操作系统安全之端口与服务.ppt

端口与服务,什么叫端口,计算机“端口”是计算机与外界通讯交流的出入口，分为两类： 硬件领域的端口（interface），又称接口，如：USB端口、串行端口、并行端口等； 软件领域的端口(port)，一般指网络中面向连接服务和无连接服务的通信协议端口，是IP协议与上层协议通信点，是一种抽象的软件结构。任何两个节点间要实现网络通信都必须打开相应的端口.,端口的分类,计算机端口的总数为65535个，系统自身常用端口只有几十个。按性质划分，所有端口分以下3大类: (1)公认端口(Well Known Ports)，也称为“常用端口”。端口号从0至1023，紧密绑定于一些特定的服务，通常这些端口的通讯明确表明了某种服务的协议。例如，HTTP协议使用80端口;Telnet服务使用23端口。黑客一般不会利用这类端口进行攻击。,端口的分类,(2)注册端口(Registered Ports):端口号从1024至49151，松散地绑定于某些服务，并且多数没有明确定义服务对象。这类端口的应用可根据用户的需要自定义，因此，这类端口比较容易被黑客利用。,端口的分类,(3)动态和/或私有端口(Dynamic and/or Private Ports):端口号从49152至65535，应用上更为自由，理论上常用服务不会分配在这些端口上。因为这些端口较隐蔽，又不会引起用户的重视。所以一些木马程序往往偏爱这些端口。,查看端口的命令,Windows系统自带了功能强大端口查看程序netstat。 语法： netstat-a -e -n -o -p Protocol -r -s Interval 参数： -a 显示所有活动的 TCP 连接以及计算机侦听的 TCP 和 UDP 端口。,查看端口的命令,-e 显示以太网统计信息，如发送和接的字节数、数据包数。 -n 显示活动的 TCP 连接，不过，只以数字形式表现地址和端口号，却不尝试确定名称。 -o 显示活动的 TCP 连接并包括每个连接的进程 ID (PID)。可以在 Windows 任务管理器中的“进程”选项卡上找到基于 PID 的应用程序。 -b 显示打开端口的进程名及相应的模块. -p Protocol 显示 Protocol 所指定的协议的连接。,查看端口的命令,-s 按协议显示统计信息。默认情况下，显示 TCP、UDP、ICMP 和 IP 协议的统计信息。 -r 显示 IP 路由表的内容。 Interval 每隔 Interval 秒重新显示一次选定的信息。按 Ctrl+C 停止重新显示统计信息。如果省略该参数，netstat 将只输出一次选定的信息。,查看端口的命令,注意事项： 与该命令一起使用的参数必须以连字符 (-) 而不是以斜杠 (/) 作为前缀 如果端口尚未建立，端口以星号 (*) 显示。,用冰刃查看端口,比较与用netstat 的不同,关闭一些不常用端口,1 .每一个端口都对应着一定的服务，关掉服务，相应的端口也就关闭了。如，关掉WWW服务，80端口就关闭了；关掉telnet服务，23端口也就关闭了；关掉FTP服务，21端口就关闭了。 3389 端口说明：又称Terminal Service，服务终端，在XP中又叫“远程桌面”，使用简单、方便，不产生交互式登录，可在后台操作，从而受到黑客们的青睐。 关闭方法：“我的电脑”上点右键“属性”“远程”将“远程协助”和“远程桌面”两个复选框里的勾去掉即可。,关闭一些不常用端口,139 端口说明： 139端口是NetBIOS的会话端口，用来实现局域网中的文件和打印共享 关闭方法：在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。,关闭一些不常用端口,2 .设置本地IP安全策略 程序管理工具本地安全策略IP安全策略右击，新建IP安全规则 打开23端口,用IP安全策略屏蔽 3. 用防火墙屏蔽端口,什么是服务,在Windows 2000/XP/2003系统中，服务是指执行指定系统功能的程序、例程或进程，以便支持其他程序，尤其是低层(接近硬件)程序，服务应用程序通常可以在本地和通过网络为用户提供一些功能。 它是应用程序中的一种特殊类型，它在后台运行，即运行时看不到程序的工作窗口，但在进程列表中可以看到相关的进程。 案例：服务task scheduler支持任务计划。,服务管理控制台的应用,服务服务管理控制台的启动 我的电脑管理服务 在运行中输入（services.msc）回车,服务管理控制台的应用,“常规”选项卡 “服务名称”是指服务的“简称”，并且也是在注册表中显示的名称； “显示名称”是指在服务配置界面中每项服务显示的名称； “描述”是为该服务作的简单解释；“可执行文件的路径”即是该服务对应的可执行文件的具体位置；,服务管理控制台的应用,“启动类型”是整个服务配置的核心，对于任意一个服务，通常都有3种启动类型： 自动：对于必要的和常用的服务，用户可以设置为“自动”，将在Windows启动时自动装入。它将延长启动所需要的时间，有些服务是必须设置为自动的，如Remote Procedure Call(RPC)。由于依存关系或其他影响，其他的一些服务也必须设置为自动，这样的服务最好不要去更改它，否则系统无法正常运行。 手动：如果一个服务被设置为手动，那么可以在需要时再运行它。这样可以节省大量的系统资源，加快系统启动。,服务管理控制台的应用,已禁用：此类服务不能再运行。这个设置一般在提高系统安全性时使用。如果怀疑一个陌生的服务会给你的系统带来安全上的隐患，可以先尝试停止它，看看系统是否能正常运行，如果一切正常，那么就可以直接禁用它了。如果以后需要这个服务，在启动它之前，必须先将启动类型设置为自动或手动。,服务管理控制台的应用,“服务状态”是指服务的现在状态是启动还是停止，通常，我们可以利用下面的“启动”、“停止”、“暂停”、“恢复”按钮来改变服务的状态。