操作系统安全之端口与服务

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,端口与服务,什么叫端口,计算机“端口”是计算机与外界通讯交流的出入口，分为两类：,硬件领域的端口（interface），又称接口，如：USB端口、串行端口、并行端口等；,软件领域的端口(port)，一般指网络中面向连接服务和无连接服务的通信协议端口，是IP协议与上层协议通信点，是一种抽象的软件结构。任何两个节点间要实现网络通信都必须打开相应的端口.,端口的分类,计算机端口的总数为65535个，系统自身常用端口只有几十个。按性质划分，所有端口分以下3大类:,(1)公认端口(Well Known Ports)，也称为“常用端口”。端口号从0至1023，紧密绑定于一些特定的服务，通常这些端口的通讯明确表明了某种服务的协议。例如，HTTP协议使用80端口;Telnet服务使用23端口。黑客一般不会利用这类端口进行攻击。,端口的分类,(2)注册端口(Registered Ports):端口号从1024至49151，松散地绑定于某些服务，并且多数没有明确定义服务对象。这类端口的应用可根据用户的需要自定义，因此，这类端口比较容易被黑客利用。,端口的分类,(3)动态和/或私有端口(Dynamic and/or Private Ports):端口号从49152至65535，应用上更为自由，理论上常用服务不会分配在这些端口上。因为这些端口较隐蔽，又不会引起用户的重视。所以一些木马程序往往偏爱这些端口。,查看端口的命令,Windows系统自带了功能强大端口查看程序netstat。,语法： netstat-a -e -n -o -p Protocol -r -s Interval,参数：,-a 显示所有活动的 TCP 连接以及计算机侦听的 TCP 和 UDP 端口。,查看端口的命令,-e 显示以太网统计信息，如发送和接的字节数、数据包数。,-n 显示活动的 TCP 连接，不过，只以数字形式表现地址和端口号，却不尝试确定名称。,-o 显示活动的 TCP 连接并包括每个连接的进程 ID (PID)。可以在 Windows 任务管理器中的“进程”选项卡上找到基于 PID 的应用程序。,-b 显示打开端口的进程名及相应的模块.,-p Protocol 显示 Protocol 所指定的协议的连接。,查看端口的命令,-s 按协议显示统计信息。默认情况下，显示 TCP、UDP、ICMP 和 IP 协议的统计信息。,-r 显示 IP 路由表的内容。,Interval 每隔 Interval 秒重新显示一次选定的信息。按 Ctrl+C 停止重新显示统计信息。如果省略该参数，netstat 将只输出一次选定的信息。,查看端口的命令,注意事项：,与该命令一起使用的参数必须以连字符 (-) 而不是以斜杠 (/) 作为前缀,如果端口尚未建立，端口以星号 (*) 显示。,用冰刃查看端口,比较与用netstat 的不同,关闭一些不常用端口,1 .每一个端口都对应着一定的服务，关掉服务，相应的端口也就关闭了。如，关掉WWW服务，80端口就关闭了；关掉telnet服务，23端口也就关闭了；关掉FTP服务，21端口就关闭了。,3389,端口说明：又称Terminal Service，服务终端，在XP中又叫“远程桌面”，使用简单、方便，不产生交互式登录，可在后台操作，从而受到黑客们的青睐。,关闭方法：“我的电脑”上点右键“属性”“远程”将“远程协助”和“远程桌面”两个复选框里的勾去掉即可。,关闭一些不常用端口,139,端口说明： 139端口是NetBIOS的会话端口，用来实现局域网中的文件和打印共享,关闭方法：在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。,关闭一些不常用端口,2 .设置本地IP安全策略,程序管理工具本地安全策略IP安全策略右击，新建IP安全规则,打开23端口,用IP安全策略屏蔽,3. 用防火墙屏蔽端口,什么是服务,在Windows 2000/XP/2003系统中，服务是指执行指定系统功能的程序、例程或进程，以便支持其他程序，尤其是低层(接近硬件)程序，服务应用程序通常可以在本地和通过网络为用户提供一些功能。,它是应用程序中的一种特殊类型，它在后台运行，即运行时看不到程序的工作窗口，但在进程列表中可以看到相关的进程。,案例：服务task scheduler支持任务计划。,服务管理控制台的应用,服务服务管理控制台的启动,我的电脑管理服务,在运行中输入（services.msc）回车,服务管理控制台的应用,“常规”选项卡,“服务名称”是指服务的“简称”，并且也是在注册表中显示的名称；,“显示名称”是指在服务配置界面中每项服务显示的名称；,“描述”是为该服务作的简单解释；“可执行文件的路径”即是该服务对应的可执行文件的具体位置；,服务管理控制台的应用,“启动类型”是整个服务配置的核心，对于任意一个服务，通常都有3种启动类型：,自动：对于必要的和常用的服务，用户可以设置为“自动”，将在Windows启动时自动装入。它将延长启动所需要的时间，有些服务是必须设置为自动的，如Remote Procedure Call(RPC)。由于依存关系或其他影响，其他的一些服务也必须设置为自动，这样的服务最好不要去更改它，否则系统无法正常运行。,手动：如果一个服务被设置为手动，那么可以在需要时再运行它。这样可以节省大量的系统资源，加快系统启动。,服务管理控制台的应用,已禁用：此类服务不能再运行。这个设置一般在提高系统安全性时使用。如果怀疑一个陌生的服务会给你的系统带来安全上的隐患，可以先尝试停止它，看看系统是否能正常运行，如果一切正常，那么就可以直接禁用它了。如果以后需要这个服务，在启动它之前，必须先将启动类型设置为自动或手动。,服务管理控制台的应用,“服务状态”是指服务的现在状态是启动还是停止，通常，我们可以利用下面的“启动”、“停止”、“暂停”、“恢复”按钮来改变服务的状态。