c:\windows\system32\sethc.exe和c:\windows\system32\dllcache\sethc.exe
這2個目錄之下
為了防止簡單替換sethc.exe提權,可對sethc.exe設置權限,刪除所有的用戶組。
包括administrators和system組的權限,防止簡單替換進入服務器。
刪除所有用戶組不保留!
就防止簡單替換了!還要注意的一點就是:防止shift後門的sethc.exe鏡像劫持
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
刪除所有用戶的用戶組,加上everyone組並設置全部拒絕。
這樣只能對提權起到一點的阻礙!
