在频频【pín】恶【è】意攻击【jī】用户、系统【tǒng】漏洞层出不穷的今天，作为网【wǎng】络治理员、系统治【zhì】理员虽然在服务【wù】器【qì】的安全【quán】上都【dōu】下了不少功【gōng】夫，诸如及时【shí】打【dǎ】上【shàng】系统安全补丁、进【jìn】行一【yī】些常规的安全配置，但【dàn】有时仍不安全。因此必须恶意用户入侵之【zhī】前，通过一【yī】些系列安全设【shè】置【zhì】，来【lái】将入【rù】侵者们挡在“安全门”之外，下【xià】面就将【jiāng】最简单、最【zuì】有效的防(Overflow)溢出、本【běn】地提供权限攻击类的解决办法给大家分享。

一、如何防止溢出类攻击

1、尽最【zuì】大的可能性将系统【tǒng】的漏【lòu】洞补【bǔ】丁都打完，最好是比如Microsoft Windows Server系列的系统可【kě】以将自动更新服务打开，然后让服务器在您指定的某个时间段内【nèi】自动连接【jiē】到Microsoft Update网站进行补丁【dīng】的更【gèng】新。假【jiǎ】如【rú】您【nín】的【de】服【fú】务【wù】器为了安全起见 禁止了【le】对公【gōng】网【wǎng】外部的连接【jiē】的话，可以用Microsoft WSUS服务在内网进行升级。

2、停掉【diào】一切不需要的系【xì】统服务以及应用程序【xù】，最大限能的降底【dǐ】服务【wù】器的【de】被攻击系数。比如前【qián】阵子的MSDTC溢出，就导致很多服务器【qì】挂掉【diào】了【le】。其实假如【rú】 WEB类服务器【qì】根本没有【yǒu】用到MSDTC服务时，您【nín】大可以【yǐ】把MSDTC服【fú】务停掉，这样MSDTC溢出就对您的【de】服务器不构成【chéng】任何威胁【xié】了。

3、启【qǐ】动TCP/IP端口的过滤，仅打开【kāi】常【cháng】用的TCP如21、80、25、110、3389等端口【kǒu】;假【jiǎ】如安全【quán】要求级别高【gāo】一点可以将UDP端口【kǒu】关闭，当然【rán】假如这样【yàng】之【zhī】后缺陷就【jiù】是如在服务器上连外部就不方【fāng】便连接了，这里建议大家用IPSec来封UDP。在协议【yì】筛选【xuǎn】中【zhōng】”只【zhī】答应【yīng】”TCP协议(协议【yì】号为：6)、 UDP协议(协议号为：17)以及RDP协议(协议号为【wéi】：27)等必需用协【xié】议即可;其它无用均不开放。

4、启用IPSec策略:为服务器的连接进【jìn】行安全认证【zhèng】，给服务【wù】器加上双保险【xiǎn】。如③所【suǒ】说，可以在这里封掉一些危险的端品【pǐn】诸如:135 145 139 445 以【yǐ】及【jí】UDP对外连接之类、以及对通读进行加密与只与有信任关系【xì】的IP或者网络进【jìn】行通【tōng】讯等【děng】等。(注:其实防反弹类【lèi】木马【mǎ】用IPSec简单的禁止【zhǐ】UDP或者不常用TCP端【duān】口的对外访问【wèn】就成了,关于IPSec的如何【hé】应用这【zhè】里就不【bú】再敖续，可【kě】以到服安讨论Search “IPSec”，就 会有N多关于IPSec的应【yīng】用资料..)

5、删除、移动、更名或者用访问控【kòng】制表【biǎo】列Access Control Lists (ACLs)控制要害系统文件、命令【lìng】及文件夹：

（1）.黑客通常在溢出得【dé】到shell后，来【lái】用诸如net.exe net1.exe ipconfig.exe user.exe query.exe regedit.exe regsvr32.exe 来达到进一步【bù】控制服【fú】务器的目的如:加账号了，克隆【lóng】治理员【yuán】了等【děng】等;这里可【kě】以将这些命令程序删除或【huò】者改名。(注重:在删除与改名时先停掉文件复制服务 (FRS)或【huò】者先【xiān】将 %windir%system32dllcache下的对应文【wén】件删除或改【gǎi】名【míng】。)

