史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 系統 & 硬體安裝及故障判斷技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-02-24, 02:37 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 NetBIOS 連接阜開放問題

NetBIOS 連接阜開放問題

天網安全在線推出全國首個在線安全檢測系統--"天網醫生",它可以初步檢測電腦存在的一些安全隱患,並且根據檢測結果判斷你系統的等級,啟始你進一步解決你系統中可能存在的安全隱患。不過有時,如果你安裝並開啟了有效的防火牆或進行了有效安全性設定,天網會通常會出現一些令普通用戶難以理解的結果,如下:
135連接阜開放!(NT,2000)
或 139連接阜開放!

關於天網連接阜掃瞄檢測的說明:
在您電腦上,如果出現了一些標準的、容易受攻擊的網路服務連接阜,連接阜掃瞄器會嘗試建立標準的TCP/IP(網路)連接。當連接阜掃瞄器完成掃瞄後,那些連接阜是敞開著的,和從連接阜掃瞄器傳送了什麼連接請求都將一目瞭然。
檢測系統在幾個知名的服務連接阜進行,每個連接阜的掃瞄結果會分為開放、關閉和隱藏三種狀態。主要是為了提醒連網的用戶,在網際網路上會有各種各樣的連接阜掃瞄器在掃瞄接入網際網路的各種系統的網路連接阜,以尋找系統的安全漏洞。

1、 如何理解並關閉135連接阜

135連接阜開放實際上是一個WINNT漏洞,開放的135的連接阜情況容易引起自外部的"Snork"攻擊!!!

對於135連接阜開放的問題,可以在你的防火牆上,增加一條規則:拒絕所有的這類進入的UDP包,目的連接阜是135,源連接阜是7,19,或者135,這樣可以保護內部的系統,防止來自外部的攻擊。大多數防火牆或者包過濾器已經設定了很多嚴格的規則,已覆蓋了這條過濾規則,但任需注意:有一些NT的應用程式,它們依靠UDP135連接阜進行合法的通訊,而開啟你135的連接阜與NT的RPC服務進行通訊。如果真是這樣,你一定要在那些原始位址的系統上(需要135口通訊),實施上述的規則,指定來自這些系統的通訊可以通過防火牆,或者,可以被攻擊檢測系統所忽略,以便維持那些應用程式的正常連接。

!!!為了保護你的訊息安全,強烈建議你安裝微軟的最新NT修正檔包。!!!

2、如何理解並關閉139連接阜(NetBIOS提供服務的tcp連接阜)

Netbios(NETwork Basic Input/Output System)網路基本輸入輸出系統。是1983年IBM開發的一套網路標準,微軟在這基礎上繼續開發。微軟的客戶端機伺服器網路系統都是關於NetBIOS的。在利用Windows NT4.0 構建的網路系統中,對每一台主機的唯一標幟訊息是它的NetBIOS名。系統可以利用WINS服務、廣播及Lmhost文件等多種模式將NetBIOS名解析為相應IP位址,從而實現訊息通訊。在這樣的網路系統內部,利用NetBIOS名實現訊息通訊是非常方便、快捷的。但是在Internet上,它就和一個後門程序差不多了。因此,我們很有必要堵上這個可怕的漏洞。

對於win9x :

在windows9x下如果你是個撥號用戶。完全不需要登入到nt區域網路絡環境的話。只需要在控制台-網路-移除microsoft網路用戶,使用microsoft友好登入就可以了。但是如果你需要登入到nt網路的話。那這一項就不能去處。因為nt網裡需要使用netbios。

方法1:
1.檢查NetBEUI是否出現在組態欄中。開啟控制面版,雙按「網路」選項,開啟「網路」對話視窗。在「組態」標籤頁中檢查己安裝的網路元件中是否有NetBEUI。如果沒有,點擊列表下邊的增加按鈕,選「網路傳輸協定」對話視窗,在製造商列表中選項微軟,在網路傳輸協定列表中選項NetBEUI。點擊確定,根據提示插入安裝碟,安裝NetBEUI。

2.回到「網路」對話視窗,選「撥號網路橋接器」,點擊列表右下方「內容」按鈕。在開啟的「內容」對話視窗中選項「綁定」標籤頁,將除「TCP/IP->網路橋接器」之外的其它項目前複選項中的對勾都取消!