,服务管理控制台的应用,“依存关系”选项卡,在这里我们可以看到，在顶端列表中指出运行选定服务所需的其他服务，底端列表指出了需要运行选定服务才能正确运行的服务。它说明了一些服务并不能单独运行，必须依靠其他服务。在停止或禁用一个服务之前，一定要看看这个服务的依存关系，如果有其他需要启动的服务是依靠这个服务，就不能将其停止。在停止或禁用一个服务前，清楚了解该服务的依存关系是必不可少的步骤。,与系统服务有关的两条命令,Net start：用于启动某个服务（带服务名参数）或显示已启动的服务列表（不带 参数）,Net stop ：用于停止某个当前已经启动的服务（带服务名参数）,注意：服务名如果由几个单词构成，中间有空格，则在命令中必须用双引号引起来，如 net stop “task scheduler”。,系统必须的一些服务,“必须”指的是如果这些服务其中任何一条被禁用，将会造成Windows提供的基本功能的丧失。,COM+ Event System,禁用此项会造成网络连接菜单无法进入。故必须保持“自动”,Computer Browser,禁用此项会造成无法被局域网中的计算机访问。故建议局域网中的计算机选择“自动”,系统必须的一些服务,Cryptographic Service,禁用此项会造成很多问题，比如Windows Update程序无法继续，驱动程序无法验证数字签名，故必须保持“自动”,DCOM Server Process Launcher,禁用此项会造成很多服务无法以手动方式在必要的时候启动，故必须保持“自动”,Event Log,无法终止的服务,Logical Disk Manager,禁用此项会造成移动硬盘等硬件无法被有效的识别。故建议保持“自动”,系统必须的一些服务,Network Connections （验证）,禁用此项会造成网络连接文件夹为空，即失去管理网络连接的能力，建议保持“自动” 。若停止，并启动类型为手动时，当双击本地连接时，它便自动打开了,Network Location Awareness,禁用此项会造成无法在局域网中共享文件，局域网用户建议保持“自动”,Plug and Play,即插即用关键服务，必须保持“自动”,系统必须的一些服务,Remote Procedure Call,RPC服务，相当多服务的基础，不可以禁用,Server,局域网文件/打印共享需要，局域网用户建议保持“自动”,System Event Notification,记录系统事件，系统出问题很多时候可以从系统事件中找到答案，建议有经验的用户保持“自动”,系统必须的一些服务,Web Client,一些网络应用，比如通过IE访问FTP需要，建议保持“自动”,Windows Audio,没有声卡的计算机可以禁用此项，反之则保持“自动”,Windows Management Instrumentation,系统资源管理服务，不可以禁用,Workstation,任何网络连接都需要，建议保持“自动”,威胁系统安全的服务,这并不是说这些服务是有害的，而是指这些服务直接或者间接的降低了系统的安全性。,ClipBook,可能造成信息的泄漏，故建议“禁用”。,Messenger （用send命令验证）,经常被利用来发送垃圾消息，故建议“禁用”。,威胁系统安全的服务,Telnet,可能造成黑客入侵，故建议“禁用”,Printer Spooler,有可能造成CPU占用持续100%，故建议“禁用”,Remote Registry,允许远程操作注册表会造成安全问题，故建议“禁用”,Remote Desktop Help Session Manager,远程协助有时候也会为入侵系统提供便利，故建议“禁用”。,服务的其它功能,关闭服务相应的端口（一般为网络服务）,关闭无法直接关闭的进程,案例应用程序将自身注册为系统服务以让程序随机启动,前面已经学过两种程序让自身随机启动的方法：,程序启动,注册表run,第三种方法：将自身注册为服务，形式更为隐蔽。,案例：以一个应用程序为例查看，如JAVA、360等。,案例,所有注册为服务的应用程序在,HKEY_LOCAL_MACHINE SYSTEM CURRENTCONTROLSET SERVICES中都可看到。重点关注三个属性：,Imagepath,Start,Type,案例将普通应用程序注册为系统服务,需要两个工具instsrv.exe srvany.exe 微软系统自带的工具包。,第一步，报户口：在命令提示符下输入 c:instsrv.exe 服务名 c:srvany.exe，在服务控制台中可以看到多了一个以服务名为名的服务（服务名自定义），并且在注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下可以找到以服务名为名的子项。,案例,第二步，设置服务的具体操作：在services下新建一个parameters子项，在该子项下新建一个字符串类型，名称为application的值项，值为要启动的应用程序的具体路径及名称。,第三步，设置服务属性并启动服务：到服务控制台设置服务的属性，或用命令来启动以上所设置的服务。可以看到，在任务管理器里多个两个进程srvany.exe和相应的应用程序名。,禁止病毒以系统服务方式启动,依次点击“开始”“运行”，键入“REGEDT32”。启动带权限分配功能的注册表编辑器。在注册表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices子键并选中，接着点击菜单栏中的“编辑”、“权限”，在弹出的Services权限设置窗口中点击“添加”按钮，将“Everyone“账号导入进来，然后选中Everyone账号，将该账号的“读取”权限设置为“允许”，将它的“完全控制”权限取消即可。,注意，如果病毒和木马获得了管理员权限，则本方法就无效了。,