揭開Windows秘密 潛伏在預設設置中的陷阱

[psac]

揭開Windows秘密 潛伏在預設設置中的陷阱
日經BP社 　

　在預設設置條件下直接執行Windows，很多連接阜就會處於開放狀態。由於多種服務會自動起動，因此不需進行複雜的設置就能夠使用各種服務。但如果置之不理，就可能成為攻擊者的攻擊對象。安全對策的基礎是嚴格區分必要和不需要的服務，然後關閉不需要的服務。為此就必須瞭解Windows在預設設置中處於開放狀態的具有代表性的連接阜的作用及其危險性，並進行適當的設置。

　　通過英特網，伺服器硬碟中的內容全部都可以看見。而且還能夠非常輕鬆地篡改和刪除其中的資料。也許讀者會想：哪裡有有設置如此笨拙的伺服器？！很多人覺得只要不進行極端的設置、故意對外公開硬碟中的內容，就不會出現這種情況。

　　但實際上，在Windows中，即便管理員並非明確地起動某種服務、或者開放某個連接阜，也有可能發生這種情況。
　　
　　●如果使用net指令，就能夠分配到共享資源。「C$」是C碟的共享名

　　在預設設置下，Windows會開放提供文件共享服務的TCP的139號連接阜。因此，在預設條件下起動文件共享服務後，系統就進入等待狀態。由此，機器就會始終處於被攻擊者訪問共享資源的危險境地。而共享資源則可以利用net指令輕鬆地進行分配。儘管C碟如果沒有管理員權限就無法共享，但如果不經意地將Guest帳號設置為有效以後，就能夠訪問C碟，這樣一來就非常輕鬆地破壞硬碟。而且，今後也有可能發現其它利用文件共享服務發動攻擊的嚴重安全漏洞。

　　安全對策的基本原則是關閉不需要的服務。如果不起動服務，即便外部發來連接請求，機器也不會作出回應。要做到這一步，電腦管理員就必須充分瞭解哪些服務是必須的，以及目前實際上起動了哪些服務。

　　但是，在Windows中，在預設條件下會起動很多服務，而且很多時候各服務的作用也不容易搞清楚。而很多管理員不僅認識不到連接阜開放的危險性，而且在不瞭解服務的作用和必要性的情況下就會直接連接英特網。

　　應該注意的5個連接阜

　　那麼，實際上在Windows預設條件下所開放的連接阜有哪些呢？筆者在安裝了Windows系統後，對在預設條件下開放的連接阜進行了一次調查。調查中使用了免費連接阜掃瞄工具「Nmap」（http://www.insecure.org/nmap/）。

　　結果如表1和表2。在幾乎所有的Windows中所開放的連接阜包括135、137、138和139。此外，在2000、XP和.NET Server中445連接阜也是開放的。Windows在預設條件下開放的眾所周知的連接阜就是這5個。

客戶端Windows系統開放的主要連接阜

　　這些到底是不是真正必要的服務呢？要想下結論，就必須充分瞭解這些連接阜各自的作用。雖說在預設條件下是開放的，但如果保持這種預設設置不變，就會在無意識的情況下受到非法訪問。因此，應該盡可能關閉不需要的服務。無論如何也不能停止的服務必須使用過濾軟體，確保能夠防止外部訪問。

　　下面對幾乎所有的Windows在預設條件下開放的最具代表性的5個連接阜即135、137、138、139和445等各自的作用作一詳細介紹。瞭解它們的作用後，就能夠推測出開放連接阜後可能存在哪些危險，從而就可以方便地制定相應的對策。

　　利用工具驗證到的135連接阜的危險性

　　雖說大家都說非常危險，但即難以瞭解其用途，又無法實際感受到其危險性的代表性連接阜就是135號。但是2002年7月能夠讓人認識到其危險性的工具亮相了，這就是「IE『en」。

　　該工具是由提供安全相關技術信息和工具類軟體的「SecurityFriday.com」公司（http://www.securityfriday.com）在網上公開提供的。其目的是以簡單明瞭的形式驗證135連接阜的危險性，呼籲用戶加強安全設置。不過，由於該工具的威力非常大，因此日本趨勢科技已經將該工具的特徵程式碼追加到了病毒定義庫文件中。如果在安裝了該公司的病毒掃瞄軟體的電腦中安裝IE『en，就有可能將其視為病毒。

　　可以看到SSL的內容

　　IE『en是一種遠端操作IE瀏覽器的工具。不僅可以從連線到網路上的其他電腦上正在執行的IE瀏覽器中取得信息，而且還可以對瀏覽器本身進行操作。具體而言，就是可以得到正在執行的IE瀏覽器的視窗一覽表、各視窗所顯示的Web站點的URL及Cookie，以及在檢索站點中輸入的檢索關鍵詞等信息。

　　該工具所展示的最恐怖的情況是，在非加密狀態下可以看到本應受到SSL保護的資料。所以可以由此獲取加密前或者還原後的資料。如果使用IE『en，甚至能夠直接看到比如在網路銀行等輸入的銀行現金卡密碼等信息。