3.回到「網路」對話視窗,選「TCP/IP->撥號網路橋接器」點擊列表右下方「內容」按鈕,不要怕彈出的警告對話視窗,點擊「確定」。在「TCP/IP內容」對話視窗中選項「綁定」標籤頁,將列表中所有項目前複選項中的對勾都取消!點擊「確定」,這時Windows會警告你「尚未選項綁定的驅動器。現在是否選項驅動器?」點擊「否」。之後,系統會提示重新啟動電腦,驗證。

4.證實己取消綁定。重新進入「TCP/IP->撥號網路橋接器」的「TCP/IP內容」對話視窗,選定「NetBIOS」標籤頁,看到「通過TCP/IP啟用NetBIOS」項被清除了吧!連點兩次「取消」結束「網路」對話視窗(不要點「驗證」,免得出現什麼意外)。

方法2:
執行RegEdit.exe 搜尋串「vnetbios」,找到後再選項「搜尋下一個」,將找到象「blahblah\\VxD\\VNETBIOS\\」的串,移除「VNETBIOS」項即可。 操作一定要謹慎,誤操作可能導致系統崩潰,另關掉139連接阜後將無法共享文件和列印功能。


對於winNT :

在windowsNT下你可以取消netbios與TCP/IP傳輸協定的綁定。控制台-網路-Netbios接頭-WINS客戶(tcp/ip)-禁用。確定。重啟。這樣nt的電腦名稱和工作組名也隱藏了,不過會造成關於netbios的一些指令無法使用。如net等。


對於WIN2000 :

選網路鄰居——》右鍵——》本機連接——》INTERNET傳輸協定(TCP/IP)——》內容——》進階——》選項——》TCP/IP篩選——》在「只允許」中填入除了137,138,139只外的連接阜。如果你在區域網路中,會影響區域網路的使用

當然還有最方便的方法:
選項一條天網的空規則,資料包方向選接收;對方IP位址選任何;傳輸協定TCP;本機連接阜139到139;對方連接阜0到0;標誌位在SYN標誌上打勾;動作攔截。
然後把這條規則勾上讓它生效,儲存即可。


最後談談這個後門的連接阜,137,138是udp連接阜。當通過網路鄰居傳輸文件的時候就是通過這個2個連接阜.139連接阜是netbios提供服務的tcp連接阜。在windows9x下可以完全關閉這幾個連接阜。完全禁止了netbios服務。方式是在控制台-網路-只保留tcp/ip傳輸協定和撥號網路橋接器。但是這樣windows會提示你網路不完整。但是還可以繼續使用。在tcp/ip傳輸協定裡的netbios一項不要選項綁定到tcp/ip傳輸協定。這時候你的netbios服務完全停止了。你的機器也沒有137,138和139連接阜了。這樣追捕也搞不清你到底是9x還是unix了。windowsNT下可以封鎖這些連接阜。封鎖不必要的TCP和UDP連接阜可以通過在網路控制台的IP位址對話視窗中進行組態來完成。 點擊進階按鈕啟動進階IP位址對話視窗, 然後點擊Enable Secury 對話視窗,然後點擊組態按鈕啟動TCP/IP安全對話視窗, 那裡列出了那些TCP和UDP連接阜被允許了。但是好像不能識別撥號網路橋接器。

以上的方法都是給不需要連接入區域網路的電腦的組態方法。如果你是一台撥號上網的單機那麼完全可以禁止netbios服務。但是如果你需要接入區域網路的話。那你只能注意加密你的共享資源了。否則全網際網路的人都可以通過這個windows的「後門」到你的電腦裡了:)

微軟03年3月27日宣佈Windows NT 4.0/2000/XP存在新的安全漏洞。如果有人向TCP/UDP的135連接阜傳送做了手腳的資料,RPC服務及依賴於RPC服務的服務就有可能關閉。對策是安裝修正檔程序,或者利用防火牆等工具關閉135連接阜。此次公佈的安全漏洞的嚴重等級為正數第二級的「重要」級。不過,即使惡意使用該安全漏洞,也不會執行任意程式碼。

  此次的安全漏洞是在Windows NT 4.0/2000/XP預設設定條件下執行的「RPC Endpoint Mapper」中發現的。RPC Endpoint Mapper是指為RPC客戶端的特定RPC服務分配特定連接阜的服務。RPC Endpoint Mapper在135連接阜受理客戶端請求。