（2）.也或者将这【zhè】些.exe文件移动到指【zhǐ】定【dìng】的文件夹【jiá】,这样也方便以【yǐ】后治理【lǐ】员自己【jǐ】使用。

（3）.访问控制表列【liè】ACLS控制：找到%windir%system32下【xià】找到cmd.exe、cmd32.exe net.exe net1.exe ipconfig.exe tftp.exe ftp.exe user.exe reg.exe regedit.exe regedt32.exe regsvr32.exe 这【zhè】些【xiē】黑客常用的文件，在【zài】“属性”→“安全”中对他们【men】进行访问【wèn】的ACLs用户【hù】进 行定【dìng】义，诸如只给administrator有权访问，假如【rú】需要防范一些溢出攻击、以及【jí】溢出【chū】成功【gōng】后对这些文件的【de】非【fēi】法利【lì】用，那【nà】么只需要将system用户在 ACLs中【zhōng】进行【háng】拒绝访问即可。

（4）.假如觉得在GUI下面【miàn】太【tài】麻烦的话，也可以用系统命令的CACLS.EXE来【lái】对这些.exe文【wén】件【jiàn】的Acls进【jìn】行编【biān】辑与修改，或者说将他写成一个.bat批处理 文件【jiàn】来【lái】执行以及对这些命令进行【háng】修改【gǎi】。(具【jù】体【tǐ】用户自己【jǐ】参见cacls /? 帮助进行，由于这里的【de】命令太多【duō】就不一一【yī】列举写成批处【chù】理代码给【gěi】各位了!!)

（5）.对磁盘如C/D/E/F等进【jìn】行安【ān】全的ACLS设置从整体安全上考虑的话也是【shì】很有必要的，另外【wài】非凡【fán】是【shì】win2k，对【duì】Winnt、WinntSystem、Document and Setting等文件夹。

6、进行注册表【biǎo】的修改【gǎi】禁【jìn】用命令解释器: (假如【rú】您觉【jiào】得用⑤的方【fāng】法太烦琐的【de】话，那么您不防试试下面一劳永【yǒng】逸的办法【fǎ】来禁止【zhǐ】CMD的【de】运行，通过修改【gǎi】注册表，可以禁止【zhǐ】用户使用【yòng】命令【lìng】解释器 (CMD.exe)和运行批处理【lǐ】文件【jiàn】(.bat文件)。具体方法:新建一个双字节(REG_DWord)执【zhí】行 HKEY_CURRENT_USERSoftwarePolicIEs MicrosoftWindowsSystemDisableCMD，修改其值为1，命令解释【shì】器和批【pī】处理【lǐ】文件都不能被运行。修改其值为2，则只是禁止命令解释【shì】器的运行,反之将值改为0，则是【shì】打【dǎ】开CMS命令解释器。假如您赚手动太麻烦的话,请将下面【miàn】的【de】代码保存为*.reg文件，然后导入。

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsSystem]

“DisableCMD”=dword:00000001

7、对【duì】一些以【yǐ】System权限【xiàn】运行【háng】的系统服务【wù】进行降级处【chù】理。(诸【zhū】如:将Serv-U、Imail、IIS、Php、Mssql、Mysql等【děng】一【yī】系列以【yǐ】 System权限运行的【de】服务或者应用程序换成其它administrators成员甚至【zhì】users权限运行，这样就会安全得多了【le】…但前提是【shì】需要对这【zhè】些基本运【yùn】行状【zhuàng】态、调用API等【děng】相关情况较为了解. )

其实，关于【yú】防【fáng】止如Overflow溢出类攻击的办【bàn】法【fǎ】除了用上述的几点以外，还有【yǒu】N多种【zhǒng】办法:诸如【rú】用组策略【luè】进行限【xiàn】制【zhì】，写【xiě】防护过【guò】滤程序【xù】用DLL方式加载windows到相【xiàng】关【guān】的SHell以及动态链【liàn】接程序之中这类。当然自【zì】己写代【dài】码来进行验证加密就需要有相关深【shēn】厚【hòu】的Win32编程基础了，以及【jí】对Shellcode较有研究;由于【yú】此【cǐ】文仅仅是讨【tǎo】论【lùn】简单的【de】解决办法，因此其它办法就不在这里详【xiáng】述了