彻底阻止入侵者新建/删除用户及篡改密码的终极方案
面对日益严峻的服务器安全威胁,一个高效且彻底的防御策略是从系统根源入手——直接锁定用户账户信息的核心存储区域,即注册表与关键系统文件。这种方法相当于为Windows系统的“用户身份数据库”安装了一把坚不可摧的物理锁,从根本上杜绝未授权的账户操作。
1、配置McAfee注册表阻止规则
首先,启动McAfee ePolicy Orchestrator控制台,依次导航至访问保护 -> 用户定义的规则 -> 新建规则。在规则类型中,请务必选择注册表阻止规则。
详细配置步骤如下:
要包含的进程: * (此处的星号代表规则对系统所有进程生效)
要保护的注册表项或注册表值: 此步骤尤为关键,必须精确操作。请【务必先点击选中规则编辑器下方的“值”选项】。然后在输入框中准确填写以下路径:HKLM\SAM\SAM\*\*

要阻止的注册表操作: 为达最大防护效果,建议将所有涉及修改的选项,包括“写入”、“创建”、“删除”等操作全部勾选,以建立最严密的注册表保护层。
2、核心要点:准确选择“值”而非“项”
上一步中的选择差异将直接决定规则的成功与否。为清晰展示,请参考下图中的正确配置示例:

根据众多系统管理员的安全实践反馈,若此处配置不当,系统在后续操作中可能出现异常提示。虽然在Windows Server 2003及2008 R2的实测环境中未见异常,但经验证实:若在此处遗漏了“值”的选择,将直接导致规则失效,无法拦截新用户账户的创建。
此处必须强调一条至关重要的安全警告:如果不慎选中了上方的“项”而非“值”,可能会造成灾难性后果,包括管理员账户自身被锁死而无法登录。一旦发生此情况,恢复将极为困难,甚至可能需重新安装操作系统。因此,操作时请反复确认选中的是“值”。
3、配置文件与文件夹访问保护规则
仅锁定注册表尚不完善,我们还需要保护承载账户信息的实体文件,实现“双保险”。
再次进入McAfee控制台,路径为访问保护 -> 用户定义的规则 -> 新建,此次选择文件/文件夹访问保护规则。
规则参数配置如下:
要包含的进程: *(同样适用于所有进程)
要阻止的文件或文件夹名(可使用通配符): C:\Windows\System32\config\SAM(此文件即为本地用户账户数据库)
要禁止的文件操作:
建议同时勾选以下三项,以实现全面防护:“正在创建的新文件” + “对文件进行写访问” + “正在删除的文件”。
完成上述两项核心规则的部署后,一个针对用户账户操作的立体防护体系即告建成。经多环境严格验证,此套组合策略生效后,能够切实有效地阻止任何进程(包括恶意程序)在系统中执行新建用户账号、删除已有用户或修改任意用户密码的操作。这为您的服务器账户安全构筑了一道极为坚固的底层防线,极大提升了系统整体安全性。