  Windows NT 4.0的RPC Endpoint Mapper以前也發現過同樣的漏洞。儘管當時公佈了修正檔程序,而對於此次的安全漏洞則沒有公佈Windows NT 4.0所需的修正檔程序。據日本微軟提供的訊息稱「由於Windows NT 4.0架構上的限制,無法提供修正檔程序」。

  因此,對Windows NT 4.0只能利用防火牆等工具關閉135連接阜,以避免來自外部的攻擊。當然,關閉135連接阜是網路安全的常識。不僅此次的安全漏洞,對於其它漏洞而言也應關閉該連接阜。

  Windows 2000/XP的修正檔程序已經公佈。可以由微軟安全訊息的頁面上下載,或者由Windows Update安裝。





揭開Windows秘密 潛伏在預設設定中的陷阱

在預設設定條件下直接執行Windows,很多連接阜就會處於開放狀態。由於多種服務會自動起動,因此不需進行複雜的設定就能夠使用各種服務。但如果置之不理,就可能成為攻擊者的攻擊對象。安全對策的基礎是嚴格區分必要和不需要的服務,然後關閉不需要的服務。為此就必須瞭解Windows在預設設定中處於開放狀態的具有代表性的連接阜的作用及其危險性,並進行適當的設定。
通過英特網,伺服器硬碟中的內容全部都可以看見。而且還能夠非常輕鬆地篡改和移除其中的資料。也許讀者會想:哪裡有有設定如此笨拙的伺服器?!很多人覺得只要不進行極端的設定、故意對外公開硬碟中的內容,就不會出現這種情況。但實際上,在Windows中,即便管理員並非明確地起動某種服務、或者開放某個連接阜,也有可能發生這種情況。
netusem:\xxx.xxx.xxx.xxxc$
●如果使用net指令,就能夠分配到共享資源。「C$」是C碟的共享名
在預設設定下,Windows會開放提供文件共享服務的TCP的139號連接阜。因此,在預設條件下起動文件共享服務後,系統就進入等待狀態。由此,機器就會始終處於被攻擊者訪問共享資源的危險境地。而共享資源則可以利用net指令輕鬆地進行分配。儘管C碟如果沒有管理員權限就無法共享,但如果不經意地將Guest帳號設定為有效以後,就能夠訪問C碟,這樣一來就非常輕鬆地破壞硬碟。而且,今後也有可能發現其它利用文件共享服務發動攻擊的嚴重安全漏洞。
安全對策的基本原則是關閉不需要的服務。如果不起動服務,即便外部發來連接請求,機器也不會作出回應。要做到這一步,電腦管理員就必須充分瞭解哪些服務是必須的,以及目前實際上起動了哪些服務。
  但是,在Windows中,在預設條件下會起動很多服務,而且很多時候各服務的作用也不容易搞清楚。而很多管理員不僅認識不到連接阜開放的危險性,而且在不瞭解服務的作用和必要性的情況下就會直接連接英特網.
應該注意的5個連接阜
  那麼,實際上在Windows預設條件下所開放的連接阜有哪些呢?在安裝了Windows系統後,對在預設條件下開放的連接阜進行了一次調查。調查中使用了免費連接阜掃瞄工具「Nmap」(http://www.insecure.org/nmap/)。
在幾乎所有的Windows中所開放的連接阜包括135、137、138和139。此外,在2000、XP和.NETServer中445連接阜也是開放的。Windows在預設條件下開放的眾所周知的連接阜就是這5個
這些到底是不是真正必要的服務呢?要想下結論,就必須充分瞭解這些連接阜各自的作用。雖說在預設條件下是開放的,但如果保持這種預設設定不變,就會在無意識的情況下受到非法訪問。因此,應該盡可能關閉不需要的服務。無論如何也不能停止的服務必須使用過濾軟體,確保能夠防止外部訪問.
下面對幾乎所有的Windows在預設條件下開放的最具代表性的5個連接阜即135、137、138、139和445等各自的作用作一詳細介紹。瞭解它們的作用後,就能夠推測出開放連接阜後可能存在哪些危險,從而就可以方便地制定相應的對策。
  利用工具驗證到的135連接阜的危險性
  雖說大家都說非常危險,但即難以瞭解其用途,又無法實際感受到其危險性的代表性連接阜就是135號。但是2002年7月能夠讓人認識到其危險性的工具亮相了,這就是「IE『en」。
