在所有的黑客事件中，绝大部分的黑客行为都是通过“命令提示符”来完成的，因此黑客攻占了“命令提示符”，就等于攻占了我们的系统，所以，在我们平时的系统安全防护中，“命令提示符”的安全绝对不容忽视。

　　编辑提示：保护“命令提示符”安全的重要性

　　虽然现在的Windows是图形化的操作界面，但是其本身的工作还是通过各种指令来完成的，而“命令提示符”更像是Windows的核心，我们可以在其中输入各种命令来控制系统。在上期介绍溢出攻击的文章中，黑客并不是直接对Windows进行入侵，而是通过溢出代码获取一个shell，这个shell就是指黑客获取到目标电脑“命令提示符”的权限。黑客可以在shell中输入相应的指令来完成入侵步骤，例如输入“net user hacker /add”就可以创建一个用户名为hacker的用户，输入“net localgroup administrators hacker /add”就可以将hacker这个用户提升至管理员权限。从毫无权限，到获取目标电脑的管理员权限，黑客只需在“命令提示符”中输入两句命令就可以完成，可见“命令提示符”在Windows中的作用是十分巨大的。

　　禁用“net user”命令

　　黑客在得到shell后，通常会先查看目标主机上的账户情况，使用的命令是“net user”，如果我们将这个命令给禁用，就能忽悠一下黑客，让他知难而退。

　　点击“开始”菜单→“运行”，输入“regedit”回车运行“注册表编辑器”，定位到HKEY_LOCAL_MACHINESAMSAM处，在SAM项上点右键，选择“权限”。在权限设置窗口中勾寻完全控制”，点击确定。按F5刷新一下，展开SAM项，定位到HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers

　　Names处，在Names项上点右键，选择“新建”→“项”，将项的名称处输入一个空格，然后双击右侧的键，将其键值也设为空格。完成后关闭注册表即可。

▲修改注册表

　　现在黑客在“命令提示符”中输入“net user”命令，将会看到“列表是空的”这样的悲剧回显。我们忽悠黑客的目的就达到了。

　　禁用“命令提示符”

　　障眼法毕竟只是忽悠一下菜鸟黑客，稍有经验的黑客就能识破，因此最安全妥当的方法就是将“命令提示符”禁用，方法如下：

　　点击“开始”菜单→“管理工具”→“本地安全策略”，依次展开“安全设置”→“软件限制策略”，双击其中的“其他规则”，在右侧的空白处点击右键，在出现的菜单中选择“新散列规则”。点击“文件散列”处的浏览按钮，选中位于c:windowssystem32目录下的cmd.exe文件，将其“安全级别”设置为“不允许的”。然后点击确定。

　　这样设置后，所有的用户都将无法运行“命令提示符”，在“运行”中输入“cmd”回车后会出现“由于一个软件限制策略的阻止，Windows 无法打开此程序”这样的提示，此时的“命令提示符”被彻底禁用了。但某些时候，我们还是要用到一下“命令提示符”的，有没有办法自己可以用，但是让黑客用不了呢?

▲建立“命令提示符”的限制规则

　　我们可以这样设置：双击“软件限制策略”，在右侧找到“强制”选项，在“将软件限制策略应用到下列用户”处勾寻除本地管理员以外的所有用户”选项，点击确定即可。设置好后只有本地的管理员账户可以使用“命令提示符”，其他非管理员权限的账户，例如user将无法使用“命令提示符”，当然黑客也无法再利用“命令提示符”来入侵了。

▲设置运行“命令提示符”的权限