怡然这名字好吗:Windows默认开放端口的安全对策
来源:百度文库 编辑:偶看新闻 时间:2024/05/12 04:37:08
Windows默认开放端口的安全对策
啊!上次启动还正常的Windows系统,怎么Word 、Excel、Powerpoint等文件突然无法正常运行、网页无法正常浏览,或系统文件无法正常显示、一些功能如“粘帖”等无法正常使用,甚至计算机自动反复重新启动呢?是蠕虫病毒在作怪!如典型的冲击波(Worm.MSblast)等。一旦计算机染上这类病毒,某些系统端口就会被病毒占用,轻者影响系统正常运行,严重的会破坏全部系统文件。举不胜举的病毒案例告诉我们,Windows默认开放的135、137、138、139和445五个端口的漏洞最容易被利用,如果不进行相应的设置,琏接因特网后就很容易遭受黑客攻击。
Windows默认开放135、137、138、139和445五个端口,主要是方便初级用户操作,即不进行必要地设置就可以使用网络通信和各种共享服务。但这样一来,用户不希望启动或用不着一些服务都会随机启动,琏接因特网后会在用户不知晓的情况下泄露本机信息。因此我们应尽可能的多了解一些这些端口的作用,权衡端口开放的利与弊,然后制定相应的安全对策。
135端口在Windows默认的五个典型开放端口中,135用途最为复杂,也最容易引起自外部攻击。若使用SecurityFriday公司开发的一款“IEen”软件进行端口安全性验证,就能清楚地看到这个端口开放是非常的危险的。
IEen是一种远程操作IE浏览器的工具。不仅可以获得其它电脑IE浏览器中的信息,而且还可以对浏览器本身进行操作。具体而言,就是可以得到正在运行的IE浏览器的窗口一览表、各窗口所显示的Web站点的URL及Cookie,以及在检索站点中输入的检索关键词等信息。
IEen使用的是Windows NT4.0/2000/XP标准集成的分布式对象技术DCOM(分布式组件对象模块),可以远程操作其他电脑中的DCOM应用程序。该技术使用的是用于调用其他电脑所具有的函数的RPC(Remote Procedure Call,远程过程调用)功能。
这个RPC使用的就是135端口。RPC是 Windows 操作系统使用的一个远程过程调用协议。RPC 提供了一种进程间的通信机制,通过这一机制,允许在某台计算机上运行的程序顺畅地在远程系统上执行代码。协议本身源自OSF(开放式软件基础)RPC 协议,但增加了一些 Microsoft 特定的扩展 .由于使用 RPC 的程序不必了解支持通信的网络协议的情况,因此 RPC 提高了程序的互操作性。
因为在 RPC 中发出请求的程序是客户程序,而提供服务的程序是服务器。利用RPC功能进行通信时,就会向对方电脑的135端口询问可以使用哪个端口进行通信。这样,对方的电脑就会告知可以使用的端口号。在非加密状态下,使用IEen可以看到对方电脑的本应受到SSL保护的数据,甚至能够直接看到比如在网络银行等输入的银行现金卡密码等信息。所以也不可避免地暴露了漏洞。攻击者能利用该漏洞在受影响的系统上以本地系统权限运行代码,执行任何操作,包括安装程序,查看、更改或者删除数据,或者建立系统管理员权限的帐户。针对这一漏洞的蠕虫病毒有许多。早期的这些蠕虫病毒只是攻击此漏洞,造成远端系统的崩溃,而去年8月爆发的“冲击波”则会利用这一漏洞进行快速传播,轻而易举地控制他人的IP地址和注册名,使更多的个人或公司系统遭殃。
回避这种危险的最好办法是关闭RPC服务。如不使用DCOM特定应用程序的Web服务器、邮件或DNS服务器等,即便关闭135端口,也不会出现任何问题。关闭RPC服务的方法是在“控制面板”的“管理工具”中选择“服务”,在“服务”窗口中打开“Remote Procedure Call”属性,在属性窗口中将启动类型设置为“已禁用”(图01),重新启动电脑,RPC就不再运行。也可打开注册表编辑器,将“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\RpcSs”的“Start”的值由0x04变成0x02后,重新起动机器即生效。
