广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 2149 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] Windows默认开放端口的安全对策
Windows默认开放端口的安全对策

啊!上次启动还正常的Windows系统,怎么Word 、Excel、Powerpoint等文件突然无法正常运行、网页无法正常浏览,或系统文件无法正常显示、一些功能如“粘帖”等无法正常使用,甚至电脑自动反复重新启动呢?

  是蠕虫病毒在作怪!如典型的冲击波(Worm.MSblast)等。一旦电脑染上这类病毒,某些系统端口就会被病毒占用,轻者影响系统正常运行,严重的会破坏全部系统文件。举不胜举的病毒案例告诉我们,Windows默认开放的135、137、138、139和445五个端口的漏洞最容易被利用,如果不进行相应的设置,琏接因特网后就很容易遭受骇客攻击。

  Windows默认开放135、137、138、139和445五个端口,主要是方便初级用户操作,即不进行必要地设置就可以使用网路通信和各种共用服务。但这样一来,用户不希望启动或用不着一些服务都会随机启动,琏接因特网后会在用户不知晓的情况下泄露本机资讯。因此我们应尽可能的多了解一些这些端口的作用,权衡端口开放的利与弊,然后制定相应的安全对策。

  135端口在Windows默认的五个典型开放端口中,135用途最为复杂,也最容易引起自外部攻击。若使用SecurityFriday公司开发的一款“IEen”软体进行端口安全性验证,就能清楚地看到这个端口开放是非常的危险的。

  IEen是一种远程操作IE浏览器的工具。不仅可以获得其他电脑IE浏览器中的资讯,而且还可以对浏览器本身进行操作。具体而言,就是可以得到正在运行的IE浏览器的窗口一览表、各窗口所显示的Web站点的URL及Cookie,以及在检索站点中输入的检索关键词等资讯。

  IEen使用的是Windows NT4.0/2000/XP标准集成的分布式对象技术DCOM(分布式组件对象模组),可以远程操作其他电脑中的DCOM应用程式。该技术使用的是用于调用其他电脑所具有的函数的RPC(Remote Procedure Call,远程过程调用)功能。

  这个RPC使用的就是135端口。RPC是 Windows 作业系统使用的一个远程过程调用协议。RPC 提供了一种进程间的通信机制,通过这一机制,允许在某台电脑上运行的程式顺畅地在远程系统上执行代码。协议本身源自OSF(开放式软体基础)RPC 协议,但增加了一些 Microsoft 特定的扩展 .由于使用 RPC 的程式不必了解支援通信的网路协议的情况,因此 RPC 提高了程式的互操作性。

  因为在 RPC 中发出请求的程式是客户程式,而提供服务的程式是伺服器。利用RPC功能进行通信时,就会向对方电脑的135端口询问可以使用哪个端口进行通信。这样,对方的电脑就会告知可以使用的端口号。在非加密状态下,使用IEen可以看到对方电脑的本应受到SSL保护的数据,甚至能够直接看到比如在网路银行等输入的银行现金卡密码等资讯。所以也不可避免地暴露了漏洞。攻击者能利用该漏洞在受影响的系统上以本地系统许可权运行代码,执行任何操作,包括安装程式,查看、更改或者删除数据,或者建立系统管理员许可权的帐户。针对这一漏洞的蠕虫病毒有许多。早期的这些蠕虫病毒只是攻击此漏洞,造成远端系统的崩溃,而去年8月爆发的“冲击波”则会利用这一漏洞进行快速传播,轻而易举地控制他人的IP地址和注册名,使更多的个人或公司系统遭殃。

  回避这种危险的最好办法是关闭RPC服务。如不使用DCOM特定应用程式的Web伺服器、邮件或DNS伺服器等,即便关闭135端口,也不会出现任何问题。关闭RPC服务的方法是在“控制面板”的“管理工具”中选择“服务”,在“服务”窗口中打开“Remote Procedure Call”属性,在属性窗口中将启动类型设置为“已禁用”(图01),重新启动电脑,RPC就不再运行。也可打开注册表编辑器,将“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\RpcSs”的“Start”的值由0x04变成0x02后,重新起动机器即生效。

  不过,关闭RPC服务后会给Windows的运行带来很大的影响。因为Windows的很多服务都依赖于RPC,而这些服务在将RPC设置为无效后将无法正常起动。比如,如果客户端关闭了135端口,就无法使用Outlook连接Exchange Server.因为管理分布式处理的MSDTC、负责应用程式之间的资讯交换的MSMQ以及动态地向连接网路的电脑分配地址的DHCP等服务也都使用这个端口。同时, Windows 启动的速度会变的非常慢。