,服务管理控制台的应用,“依存关系”选项卡 在这里我们可以看到，在顶端列表中指出运行选定服务所需的其他服务，底端列表指出了需要运行选定服务才能正确运行的服务。它说明了一些服务并不能单独运行，必须依靠其他服务。在停止或禁用一个服务之前，一定要看看这个服务的依存关系，如果有其他需要启动的服务是依靠这个服务，就不能将其停止。在停止或禁用一个服务前，清楚了解该服务的依存关系是必不可少的步骤。,与系统服务有关的两条命令,Net start：用于启动某个服务（带服务名参数）或显示已启动的服务列表（不带 参数） Net stop ：用于停止某个当前已经启动的服务（带服务名参数） 注意：服务名如果由几个单词构成，中间有空格，则在命令中必须用双引号引起来，如 net stop “task scheduler”。,系统必须的一些服务,“必须”指的是如果这些服务其中任何一条被禁用，将会造成Windows提供的基本功能的丧失。 COM+ Event System 禁用此项会造成网络连接菜单无法进入。故必须保持“自动” Computer Browser 禁用此项会造成无法被局域网中的计算机访问。故建议局域网中的计算机选择“自动”,系统必须的一些服务,Cryptographic Service 禁用此项会造成很多问题，比如Windows Update程序无法继续，驱动程序无法验证数字签名，故必须保持“自动” DCOM Server Process Launcher 禁用此项会造成很多服务无法以手动方式在必要的时候启动，故必须保持“自动” Event Log 无法终止的服务 Logical Disk Manager 禁用此项会造成移动硬盘等硬件无法被有效的识别。故建议保持“自动”,系统必须的一些服务,Network Connections （验证） 禁用此项会造成网络连接文件夹为空，即失去管理网络连接的能力，建议保持“自动” 。若停止，并启动类型为手动时，当双击本地连接时，它便自动打开了 Network Location Awareness 禁用此项会造成无法在局域网中共享文件，局域网用户建议保持“自动” Plug and Play 即插即用关键服务，必须保持“自动”,系统必须的一些服务,Remote Procedure Call RPC服务，相当多服务的基础，不可以禁用 Server 局域网文件/打印共享需要，局域网用户建议保持“自动” System Event Notification 记录系统事件，系统出问题很多时候可以从系统事件中找到答案，建议有经验的用户保持“自动”,系统必须的一些服务,Web Client 一些网络应用，比如通过IE访问FTP需要，建议保持“自动” Windows Audio 没有声卡的计算机可以禁用此项，反之则保持“自动” Windows Management Instrumentation 系统资源管理服务，不可以禁用 Workstation 任何网络连接都需要，建议保持“自动”,威胁系统安全的服务,这并不是说这些服务是有害的，而是指这些服务直接或者间接的降低了系统的安全性。 ClipBook 可能造成信息的泄漏，故建议“禁用”。 Messenger （用send命令验证） 经常被利用来发送垃圾消息，故建议“禁用”。,威胁系统安全的服务,Telnet 可能造成黑客入侵，故建议“禁用” Printer Spooler 有可能造成CPU占用持续100%，故建议“禁用” Remote Registry 允许远程操作注册表会造成安全问题，故建议“禁用” Remote Desktop Help Session Manager 远程协助有时候也会为入侵系统提供便利，故建议“禁用”。,服务的其它功能,关闭服务相应的端口（一般为网络服务） 关闭无法直接关闭的进程,案例应用程序将自身注册为系统服务以让程序随机启动,前面已经学过两种程序让自身随机启动的方法： 程序启动 注册表run 第三种方法：将自身注册为服务，形式更为隐蔽。 案例：以一个应用程序为例查看，如JAVA、360等。,案例,所有注册为服务的应用程序在 HKEY_LOCAL_MACHINE SYSTEM CURRENTCONTROLSET SERVICES中都可看到。重点关注三个属性： Imagepath Start Type,案例 将普通应用程序注册为系统服务,需要两个工具instsrv.exe srvany.exe 微软系统自带的工具包。 第一步，报户口：在命令提示符下输入 c:instsrv.exe 服务名 c:srvany.exe，在服务控制台中可以看到多了一个以服务名为名的服务（服务名自定义），并且在注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下可以找到以服务名为名的子项。,案例,第二步，设置服务的具体操作：在services下新建一个parameters子项，在该子项下新建一个字符串类型，名称为application的值项，值为要启动的应用程序的具体路径及名称。 第三步，设置服务属性并启动服务：到服务控制台设置服务的属性，或用命令来启动以上所设置的服务。可以看到，在任务管理器里多个两个进程srvany.exe和相应的应用程序名。,禁止病毒以系统服务方式启动,依次点击“开始”“运行”，键入“REGEDT32”。启动带权限分配功能的注册表编辑器。在注册表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices“子键并选中，接着点击菜单栏中的“编辑”、“权限”，在弹出的Services权限设置窗口中点击“添加”按钮，将“Everyone“账号导入进来，然后选中“Everyone“账号，将该账号的“读取”权限设置为“允许”，将它的“完全控制”权限取消即可。 注意，如果病毒和木马获得了管理员权限，则本方法就无效了。,