運行需要xcacls.vbs這個腳本。
@color 0a
@title 服務器安全機制一鍵設置批處理
@pause
:: 禁用WS命令行組件
regsvr32 /s wshom.ocx
:: 防止WINDOWS漏洞[粘滯鍵]的"變態(tài)入侵之有史以來最酷的Windows后門sethc.exe"
cscript.exe xcacls.vbs "%SystemRoot%/system32/sethc.exe" /D Everyone:M /E
cscript.exe xcacls.vbs "%SystemRoot%/ServicePackFiles/i386/sethc.exe" /D Everyone:M /E
:: 刪除system32\npptools.dll,新建npptools.dll設為只讀,權限上限制 可防止所有arp病毒
del %SystemRoot%\system32\npptools.dll /A/F/Q
dir %SystemRoot%\system32\com > %SystemRoot%\system32\npptools.dll
attrib +R +S +H %SystemRoot%\system32\npptools.dll
cscript.exe xcacls.vbs "%SystemRoot%/system32/npptools.dll" /D Everyone:M /E
:: 刪除system32\packet.dll,新建packet.dll設為只讀,權限上限制 可防止所有arp病毒
del %SystemRoot%\system32\packet.dll /A/F/Q
dir %SystemRoot%\system32\com > %SystemRoot%\system32\packet.dll
attrib +R +S +H %SystemRoot%\system32\packet.dll
cscript.exe xcacls.vbs "%SystemRoot%/system32/packet.dll" /D Everyone:M /E
:: 刪除system32\pthreadVC.dll,新建pthreadVC.dll設為只讀,權限上限制 可防止所有arp病毒
del %SystemRoot%\system32\pthreadVC.dll /A/F/Q
dir %SystemRoot%\system32\com > %SystemRoot%\system32\pthreadVC.dll
attrib +R +S +H %SystemRoot%\system32\pthreadVC.dll
cscript.exe xcacls.vbs "%SystemRoot%/system32/pthreadVC.dll" /D Everyone:M /E
:: 刪除system32\wpcap.dll,新建wpcap.dll設為只讀,權限上限制 可防止所有arp病毒
del %SystemRoot%\system32\wpcap.dll /A/F/Q
dir %SystemRoot%\system32\com > %SystemRoot%\system32\wpcap.dll
attrib +R +S +H %SystemRoot%\system32\wpcap.dll
cscript.exe xcacls.vbs "%SystemRoot%/system32/wpcap.dll" /D Everyone:M /E
:: 刪除system32\npf.sys,新建npf.sys設為只讀,權限上限制 可防止所有arp病毒
del %SystemRoot%\system32\drivers\npf.sys /A/F/Q
dir %SystemRoot%\system32\com > %SystemRoot%\system32\drivers\npf.sys
attrib +R +S +H %SystemRoot%\system32\npf.sys
cscript.exe xcacls.vbs "%SystemRoot%/system32/drivers/npf.sys" /D Everyone:M /E
Echo 禁用通過重啟重命名方式加載啟動項
:: 重啟重命名的執(zhí)行優(yōu)先級比傳統(tǒng)的自啟動(一般指HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run)要高, 啟
動完成后又將自己刪除或改名回去. 這種方式自啟動極為隱蔽,現(xiàn)有的安全工具都無法檢測的出來.
:: 病毒通過重啟重命名方式加載,位于注冊表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ BackupRestore\KeysNotToRestore下
的Pending Rename Operations字串。
reg delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager" /v PendingFileRenameOperations /f
:: 關閉事件跟蹤程序
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Reliability" /v ShutdownReasonOn /t REG_DWORD /d
"00000000" /f
:: 防止 Windows 運行您在這個設置中指定的程序。
:: 如果啟用這個設置,用戶則無法運行添加到不允許的應用程序列表的程序。
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v DisallowRun /t REG_DWORD /d
"00000001" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v login.scr /t REG_SZ
/d login.scr /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v xsiff.exe /t REG_SZ
/d xsiff.exe /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v xsniff.exe /t
REG_SZ /d xsniff.exe /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v sethc.exe /t REG_SZ
/d sethc.exe /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v WinPcap.exe /t
REG_SZ /d WinPcap.exe /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v nc.exe /t REG_SZ /d
nc.exe /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v sql.exe /t REG_SZ
/d sql.exe /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v su.exe /t REG_SZ /d
su.exe /f
regsvr32 /s /u wshom.ocx
Echo 應用軟件限制組策略,進一步加強服務器安全性能!
c:
cd\
cd "%SystemRoot%/system32/GroupPolicy/Machine"
copy Registry.pol Registry.old /y
copy Registry.pol "%SystemRoot%/system32/GroupPolicy/Machine" /y
gpupdate /force
Echo 應用軟件限制組策略設置完畢
PAUSE >nul
exit
渝公網(wǎng)安備 50024202000196號
域名注冊知識
虛擬主機知識
網(wǎng)站建設知識
網(wǎng)絡推廣知識
網(wǎng)絡營銷知識
常見技術問題
QQ空間
新浪微博
開心網(wǎng)
人人網(wǎng)