引言：打开CMD窗口，中可以快速执行各种命令，其操作效率有时甚至优于视窗界面。熟悉系统配置的人都知道，之所以可以顺利执行命令，这其实是“cmd.exe”程序的功劳。正是因为该程序的特殊性，也就成了黑客觊觎的目标。

打开CMD窗口，中可以快速执行各种命令，其操作效率有时甚至优于视窗界面。熟悉系统配置的人都知道，之所以可以顺利执行命令，这其实是“cmd.exe”程序的功劳。正是因为该程序的特殊性，也就成了黑客觊觎的目标。当黑客利用各种漏洞盯上目标主机后，通过各种溢出攻击，就可以调用系统中的“cmd.exe”程序来获得CMD Shell控制接口，接下来就可以对系统进行深度入侵了，例如创建非法账户，上传木马等等，因此，对“cmd.exe”程序的使用权限进行合理的管控，对于抗击黑客入侵意义非凡。

利用NTFS权限，防止黑客操作CMD命令

利用系统的NTFS分区的访问控制表（Access Control Lists，即 ACLS），就可以对CMD的访问权限进行严格控制。打开“%windir%system32”文件夹，在其中的“cmd.exe”文件的右键菜单中点击“属性”项，在弹出窗口中的“安全”面板中的“组或用户”列表中依次选择对应的账户，点击“删除”按钮，将所有的账户全部清除。点击应用按钮，在弹出的警告窗口中点击确定按钮，保存设置信息。之后，“cmd.exe”程序就处于禁用状态，不管任何用户试图调用该程序，系统都会弹出“无法访问指定设备，路径或文件，您可能没有合适的权限访问这个项目”的提示，使其无法操作该程序。

按照同样的方法，对系统路径中的“command.com”程序进行同样的配置，让黑客彻底无法操作命令行界面。当然，为了自己实际需要，也可以创建专用的账户，将其单独添加到“cmd.exe”文件安全面板中的“组或用户”列表中，便于您使用命令行窗口。为了防止SYSTEM账户访问“cmd.exe”程序，可以在注册表编辑器中打开“HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsSystem”分支，如果没有对应的子健则需要手工建立。在窗口右侧新建名称为“DisableCMD”类 型 为DWORD的项目，将其值设置为“1”，可以禁止命令解释器和批处理文件的运行。经过以上设置，即使黑客对系统进行远程溢出攻击，但是在调用CMD Shell接口时会遭到系统拦截，使其无法对获得有效的控制权。

对CMD进行完美加密

在默认情况下，任何用户都可以自由的打开CMD窗口，但是，在CMD窗口中执行各种命令时，有些危险的程序或者命令可能会对系统造成潜在的危害。控制CMD窗口的使用权限，为其添加启动密码，是一个比较好的办法。这样当打开CMD窗口时，就必须输入预设的密码。这就大大提高了CMD窗口的安全性。网上提供的锁定程序实际上存在很大的漏洞，几乎不堪一击。其实，我们完全可以自己动手，设计一款密不透风的密码认证检测程序，打开记事本，输入以下内容：

将其保存为“lock.bat”的文件，其原理很简单，就是判断输入的密码是否为“opencmd”，如果是就打开CMD窗口，否则弹出错误提示，当然，您可以根据需要更改改密码。在注册表编辑器中展开路径“HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommand Processor”，在右侧窗口中双击“AutoRun”键值名，将其数值修改为“f:lock.bat”即可，假设改文件保存在F盘根路径下，您可以根据进行修改。当打开CMD窗口时，就会自动启动密码验证程序了。该程序的最大特点是可以抗击任意的密码猜测行为，没有正确的密码就别想使用CMD窗口。

为CMD设置专用记录器

当黑客通过某些漏洞对系统远程溢出后，就会利用获得远程CMD Shell接口执行各种危险的命令。了解系统存在哪些安全隐患，将其及时堵上。使用CMD命令记录器，就可以轻松实现上述功能。下载地址：http://www.greenxf.com/soft/4835.html。

点击“Win+R”键，执行“cmd.exe”程序，在其中执行“ren c:windowssystem32cmd.exe cm_.exe”命令，将原来的“cmd.exe”文件更名为“cm_.exe”。如果系统出现文件保护界面，需要点击“取消”按钮，让更名得以顺利进行。也可以在安全模式，WinPE等环境中进行更名操作。将下载的“CmdPlus.rar”压缩包解压到“c:windowssystem32”目录中。将其中的“cmdplus.exe”更 名为“cmd.exe”，替换原来的“cmd.exe”程序。之后，如果黑客对本机远程溢出得手，执行的所有命令全部经由“cmdplus.exe”程序，通过匿名管道传送给“cm_.exe”程序去执行，并将其完整记录下来。打开“c:windowssystem32”目录下的“history.txt”文件，可以看到CMD记录信息的所有内容。当然，您自己使用的话，可以直接执行“cm_.exe”程序，来操作各种命令。