  該工具是由提供安全相關技術訊息和工具類軟體的「SecurityFriday.com」公司( http://www.securityfriday.com )在網上公開提供的。其目的是以簡單明瞭的形式驗證135連接阜的危險性,呼籲用戶加強安全性設定。不過,由於該工具的威力非常大,因此日本趨勢科技已經將該工具的特徵程式碼追加到了病毒定義庫文件中。如果在安裝了該公司的病毒掃瞄軟體的電腦中安裝IE『en,就有可能將其視為病毒。
  可以看到SSL的內容
  IE『en是一種遠端操作IE瀏覽器的工具。不僅可以從連線到網路上的其他電腦上正在執行的IE瀏覽器中取得訊息,而且還可以對瀏覽器本身進行操作。具體而言,就是可以得到正在執行的IE瀏覽器的視窗一覽表、各視窗所顯示的Web站點的URL及Cookie,以及在檢索站點中輸入的檢索關鍵詞等訊息。
  該工具所展示的最恐怖的情況是,在非加密狀態下可以看到本應受到SSL保護的資料。所以可以由此獲取加密前或者還原後的資料。如果使用IE『en,甚至能夠直接看到比如在網路銀行等輸入的銀行現金卡密碼等訊息。
  IE『en使用的是WindowsNT4.0/2000/XP標準整合的分佈式對像技術DCOM(分佈式元件對像模組)。使用DCOM可以遠端操作其他電腦中的DCOM應用程式。該技術使用的是用於使用其他電腦所具有的函數的RPC(RemoteProcedureCall,遠端程序使用)功能。而這個RPC使用的就是135連接阜。
利用RPC功能進行通信時,就會向對方電腦的135連接阜詢問可以使用哪個連接阜進行通信。這樣,對方的電腦就會告知可以使用的連接阜號。實際的通信將使用這個連接阜來進行。135連接阜起的是動態地決定實際的RPC通信所使用的連接阜的連接阜映射作用。
  如果是利用DCOM技術開發的應用程式,都可以像IE瀏覽器那樣進行操作。比如,連接正在利用Excel工作的其他電腦,獲取單元格中輸入的值,或者對這個值本身進行編輯並非不可能的事情。
  不過,要想利用該方法操縱他人的電腦,就必須知道該機的IP位址和註冊名以及密碼。因此,通過英特網而受到第三者的攻擊的可能性非常低。而危險性最高的是公司內部環境。尤其是客戶端更為危險。這是因為在大多情況下不僅可以輕而易舉地得到他人的IP位址和註冊名,而且密碼的管理也不是很嚴格。學校以及網咖等多台電腦採用相同設定的場合也需加以注意。
  在公司內部環境中務必將DCOM設定為無效迴避這種危險的最好辦法是關閉RPC服務。在「控制台」的「系統管理工具」中選項「服務」,在「服務」視窗中開啟「RemoteProcedureCall」內容。在內容視窗中將啟動檔案類型設定為「已禁用」,自下次起動開始RPC就將不再啟動(要想將其設定為有效,在註冊表編輯器中將「HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs」的「Start」的值由0x04變成0x02後,重新起動機器即可)。不過,進行這種設定後,將會給Windows的執行帶來很大的影響。比如WindowsXPProfessional,從登入到顯示桌面畫面,就要等待相當長的時間。這是因為Windows的很多服務都依賴於RPC,而這些服務在將RPC設定為無效後將無法正常起動。由於這樣做弊端非常大,因此一般來說,不能關閉RPC服務。
  那麼接下來要考慮的對策是訊息包過濾。但是這同樣也會給Windows的執行帶來各種影響。比如,如果在客戶端關閉135連接阜,就無法使用Outlook連接ExchangeServer。因為管理分佈式處理的MSDTC、負責應用程式之間的訊息交換的MSMQ以及動態地向連接網路的電腦分配位址的DHCP等服務也都使用這個連接阜。
  精通Windows網路的高橋基信表示:「在Windows服務中,有很多服務需要使用RPC。另外,Windows網路並不是設想在客戶端與伺服器之間存在防火牆的狀態而組建的。因此公司內部網路環境中使用過濾功能時,應該在充分驗證後加以實施」。也就是說,在公司內部環境中不僅是客戶端,即便是伺服器也無法關閉135連接阜。伺服器方面,為了使活動目錄和主域實現同步,就要使用135連接阜。