  关闭RPC服务弊端非常大,一般不能轻易关闭。但为了避免遭受攻击,网路客户端却可以禁止远程登录电脑。方法是依次选择“控制面板”、“管理工具”和“本地安全策略”,打开本地安全设置窗口,选择本地策略中的用户权利指派,然后利用该项下的“拒绝从网路访问这台电脑”,指定拒绝访问的对象(图02)。如果想拒绝所有的访问,最好指定为“Everyone”(图03)。

  在公司内部,如果不想让其他电脑操作自己电脑,可以将DCOM设置为无效。方法是用DOS命令运行Windows NT/2000/XP标准集成的“dcomcnfg.exe”工具。从打开的分布式COM配置属性窗口中,选择“默认属性”页标,取消“在这台电脑上启用分布式COM”选项即可。

  DCOM(分布式对象模型)是一种能够使软体组件通过网路直接进行通信的协议。DCOM 以前叫做“网路 OLE”,它能够跨越包括 Internet 协议(例如 HTTP)在内的多种网路传输。有关 DCOM 的详细说明,可以从http://www.microsoft.com/com/tech/dcom.asp 查阅。

  137和138端口只需向对方Windows的137端口发送一个询问连接状态的资讯包,就可以得到该机的电脑名和注册用户名,该机是否为主域控制器和主浏览器、是否作为文件伺服器使用、IIS和Samba是否正在运行以及Lotus Notes是否正在运行等资讯。

  不只是公司内部网路,连接因特网的电脑也是如此。只要知道对方的IP地址,就可以向这台电脑的137端口发送一个请求,获得诸多资讯。如果捕捉到正在利用137端口进行通信的资讯包,还有可能得到目标主机的起动和关闭时间。这是因为Windows起动或关闭时会由137端口发送特定的资讯包。如果掌握了目标主机的起动时间,就可以非常轻松地使用上一次所讲的IEen等软体通过135端口操作对方的DCOM. 137端口为什么会各种资讯包泄漏到网路上呢?这是因为,在Windows网路通信协议——“NetBIOS over TCP/IP(NBT)”的电脑名管理功能中使用的是137端口(电脑名管理是指Windows网路中的电脑通过用于相互识别的名字——NetBIOS名,获取实际的IP地址的功能。)为了得到通信对象的IP地址,137端口就要交换很多资讯包。137端口资讯包泄漏主要有两种途径:一种途径,位于同一组中的电脑之间利用广播功能进行电脑名管理。电脑在起动时或者连接网路时,会向位于同组中的所有电脑询问有没有正在使用与自己相同的NetBIOS名的电脑。每台收到询问的电脑如果使用了与自己相同的NetBIOS名,就会发送通知资讯包。这些通信是利用137端口进行的。

另一种途径,利用WINS(Windows因特网名称服务)管理电脑名。被称为WINS伺服器的电脑有一个IP地址和NetBIOS名的对照表。WINS客户端在系统起动时或连接网路时会将自己的NetBIOS名与IP地址发送给WINS伺服器。与其他电脑通信时,会向WINS伺服器发送NetBIOS名,询问IP地址。这种方法也使用137端口。

  随意地泄漏这样的资讯,就好象是很友好地告诉攻击者应该如何来攻击自己的电脑。使恶意攻击者根本不必特意地通过端口扫描来寻找,就可以下手入侵。比如,如果知道IIS服务正在运行,就可以轻松地了解这台电脑上已经起动的服务。这对入侵者来说,恶意攻击简直太方便了。

  138端口提供NetBIOS的浏览功能。在该功能中,被称为主浏览器的电脑管理着连接于网路中的电脑一览表的浏览列表。比如,在Windows2000中,从“网上邻居”选择了“整个网路”后,就能清楚地看到连接网路的所有的邻近电脑。

  138端口提供NetBIOS的浏览功能。该功能使用的是与137端口电脑名管理不同的运行机制,主要用来用于显示连接于网路中的电脑一览表。每台电脑在起动时或连接网路时都会利用138端口广播自己的NetBIOS名,将自己的电脑资讯发送给同组中的所有电脑。 收到NetBIOS名的主浏览器会将这台电脑追加到浏览列表中。需要显示一览表时就广播一览表显示请求,收到请求的主游览器会发送浏览列表。关闭电脑时,机器会通知主浏览器,以便让主浏览器将自己的NetBIOS名从列表中删除掉。尽管138端口的资讯量没有137端口那么多,但也存在不容忽视的安全隐患。

