頻道欄目
首頁 > 資訊 > 系統安全 > 正文

潛伏在Windows默認設置中的陷井

04-10-01        來源:[db:作者]  
收藏   我要投稿
在默認設置條件下直接運行Windows,很多端口就會處于開放狀態。由于多種服務會自動起動,因此不需進行復雜的設置就能夠使用各種服務。但如果置之不理,就可能成為攻擊者的攻擊對象。安全對策的基礎是嚴格區分必要和不需要的服務,然后關閉不需要的服務。為此就必須了解Windows在默認設置中處于開放狀態的具有代表性的端口的作用及其危險性,并進行適當的設置。

通過因特網,服務器硬盤中的內容全部都可以看見。而且還能夠非常輕松地篡改和刪除其中的數據。也許讀者會想:哪里有有設置如此笨拙的服務器?!很多人覺得只要不進行極端的設置、故意對外公開硬盤中的內容,就不會出現這種情況。

但實際上,在Windows中,即便管理員并非明確地起動某種服務、或者開放某個端口,也有可能發生這種情況。

在默認設置下,Windows會開放提供文件共享服務的TCP的139號端口。因此,在默認條件下起動文件共享服務后,系統就進入等待狀態。由此,機器就會始終處于被攻擊者訪問共享資源的危險境地。而共享資源則可以利用net命令輕松地進行分配(圖1)。盡管C盤如果沒有管理員權限就無法共享,但如果不經意地將Guest帳號設置為有效以后,就能夠訪問C盤,這樣一來就非常輕松地破壞硬盤。而且,今后也有可能發現其它利用文件共享服務發動攻擊的嚴重安全漏洞。

安全對策的基本原則是關閉不需要的服務。如果不起動服務,即便外部發來連接請求,機器也不會作出響應。要做到這一步,電腦管理員就必須充分了解哪些服務是必須的,以及目前實際上起動了哪些服務。

但是,在Windows中,在默認條件下會起動很多服務,而且很多時候各服務的作用也不容易搞清楚。而很多管理員不僅認識不到端口開放的危險性,而且在不了解服務的作用和必要性的情況下就會直接連接因特網。

圖1●如果使用net命令,就能夠分配到共享資源。“C$”是C盤的共享名

應該注意的5個端口

那么,實際上在Windows默認條件下所開放的端口有哪些呢?筆者在安裝了Windows系統后,對在默認條件下開放的端口進行了一次調查。調查中使用了免費端口掃描工具“Nmap”http://www.insecure.org/nmap/)。

結果如表1和表2。在幾乎所有的Windows中所開放的端口包括135、137、138和139。此外,在2000、XP和.NET Server中445端口也是開放的。Windows在默認條件下開放的眾所周知的端口就是這5個。

表1●服務器Windows系統開放的主要端口

表2●客戶端Windows系統開放的主要端口

這些到底是不是真正必要的服務呢?要想下結論,就必須充分了解這些端口各自的作用。雖說在默認條件下是開放的,但如果保持這種默認設置不變,就會在無意識的情況下受到非法訪問。因此,應該盡可能關閉不需要的服務。無論如何也不能停止的服務必須使用過濾軟件,確保能夠防止外部訪問。

下面對幾乎所有的Windows在默認條件下開放的最具代表性的5個端口即135、137、138、139和445等各自的作用作一詳細介紹。了解它們的作用后,就能夠推測出開放端口后可能存在哪些危險,從而就可以方便地制定相應的對策。

利用工具驗證到的135端口的危險性

雖說大家都說非常危險,但即難以了解其用途,又無法實際感受到其危險性的代表性端口就是135號。但是2002年7月能夠讓人認識到其危險性的工具亮相了,這就是“IE`en”。

該工具是由提供安全相關技術信息和工具類軟件的“SecurityFriday.com”公司http://www.securityfriday.com)在網上公開提供的。其目的是以簡單明了的形式驗證135端口的危險性,呼吁用戶加強安全設置。不過,由于該工具的威力非常大,因此日本趨勢科技已經將該工具的特征代碼追加到了病毒定義庫文件中。如果在安裝了該公司的病毒掃描軟件的電腦中安裝IE`en,就有可能將其視為病毒。

可以看到SSL的內容

IE`en是一種遠程操作IE瀏覽器的工具。不僅可以從連接到網絡上的其他電腦上正在運行的IE瀏覽器中取得信息,而且還可以對瀏覽器本身進行操作。具體而言,就是可以得到正在運行的IE瀏覽器的窗口一覽表、各窗口所顯示的Web站點的URL及Cookie,以及在檢索站點中輸入的檢索關鍵詞等信息。

該工具所展示的最恐怖的情況是,在非加密狀態下可以看到本應受到SSL保護的數據。所以可以由此獲取加密前或者還原后的數據。如果使用IE`en,甚至能夠直接看到比如在網絡銀行等輸入的銀行現金卡密碼等信息。

IE`en使用的是Windows NT4.0/2000/XP標準集成的分布式對象技術DCOM(分布式組件對象模塊)。使用DCOM可以遠程操作其他電腦中的DCOM應用程序。該技術使用的是用于調用其他電腦所具有的函數的RPC(Remote Procedure Call,遠程過程調用)功能。而這個RPC使用的就是135端口。

利用RPC功能進行通信時,就會向對方電腦的135端口詢問可以使用哪個端口進行通信。這樣,對方的電腦就會告知可以使用的端口號。實際的通信將使用這個端口來進行。135端口起的是動態地決定實際的RPC通信所使用的端口的端口映射作用。