　　IE『en使用的是Windows NT4.0/2000/XP標準集成的分佈式對像技術DCOM（分佈式組件對像模組）。使用DCOM可以遠端操作其他電腦中的DCOM應用程式。該技術使用的是用於使用其他電腦所具有的函數的RPC（Remote Procedure Call，遠端程序使用）功能。而這個RPC使用的就是135連接阜。

　　利用RPC功能進行通信時，就會向對方電腦的135連接阜詢問可以使用哪個連接阜進行通信。這樣，對方的電腦就會告知可以使用的連接阜號。實際的通信將使用這個連接阜來進行。135連接阜起的是動態地決定實際的RPC通信所使用的連接阜的連接阜映射作用。

　　如果是利用DCOM技術開發的應用程式，都可以像IE瀏覽器那樣進行操作。比如，連接正在利用Excel工作的其他電腦，獲取單元格中輸入的值，或者對這個值本身進行編輯並非不可能的事情。

　　不過，要想利用該方法操縱他人的電腦，就必須知道該機的IP位址和註冊名以及密碼。因此，通過英特網而受到第三者的攻擊的可能性非常低。而危險性最高的是公司內部環境。尤其是客戶端更為危險。這是因為在大多情況下不僅可以輕而易舉地得到他人的IP位址和註冊名，而且密碼的管理也不是很嚴格。學校以及網咖等多台電腦採用相同設置的場合也需加以注意。

　　在公司內部環境中務必將DCOM設置為無效
　　
　　●停止RPC服務的方法。由於Windows不能正常起動的可能性非常高，因此必須多加注意

　　迴避這種危險的最好辦法是關閉RPC服務。在「控制台」的「管理工具」中選項「服務」，在「服務」視窗中開啟「Remote Procedure Call」屬性內容（圖2）。在屬性內容視窗中將啟動類型設置為「已禁用」，自下次起動開始RPC就將不再啟動（要想將其設置為有效，在註冊表編輯器中將「HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs」的「Start」的值由0x04變成0x02後，重新起動機器即可）。不過，進行這種設置後，將會給Windows的執行帶來很大的影響。比如Windows XP Professional，從登錄到顯示桌面畫面，就要等待相當長的時間。這是因為Windows的很多服務都依賴於RPC，而這些服務在將RPC設置為無效後將無法正常起動。由於這樣做弊端非常大，因此一般來說，不能關閉RPC服務。

　　那麼接下來要考慮的對策是信息包過濾。但是這同樣也會給Windows的執行帶來各種影響。比如，如果在客戶端關閉135連接阜，就無法使用Outlook連接Exchange Server。因為管理分佈式處理的MSDTC、負責應用程式之間的信息交換的MSMQ以及動態地向連接網路的電腦分配位址的DHCP等服務也都使用這個連接阜。

　　精通Windows網路的高橋基信表示：「在Windows服務中，有很多服務需要使用RPC。另外，Windows網路並不是設想在客戶端與伺服器之間存在防火牆的狀態而組建的。因此公司內部網路環境中使用過濾功能時，應該在充分驗證後加以實施」。也就是說，在公司內部環境中不僅是客戶端，即便是伺服器也無法關閉135連接阜。伺服器方面，為了使活動目錄和主域實現同步，就要使用135連接阜。
●使用dcomcnfg.exe將DCOM設置為無效的方法。取消「在這台電腦上啟用分佈式COM」選項

　　但是卻有辦法只將DCOM設置為無效。這就是利用Windows NT/2000/XP標準集成的「dcomcnfg.exe」工具。從DOS指令中執行該工具以後，開啟分佈式COM配置屬性內容視窗，選項「預設屬性內容」頁標，取消「在這台電腦上啟用分佈式COM」選項即可（圖3）。在公司內部不使用DCOM，並且不想讓其他電腦操作自己電腦COM的時候，就應該採用這種設置。

　　如果是客戶端，也有辦法禁止遠端登錄電腦。依次選項「控制台」、「管理工具」和「本機安全原則」，開啟本機安全設置視窗，選項本機原則中的用戶權利指派，然後利用該項下的「拒絕從網路訪問這台電腦」，指定拒絕訪問的對象。如果想拒絕所有的訪問，最好指定為「Everyone」。

　　公開伺服器應該關閉135連接阜

　　公開於英特網上的伺服器基本上不使用RPC。如前所述，儘管危險性比公司內部環境低，但只要不執行使用DCOM的特定應用程式（只要不是必須的服務），就應該關閉135連接阜。比如只是作為Web伺服器、郵件或DNS伺服器來使用的話，即便關閉135連接阜，也不會出現任何問題。

　　不過需要通過英特網來使用DCOM應用程式時，就不能關閉該連接阜。但需要採取嚴格管理密碼的措施。

3q3q3q

3q3q3q

了解了

[羅迪]

多謝psac大大詳解，真是受用不淺。謝謝咯。

謝謝大大的指導

多謝賜教

謝謝提供