隐藏,然后将其中的任何常用程序都删除,比如cmd.exe、gpedit.msc、msc、net.exe等等。接着运行CMD,在其中输入subst F:d:\test,这样当他们打开F盘到时候就会误认为进入了系统盘,而不会想到是我们隐藏的系统盘,同时他们也会发现这个虚拟盘里没有任何可以利用的工具!
(2)对计算机管理进行限制
对计算机管理进行限制可以在组策略中进行,在开始——运行栏中输入“gpedit.msc”打开组策略管理器,依次定位到用户配置——管理模板——Windows组件——Windows资源管理器,将隐藏WINDOWS资源管理器上下文菜单中的管理项设置为已启用,然后将gpedit.msc和compmgmt.msc全部重命名就可以了。
(3)对CMD做限制
对CMD做限制我认为还是使用映像劫持的方法比较好,我们将如下内容保存为cmd.reg。
保存好后我们双击这个文件将其导入到注册表中,当我们运行cmd的时候就会运行1.exe,而1.exe只是一个简单的警告程序。这个窗口提示我们可以制作的更逼真一些,在这里我只是给大家提供一个具体的思路而已。
(4)对net命令的限制
许多时候我们无法运行CMD,都是通过使用批处理文件来打开的它,要阻止在系统中添加账户,首先我们可以使用本地安全策略的软件限制策略,但是我个人认为还是使用DOSKEY命令比较好,书写代码如下:
我们将其保存为net.bat,双击执行,这样即便有人看出了端倪,他也无法运行doskey命令使系统返回到原来的状态。安全是一个全面的话题,我希望大家有好的方法多拉出来分享!
本文内容所提及均为本地测试或经过目标授权同意,旨在提供教育和研究信息,内容已去除关键敏感信息和代码,以防止被恶意利用。文章内提及的漏洞均已修复,作者不鼓励或支持任何形式的非法破解行为。