如果是利用DCOM技術開發的應用程序,都可以像IE瀏覽器那樣進行操作。比如,連接正在利用Excel工作的其他電腦,獲取單元格中輸入的值,或者對這個值本身進行編輯并非不可能的事情。

不過,要想利用該方法操縱他人的電腦,就必須知道該機的IP地址和注冊名以及密碼。因此,通過因特網而受到第三者的攻擊的可能性非常低。而危險性最高的是公司內部環境。尤其是客戶端更為危險。這是因為在大多情況下不僅可以輕而易舉地得到他人的IP地址和注冊名,而且密碼的管理也不是很嚴格。學校以及網吧等多臺電腦采用相同設置的場合也需加以注意。

在公司內部環境中務必將DCOM設置為無效

回避這種危險的最好辦法是關閉RPC服務。在“控制面板”的“管理工具”中選擇“服務”,在“服務”窗口中打開“Remote Procedure Call”屬性(圖2)。在屬性窗口中將啟動類型設置為“已禁用”,自下次起動開始RPC就將不再啟動(要想將其設置為有效,在注冊表編輯器中將“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs”的“Start”的值由0x04變成0x02后,重新起動機器即可)。不過,進行這種設置后,將會給Windows的運行帶來很大的影響。比如Windows XP Professional,從登錄到顯示桌面畫面,就要等待相當長的時間。這是因為Windows的很多服務都依賴于RPC,而這些服務在將RPC設置為無效后將無法正常起動。由于這樣做弊端非常大,因此一般來說,不能關閉RPC服務。

那么接下來要考慮的對策是信息包過濾。但是這同樣也會給Windows的運行帶來各種影響。比如,如果在客戶端關閉135端口,就無法使用Outlook連接Exchange Server。因為管理分布式處理的MSDTC、負責應用程序之間的信息交換的MSMQ以及動態地向連接網絡的電腦分配地址的DHCP等服務也都使用這個端口。

精通Windows網絡的高橋基信表示:“在Windows服務中,有很多服務需要使用RPC。另外,Windows網絡并不是設想在客戶端與服務器之間存在防火墻的狀態而組建的。因此公司內部網絡環境中使用過濾功能時,應該在充分驗證后加以實施”。也就是說,在公司內部環境中不僅是客戶端,即便是服務器也無法關閉135端口。服務器方面,為了使活動目錄和主域實現同步,就要使用135端口。

但是卻有辦法只將DCOM設置為無效。這就是利用Windows NT/2000/XP標準集成的“dcomcnfg.exe”工具。從DOS命令中運行該工具以后,打開分布式COM配置屬性窗口,選擇“默認屬性”頁標,取消“在這臺計算機上啟用分布式COM”選項即可(圖3)。在公司內部不使用DCOM,并且不想讓其他計算機操作自己電腦COM的時候,就應該采用這種設置。

如果是客戶端,也有辦法禁止遠程登錄電腦。依次選擇“控制面板”、“管理工具”和“本地安全策略”,打開本地安全設置窗口,選擇本地策略中的用戶權利指派,然后利用該項下的“拒絕從網絡訪問這臺計算機”,指定拒絕訪問的對象。如果想拒絕所有的訪問,最好指定為“Everyone”。

公開服務器應該關閉135端口

公開于因特網上的服務器基本上不使用RPC。如前所述,盡管危險性比公司內部環境低,但只要不運行使用DCOM的特定應用程序(只要不是必須的服務),就應該關閉135端口。比如只是作為Web服務器、郵件或DNS服務器來使用的話,即便關閉135端口,也不會出現任何問題。

不過需要通過因特網來使用DCOM應用程序時,就不能關閉該端口。但需要采取嚴格管理密碼的措施。
“話匣子”端口137和138

請看表3。您一定看得出這些信息的重要性。該表列出的就是能夠由137端口得到的主要信息。只需向Windows的137端口發送一個詢問連接狀態的信息包,就可以得到表中所示的信息。因為返回的信息包中包括這些信息,就這么簡單!

●能夠由137端口獲取的主要信息

具體而言,就是說通過137端口除了該機的計算機名和注冊用戶名以外,還可以得到該機是否為主域控制器和主瀏覽器、是否作為文件服務器使用、IIS和Samba是否正在運行以及Lotus Notes是否正在運行等信息。據SecurityFriday.com公司的Michiharu Arimoto介紹:“除了計算機名以外,還可以準確地了解IIS、主域控制器、主域瀏覽器以及文件服務器等相關信息。雖說不是百分之百,但有時還能夠得到其他信息”。

也就是說,只要您想獲得這些信息,只需向這臺個人電腦的137端口發送一個請求即可。只要知道IP地址,就可以輕松做到這一點。不只是公司內部網絡,還可以通過因特網得到這樣的信息。

對于攻擊者來說,這簡直太方便了,可以很容易地了解目標電腦的作用及網絡的

相關TAG標簽
上一篇:臺積電:絕大多數7nm客戶都會轉向6nm_IT新聞_博客園
下一篇:最后一頁
相關文章
圖文推薦

關于我們 | 聯系我們 | 廣告服務 | 投資合作 | 版權申明 | 在線幫助 | 網站地圖 | 作品發布 | Vip技術培訓 | 舉報中心

版權所有: 紅黑聯盟--致力于做實用的IT技術學習網站

免费的黄色网站