小心被禁用的Guest抄了3389的窝

	如果Guest被明目张胆地启用并加入管理员组，做网管的当然知道这意味着什么。不过若是对方再高明一点儿，做个表面上看是禁用的，但实质上却是Administrators权限的活动用户，我们的受害程度及其高度的隐蔽性将会是难以设想的。 　　不信？就随笔者一起打造一个这样的来宾账号看看吧！ 　　先说一个小概念：SID，即“Security Identifical Descriptor”，意为“安全识别码”。Windows会为每个账号都建立一个惟一对应的SID，它就是相应账号的通行证，比如超级用户Administrator的SID是十进制的500，十六进制为0x1F4。 　　假设黑客已经通过某种手法拿到了某台开放3389端口的Windows 2000 Server超级用户的密码，他会先进行3389登录，然后右击“我的电脑”选择“管理”，在弹出的“计算机管理”窗口中继续选择“本地用户和组”→“用户”。 　　说明：3389有两大好处：一是图形界面操作方便；二是即使您正在Server上同样以Administrator登录操作，也难以察觉黑客在后台的操作（惟一的区别就是速度有所下降），二者就像是擦肩并行的进程一样。 　　看到已经被禁用的Guest用户后，双击打开其属性窗口，在“常规”标签中先去掉“账户已停用”前的小对钩。接着选择“隶属于”标签，把“Administrators”添加进来，也就是提升Guest为管理员权限，如图1所示。最后肯定要给这个“超级来宾”再加上个密码，确定。 　　点击“开始”→“运行”，填入“Regedt32”并点击确定，打开带有权限设置的注册表编辑器。 　　依次单击选择HKEY_LOCAL_ MACHINESAM分支，再单击“安全”→“权限”菜单，如图2所示。在弹出的“SAM的权限”窗口中将Administrators设置为“完全控制权”，如图3所示。 　　点击“开始”→“运行”，填入“Regedit”，并单击确定，打开注册表编辑器，找到HKEY_LOCAL_MACHINE SAMSAMDomainsAccountUsers分支。在User下的第一项000001F4就是超级用户Administrator账号对应的SID。 　　先用鼠标左键单击它一下，再选择“注册表”→“导出注册表文件”菜单，在桌面生成一个名为01f4.reg注册表文件，用右键单击选择记事本程序打开它，如图4所示。 　　同样，下方第二个的000001F5就是Guest的SID，也如此导出形成一个01f5.reg文件，再用记事本打开，如图4所示。最后将光标定位于Names下的Guest，再导出生成一个名为guest.reg文件，也用记事本打开待用。 　　现在就进行关键的复制与粘贴操作了，其实这就是账号的克隆。用鼠标拖动的方法小心地选择好Administrator的SID——01f4.reg中的十六进制“F”值，如图4所示，注意是从“hex:”往后，按一次“Ctrl＋C”。再到Guest的SID——01f5.reg中，先选择它的“F”值，再按一次“Ctrl＋V”。也就是用Administrator的SID值来覆盖Guest的SID值，使Guest成了后台超级用户。 　　仍在01f5.reg中选择除“Windows Registry Editor Version 5.00”第一行之外的所有内容，按一次“Ctrl＋C”复制，再到guest.reg中最后，按一次Ctrl＋V粘贴（注意中间有个空行，不要删除！），全部保存关闭。 最后再到“本地用户和组”，将Guest禁用恢复原样设置，此时它就又带上了红叉号以迷惑对方网管，并在“隶属于”标签中删除Administrators。双击桌面上刚刚保存好的guest.reg文件，确定导入注册表，这样就产生了一个名亡实存的Guest账号。黑客可以放心地通过它来进出您的3389 Windows 2000 Server了，但检查“本地用户和组”却什么破绽也看不出来，除非您熟悉注册表我们刚才动过的地方。 　　知道了原理也就不难找出破解方法了，只需依次找到注册表对应的地方把SID值从备份Server上Copy覆盖回原样就可以了。其实也不用这么麻烦，因为网上早有高人编了个删除Guest账号的程序—“Guest删除大师”，它可以斩草除根，大家可到百度/Google上搜一个下来使用即可。 　　最后还是那句经典的老话：网络世界没有绝对的安全，只有时刻保持警惕，才能换回片刻的安宁！