Resource Kit辅助工具箱全透视(1) [本站原创]还记得在笔者学习黑客技术的时候就有高手说,其实世界上最大的黑客不是别人,正是比尔.盖茨,而世界上功能最全也最为强大的黑客工具箱不是别的,正是Windows。以前不是很理解这句话,慢慢的随着技术的提高,和知识的覆盖面增加,对这句话有了新的了解。 Resource Kit就是Microsoft为管理员提供的一套附加的工具集,包括了超过400个各种工具,VBs,dll,msc,涵盖了管理TCP/IP,网络,注册表,安全,远程管理,配置,Batch文件,以及操作系统的其他方面。可以让你更容易的管理一个2000/NT系统。下面就让笔者带着各位读者一同打开这个工具箱吧! 1.Appsec.exe (Application Security) Appsec.exe是一个基于GUI的应用程序,它允许管理员在一个多用户环境下限制普通用户访问一组网络上经预订的应用程序。启用这种应用程序安全性,将会导致系统拒绝普通用户执行或使用一个未经许可的应用程序。大家看这是不是一个很有用的工具呢?对某些特定的程序进行限制以后,可以减少一些Hacker入侵的可能。 几点提示: a. 只有管理员或管理员组的成员可以运行所有程序,用户(包括PowerUser组)只能运行列表中的应用程序。 b. Appsec第一次启用时,Terminal Server的会话必须中断,否则Appsec将不能在本次会话中启用。 c. 实际上Appsec只能限制调用CreateProcess方法的应用程序,不能限制使用NTCreateProcess方法的程序。 d. Appsec只能限制32位的程序,但是在默认情况下,一旦启用appsec任何对16位程序的访问都是禁止的,但是可以添加ntvdm.exe来使16位程序可以被访问。 e. Appsec并不对程序本身进行检查,也就是所如果将该有效程序进行替换的话,Appsec不会发现。所以说我们必须禁止用户替换和重命名应用程序,这可以用Security Template来做。 f. 还有Appsec只可限制可执行文件,不可以是DLLs。 g. Appsec的使用是对于计算机的,也就是说一经启用使用本机的用户都要受到限制。 另外,对于系统管理员来说,禁止一些黑客常用的权限提升程序无疑是一种以不变应万变的好办法。如禁止除管理员以外的所有人,访问net.exe、cmd.exe等。 2. Cachemov.exe (Offline Files Cache Mover) Cachemov.exe,用来移动离线文件的缓存(小提示:默认保存在根卷下),如果你觉得那东西在那个地方碍的你事的话,把它挪个地方也没有什么问题。这个工具比较简单就不再多说什么了,就一个GUI,然后选择一个卷,它就自动帮你做完了,很简单。你也可以使用无人值守模式 cachemov -unattend x:\ 电脑自己搞定,此时需要(Cchmvmsg.dll)。所有的结果会保存至应用程序日志。 只是注意一下,运行时需要管理员的身份,还有就是不能够移动到网络驱动器和可移动驱动器上去。移动以后不要改letter,不然你会有麻烦的! 3. DelSrv.exe (Delete Service) 一个拿来删除服务用的工具,使用起来非常简单,命令格式:delsrv servicename就可以了。 {%FY非常有用的: %} 4. Dureg.exe (Registry Size Estimator)