不过,关闭RPC服务后会给Windows的运行带来很大的影响。因为Windows的很多服务都依赖于RPC,而这些服务在将RPC设置为无效后将无法正常起动。比如,如果客户端关闭了135端口,就无法使用Outlook连接Exchange Server.因为管理分布式处理的MSDTC、负责应用程序之间的信息交换的MSMQ以及动态地向连接网络的电脑分配地址的DHCP等服务也都使用这个端口。同时, Windows 启动的速度会变的非常慢。
关闭RPC服务弊端非常大,一般不能轻易关闭。但为了避免遭受攻击,网络客户端却可以禁止远程登录电脑。方法是依次选择“控制面板”、“管理工具”和“本地安全策略”,打开本地安全设置窗口,选择本地策略中的用户权利指派,然后利用该项下的“拒绝从网络访问这台计算机”,指定拒绝访问的对象(图02)。如果想拒绝所有的访问,最好指定为“Everyone”(图03)。
在公司内部,如果不想让其他计算机操作自己电脑,可以将DCOM设置为无效。方法是用DOS命令运行Windows NT/2000/XP标准集成的“dcomcnfg.exe”工具。从打开的分布式COM配置属性窗口中,选择“默认属性”页标,取消“在这台计算机上启用分布式COM”选项即可。
DCOM(分布式对象模型)是一种能够使软件组件通过网络直接进行通信的协议。DCOM 以前叫做“网络 OLE”,它能够跨越包括 Internet 协议(例如 HTTP)在内的多种网络传输。有关 DCOM 的详细说明,可以从http://www.microsoft.com/com/tech/dcom.asp 查阅。
137和138端口只需向对方Windows的137端口发送一个询问连接状态的信息包,就可以得到该机的计算机名和注册用户名,该机是否为主域控制器和主浏览器、是否作为文件服务器使用、IIS和Samba是否正在运行以及Lotus Notes是否正在运行等信息。
不只是公司内部网络,连接因特网的电脑也是如此。只要知道对方的IP地址,就可以向这台电脑的137端口发送一个请求,获得诸多信息。如果捕捉到正在利用137端口进行通信的信息包,还有可能得到目标主机的起动和关闭时间。这是因为Windows起动或关闭时会由137端口发送特定的信息包。如果掌握了目标主机的起动时间,就可以非常轻松地使用上一次所讲的IEen等软件通过135端口操作对方的DCOM. 137端口为什么会各种信息包泄漏到网络上呢?这是因为,在Windows网络通信协议——“NetBIOS over TCP/IP(NBT)”的计算机名管理功能中使用的是137端口(计算机名管理是指Windows网络中的电脑通过用于相互识别的名字——NetBIOS名,获取实际的IP地址的功能。)为了得到通信对象的IP地址,137端口就要交换很多信息包。137端口信息包泄漏主要有两种途径:一种途径,位于同一组中的电脑之间利用广播功能进行计算机名管理。电脑在起动时或者连接网络时,会向位于同组中的所有电脑询问有没有正在使用与自己相同的NetBIOS名的电脑。每台收到询问的电脑如果使用了与自己相同的NetBIOS名,就会发送通知信息包。这些通信是利用137端口进行的。
xp默认开放端口
关闭了默认开放的危险端口之后
3389,Windows 2000端口开放
Windows XP中系统服务开放的端口最高的端口号为多少?为什么服务开放的?
windowsxp中有哪些端口是默认开放的?(请各位留下QQ)
win2003默认的windows media service 端口怎么修改?
开放的端口的攻击?
开放3389端口的IP!
如何查看开放的端口
25号端口(smtp)开放, 电脑安全不安全?
110号端口(pop3)开放! 电脑安全吗?
1026号端口(未知)开放! 电脑安全吗?
加强我国金融安全的对策?
关于Windows 2000 Advance Server Terminal 端口开放
请问windows xp的远程桌面连接的默认端口是多少?从哪里可以看出来?
windows安全更新默认下载在哪里
安全模式变成了Windows 默认
23端口开放有什么样的安全漏洞?
怎么关闭计算机所开放的端口
可开放的端口有那些啊?
怎么关闭一些已经开放的端口
开放的端口80是什么?怎样查?
怎样空连接开放的端口?
怎样才能知道主机的开放端口信息