原理篇

我們將從入侵者入侵的各個環節來作出對應措施，一步步的加固Windows系統。加固Windows系統，一共歸于幾個方面：

1.端口限制；

2.設置ACL權限；

3.關閉服務或組件；

4.包過濾；

5.審計。

我們現在開始從入侵者的第一步開始，對應的開始加固已有的Windows系統。

1.掃描

這是入侵者在剛開始要做的第一步，比如搜索有漏洞的服務。

對應措施：端口限制。

以下所有規則，都需要選擇鏡像，否則會導致無法連接。我們需要作的就是打開服務所需要的端口，而將其他的端口一律屏蔽。

2.下載信息

這里主要是通過URL SCAN，來過濾一些非法請求。

對應措施：過濾相應包。

我們通過安全URL SCAN并且設置urlscan.ini中的DenyExtensions字段，來阻止特定結尾的文件的執行。

3.上傳文件

入侵者通過這步上傳WEBSHELL，提權軟件，運行cmd指令等等。

對應措施：取消相應服務和功能，設置ACL權限。如果有條件可以不使用FSO的，通過 regsvr32 /u c:\Windows\system32\scrrun.dll來注銷掉相關的DLL。

如果需要使用，那就為每個站點建立一個user用戶。對每個站點相應的目錄，只給這個用戶讀、寫、執行權限，給administrators全部權限。安裝殺毒軟件，實時殺除上傳上來的惡意代碼。個人推薦MCAFEE或者卡巴斯基，如果使用MCAFEE，對Windows目錄所有添加與修改文件的行為進行阻止。

4.WebShell

入侵者上傳文件后，需要利用WebShell來執行可執行程序，或者利用WebShell進行更加方便的文件操作。

對應措施：取消相應服務和功能。

一般WebShell用到以下組件：

WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1

我們在注冊表中將以上鍵值改名或刪除，同時需要注意按照這些鍵值下的CLSID鍵的內容從/HKEY_CLASSES_ROOT/CLSID下面對應的鍵值刪除。