  NetBIOS服务主要使用137和138端口的向外部发送自己资讯。NetBIOS主要用于Windows网路中,虽然Windows 2000以上的版本,不使用NetBIOS也能够管理电脑名,完全可以停止NBT,但会降低Windows网路使用的方便性,如无法显示用于寻找文件共用对象的资讯。这对于基于公司内部网路环境构筑Windows网路的电脑来说,NetBIOS服务还是必要的。

  停止NetBIOS服务,首先由控制面板中选择目前正在使用的网路连接,在属性窗口中查看“Internet协议(TCP/IP)”的属性。在“常规”页标中单击“高级”按钮,在“WINS”页标中选择“禁用TCP/IP上的NetBIOS(S)”即可(图04)。这样,就可以关闭137、138以及后面将要讲到的139端口。

  需要注意的一点。NetBEUI协议如果为有效,NetBIOS服务将会继续起作用。在Windows 95中,NetBIOS是在默认条件下安装的。在更高的Windows版本中,如果选择也可以安装。所以不仅要停止NBT,还应该确认NetBEUI是否在起作用。如果使用NetBEUI,即便关闭137端口,也仍有可能向外部泄漏资讯。

  139和445端口139和445端口的功能主要是,通过137和138端口获取IP地址,实现文件共用和印表机共用等。

  139和445端口的通信过程是通过SMB(伺服器资讯块)协议实现的。即根据DNS伺服器中的名字列表资讯,寻找需要通信的对象。如果顺利地得到对象的IP地址,就可以访问共用资源 .Windows 2000以前版本的Windows使用NetBIOS协议解决各电脑名的问题。通过向WINS伺服器发送通信对象的NetBIOS名,取得IP地址。而Windows以后的版本所采用的CIFS则利用DNS解决电脑的命名问题。

  在SMB通信中,首先要取得通信对象的IP地址,然后向通信对象发出开始通信的请求。如果对方充许进行通信,就会确立会话层(Session)。并使用它向对方发送用户名和密码资讯,进行认证。如果认证成功,就可以访问对方的共用文件。在这些一连串的通信中使用的就是139端口。

  除此之外,Windows 2000和XP还使用445端口。文件共用功能本身与139端口相同,但该端口使用的是与SMB不同的协议。这就是在Windows 2000中最新使用的CIFS(通用因特网文件系统)协议。 CIFS和SMB解决电脑名的方法不同。SMB使用NetBIOS和WINS解决电脑名,而CIFS则使用DNS. 因此,在文件伺服器和列印伺服器使用Windows的公司内部网路环境中,就无法关闭139和445端口。

  在默认设置下,Windows会开放提供文件共用服务的TCP的139号端口。一旦文件共用服务起动,系统就会进入等待状态。而共用资源则可以利用net命令轻松地进行分配。尽管C盘如果没有管理员许可权就无法共用,但如果不经意地将Guest帐号设置为有效以后,攻击者就能够访问C盘,非常轻松地破坏硬盘。如果客户端使用2000以上的Windows版本构成的网路,自身不公开文件,就可以关闭这两个端口。 这是因为如前所述,该网路只用445端口就能够进行文件共用。由于在解决电脑名过程中使用DNS,所以也可以关闭137和138端口。不过,在目前情况下,基本上所有的网路系统都还在混合使用2000以前的Windows版本。而在很多情况下,文件共用和印表机共用在普通的业务中必须使用139端口通过SMB协议进行通信,因此就无法关闭139端口。另外,浏览时还需要137~139端口。

  公开伺服器绝对应该关闭这些端口

  在因特网上公开的伺服器要另当别论。公开伺服器打开139和445端口是一件非常危险的事情。就像本文开头所说的那样,如果有Guest帐号,而且没有设置任何密码时,就能够被人通过因特网轻松地盗看文件。如果给该帐号设置了写入许可权,甚至可以轻松地篡改文件。也就是说在对外部公开的伺服器中不应该打开这些端口。通过因特网使用文件伺服器就等同自杀行为,因此一定要关闭139和445端口。对于利用ADSL永久性接入因特网的客户端机器可以说也是如此

  要关闭139端口,与137和138端口一样,可以选择“将NetBIOS over TCP/IP设置为无效”。而要想关闭445端口则必须进行其他工作。利用注册表编辑器在“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters”中追加名为“SMBDeviceEnabled”的DWORD值,并将其设置为0,然后重新起动机器。



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾和信超媒体宽带网 | Posted:2006-12-06 04:05 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.060624 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言