但是卻有辦法只將DCOM設定為無效。這就是利用WindowsNT/2000/XP標準整合的「dcomcnfg.exe」工具。從DOS指令中執行該工具以後,開啟分佈式COM組態內容視窗,選項「預設內容」頁標,取消「在這台電腦上啟用分佈式COM」選項即可(圖3)。在公司內部不使用DCOM,並且不想讓其他電腦操作自己電腦COM的時候,就應該採用這種設定。
  如果是客戶端,也有辦法禁止遠端登入電腦。依次選項「控制台」、「系統管理工具」和「本機安全原則」,開啟本機安全性設定視窗,選項本機原則中的使用者權利指派,然後利用該項下的「拒絕從網路訪問這台電腦」,指定拒絕訪問的對象。如果想拒絕所有的訪問,最好指定為「Everyone」。
  公開伺服器應該關閉135連接阜
  公開於英特網上的伺服器基本上不使用RPC。如前所述,儘管危險性比公司內部環境低,但只要不執行使用DCOM的特定應用程式(只要不是必須的服務),就應該關閉135連接阜。比如只是作為Web伺服器、郵件或DNS伺服器來使用的話,即便關閉135連接阜,也不會出現任何問題。
  不過需要通過英特網來使用DCOM應用程式時,就不能關閉該連接阜。但需要採取嚴格管理密碼的措施。
「話匣子」連接阜137和138
具體而言,就是說通過137連接阜除了該機的電腦名稱和註冊用戶名以外,還可以得到該機是否為主域控制器和主瀏覽器、是否作為文件伺服器使用、IIS和Samba是否正在執行以及LotusNotes是否正在執行等訊息。據SecurityFriday.com公司的MichiharuArimoto介紹:「除了電腦名稱以外,還可以準確地瞭解IIS、主域控制器、主域瀏覽器以及文件伺服器等相關資訊。雖說不是百分之百,但有時還能夠得到其他訊息」。
也就是說,只要您想獲得這些訊息,只需向這台個人電腦的137連接阜傳送一個請求即可。只要知道IP位址,就可以輕鬆做到這一點。不只是公司內部網路,還可以通過英特網得到這樣的訊息。
  對於攻擊者來說,這簡直太方便了,可以很容易地瞭解目標電腦的作用及網路的結構。隨意地洩漏這樣的訊息,就好像是很友好地告訴攻擊者應該如何來攻擊自己的電腦。比如,如果知道IIS服務正在執行,就可以輕鬆地瞭解這台電腦上已經起動的服務。攻擊者根本不必特意地通過連接阜掃瞄來尋找可以下手入侵的連接阜。
  另外,如果捕捉到正在利用137連接阜進行通信的訊息包,還有可能得到目標主機的起動和關閉時間。這是因為Windows起動或關閉時會由137連接阜傳送特定的訊息包。如果掌握了目標主機的起動時間,就可以非常輕鬆地使用上一次所講的IE『en等軟體通過135連接阜操作對方的DCOM。
使用137連接阜,管理電腦名稱
  137連接阜為什麼會把這種訊息包洩漏到網路上呢?這是因為,在Windows網路通信傳輸協定--「NetBIOSoverTCP/IP(NBT)」的電腦名稱管理功能中使用的是137連接阜。
  電腦名稱管理是指Windows網路中的電腦通過用於相互識別的名字--NetBIOS名,獲取實際的IP位址的功能。可以用兩種方法使用137連接阜。
  一種方法是,位於同一組中的電腦之間利用廣播功能進行電腦名稱管理。電腦在起動時或者連接網路時,會向位於同組中的所有電腦詢問有沒有正在使用與自己相同的NetBIOS名的電腦。每台收到詢問的電腦如果使用了與自己相同的NetBIOS名,就會傳送通知訊息包。這些通信是利用137連接阜進行的。
另一種方法是利用WINS(Windows英特網名稱服務)管理電腦名稱。被稱為WINS伺服器的電腦有一個IP位址和NetBIOS名的對照表。WINS客戶端在系統起動時或連接網路時會將自己的NetBIOS名與IP位址傳送給WINS伺服器。與其他電腦通信時,會向WINS伺服器傳送NetBIOS名,詢問IP位址。這種方法也使用137連接阜。
  如上所述,為了得到通信對象的IP位址,137連接阜就要交換很多訊息包。在這些訊息包中,包括有如表3所顯示的很多訊息。利用廣播管理電腦名稱時,會向所有電腦傳送這些訊息。如果使用NBT,就會在用戶沒有查覺的情況下,由電腦本身就會向外部散佈自己的詳細資料。
138連接阜用於瀏覽
  而138連接阜也和137連接阜一樣會向外部傳送自己的訊息。儘管訊息量沒有137連接阜那麼多,但其特點是會被別人得到Windows的版本訊息。比如,會洩漏Windows版本是Windows2000Server。
