防止替换shift后门提权（sethc.exe后门）

c:/windows/system32/sethc.exe和c:/windows/system32/dllcache/sethc.exe 

这2个目录之下

为了防止简单替换sethc.exe提权，可对sethc.exe设置权限，删除所有的用户组。

包括administrators和system组的权限，防止简单替换进入服务器。

删除所有用户组不保留！

就防止简单替换了！还要注意的一点就是：防止shift后门的sethc.exe镜像劫持

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/  

删除所有用户的用户组,加上everyone组并设置全部拒绝。

这样只能对提权起到一点的阻碍！