  138連接阜提供NetBIOS的瀏覽功能。該功能用於顯示連接於網路中的電腦一覽表。比如,在Windows2000中由「網路鄰居」中選項「整個網路」後,就會完整地顯示連接於網路中的電腦。
  該功能使用的是與上面所講的電腦名稱管理不同的執行機制。在瀏覽功能中,被稱為主瀏覽器的電腦管理著連接於網路中的電腦一覽表的瀏覽列表。每台電腦在起動時或連接網路時利用138連接阜廣播自己的NetBIOS名。收到NetBIOS名的主瀏覽器會將這台電腦追加到瀏覽列表中。需要顯示一覽表時,就廣播一覽表顯示請求。收到請求的主遊覽器會傳送瀏覽列表。關閉電腦時,機器會通知主瀏覽器,以便讓主瀏覽器將自己的NetBIOS名從列表中移除掉。這些訊息的交換使用的是138連接阜。由於這裡也會進行廣播,因此就會將自己的電腦訊息傳送給同組中的所有電腦。
  公開伺服器應關閉NetBIOS
  NetBIOS服務使用了137和138連接阜的向外部傳送自己訊息的功能。一般情況下,這是一種在連接在英特網上的公開伺服器不需要的服務。因為NetBIOS主要用於Windows網路中。因此,公開伺服器應該停止這種服務。
  而對於在公司內部網路環境中構築Windows網路的電腦來說,NetBIOS則是必要的服務。如要停止NetBIOS,反過來就必須放棄Windows網路的方便性。
不過,如果是Windows2000以上的版本,不使用NetBIOS也能夠管理電腦名稱(詳情後述)。因此如果是全部由Windows2000以上的個人電腦構築而成的網路,就可以停止NBT。雖說如此,此時方便性就會降低,比如,無法顯示用於尋找文件共享對象的訊息。
  要想停止NetBIOS服務,首先由控制台中選項目前正在使用的網路連接,在內容視窗中檢視「Internet傳輸協定(TCP/IP)」的內容。在「一般」頁標中按下「進階」按鈕,在「WINS」頁標中選項「禁用TCP/IP上的NetBIOS(S)」即可。這樣,就可以關閉137、138以及後面將要講到的139連接阜。
  在此需要注意一點。NetBEUI傳輸協定如果為有效,NetBIOS服務將會繼續起作用。在Windows95中,NetBIOS是在預設條件下安裝的。在更高的Windows版本中,如果選項也可以安裝。所以不僅要停止NBT,還應該驗證NetBEUI是否在起作用。如果使用NetBEUI,即便關閉137連接阜,也仍有可能向外部洩漏表3所顯示的訊息
139和445連接阜是危險的代名詞
  連接於微軟網路上的電腦之間使用137和138連接阜取得IP位址。然後進行文件共享和列印機共享等實際通信。通信程序是通過SMB(伺服器訊息塊)傳輸協定實現的。這裡使用的是139和445連接阜。
Windows2000以前版本的Windows使用NetBIOS傳輸協定解決各電腦名稱的問題。通過向WINS伺服器傳送通信對象的NetBIOS名,取得IP位址。而Windows以後的版本所採用的CIFS則利用DNS解決電腦的命名問題。根據DNS伺服器中的名字列表訊息,尋找需要通信的對象。如果順利地得到對象的IP位址,就可以訪問共享資源
在SMB通信中,首先使用上述的電腦名稱解釋功能,取得通信對象的IP位址,然後向通信對像發出開始通信的請求。如果對方充許進行通信,就會確立會話層(Session)。並使用它向對方傳送用戶名和密碼訊息,進行認證。如果認證成功,就可以訪問對方的共享文件。在這些一連串的通信中使用的就是139連接阜。
  Windows2000和XP除此之外還使用445連接阜。文件共享功能本身與139連接阜相同,但該連接阜使用的是與SMB不同的傳輸協定。這就是在Windows2000中最新使用的CIFS(通用英特網文件系統)傳輸協定。
CIFS和SMB解決電腦名稱的方法不同。SMB使用NetBIOS名的廣播和WINS解決電腦名稱,而CIFS則使用DNS
因此,在文件伺服器和列印伺服器使用Windows的公司內部網路環境中,就無法關閉139和445連接阜。很多情況下,文件共享和列印機共享在普通的業務中是不可缺少的功能。而客戶端如果自身不公開文件,就可以關閉這兩個連接阜。
  假如是僅2000版本以後的Windows構成的網路,就可以關閉139連接阜。這是因為如前所述,該網路只用445連接阜就能夠進行文件共享。由於在解決電腦名稱程序中使用DNS,所以也可以關閉137和138連接阜。不過,在目前情況下,基本上所有的網路系統都還在混合使用2000以前的Windows版本。在混合網路環境中由於必須使用139連接阜通過SMB傳輸協定進行通信,因此就無法關閉139連接阜。另外,瀏覽時還需要137∼139連接阜。
  公開伺服器絕對應該關閉這些連接阜
在英特網上公開的伺服器要另當別論。公開伺服器開啟139和445連接阜是一件非常危險的事情。就像本文開頭所說的那樣,如果有Guest帳號,而且沒有設定任何密碼時,就能夠被人通過英特網輕鬆地盜看文件。如果給該帳號設定了寫入權限,甚至可以輕鬆地篡改文件。也就是說在對外部公開的伺服器中不應該開啟這些連接阜。通過英特網使用文件伺服器就等同自殺行為,因此一定要關閉139和445連接阜。對於利用ADSL永久性接入英特網的客戶端機器可以說也是如此
要關閉139連接阜,與137和138連接阜一樣,可以選項「將NetBIOSoverTCP/IP設定為無效」。而要想關閉445連接阜則必須進行其他工作。利用註冊表編輯器在「HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters」中追加名為「SMBDeviceEnabled」的DWORD值,並將其設定為0,然後重新起動機器。
  .NET中安全原則改變了嗎?
  就像在此之前所講的那樣,直接在預設設定條件下使用現有的Windows將會出現各種各樣的危險。這是因為Windows是為了讓初學者不需進行複雜設定就可以使用而開發的。
  比如Windows2000Server,在安裝該系統時,會自動安裝IIS。而且只需起動個人電腦,IIS服務就會啟動。雖然WindowsNT4.0Server可以選項是否安裝IIS,但在預設條件下該服務的複選框是有效的。與2000一樣,在起動電腦時,IIS服務也會自動起動。
  而Linux則在很多方面都採取的是完全不同的思法。比如,RedHatLinux7.3在安裝程序中必須讓用戶設定防火牆。由於防火牆有「高」、「中」、「低」三種等級,因此所攔截的訊息包也各不相同。如果選項「高」將關閉53(DNS)、67和68(DHCP)以外的全部連接阜,如果選項「中」,儘管會開啟1024以上的連接阜,但在一般人熟知的連接阜中開啟的只有53、67和68三個。
  安裝應用程式時的作法也不同。RedHatLinux7.3在安裝時可選項「工作站」、「伺服器」和「桌面」三種檔案類型。因此即使選項「伺服器」,如果用戶不選項構築相容Windows的文件伺服器「Samba」和Web伺服器「Apache」等,就不會進行安裝。另外,即便安裝以後,也不會直接起動。如果用戶明確地啟動必要的服務後,沒有設定利用過濾軟體過濾訊息包,相應連接阜就不會開啟。
  如果只考慮方便性,Windows要更好一些。這是因為即便不進行複雜的設定,系統也能夠自動起動各種服務。但這樣一來,就甚至極有可能起動用戶不希望起動的服務,而且這些服務往往還是在用戶不知曉的情況下起動的。可以這樣說,如果希望安全地執行伺服器,或者希望保護自己的客戶端個人電腦免受危險,那麼最好不要隨便安裝和設定。
  美國微軟也提出了「值得依賴的計算」(TrustworthyComputing)的計劃,並計劃利用定於2003年初開始上市的「Windows.NETServer」實現「預設安全」。與Windows2000不同的是,將不再標準安裝IIS服務。即便增加了IIS元件,OS起動時該服務也不會自動執行。
  不過,如果只要使用測試版,135、137、138、139和445連接阜在預設條件下就是開啟的。另外,從WindowsXP開始匯入的「英特網連接防火牆(ICF)」的使用在預設條件下也是無效的。要想在預設設定下實現與Linux相同等級的高安全性,可以說最穩妥的方法是將ICF設定為有效,然後用戶再根據自己的需要,選項起動的服務
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 07:23 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1