潛伏在Windows預設設定中的陷阱

[psac]

礎b預設設定條件下直接執行Windows，很多連接阜就會處於開放狀態。由於多種服務會自動起動，因此不需進行複雜的設定就能夠使用各種服務。但如果置之不理，就可能成為攻擊者的攻擊對象。安全對策的基礎是嚴格區分必要和不需要的服務，然後關閉不需要的服務。為此就必須瞭解Windows在預設設定中處於開放狀態的具有代表性的連接阜的作用及其危險性，並進行適當的設定。

糧q過英特網，伺服器硬碟中的內容全部都可以看見。而且還能夠非常輕鬆地篡改和刪除其中的資料。也許讀者會想：哪裡有有設定如此笨拙的伺服器？！很多人覺得只要不進行極端的設定、故意對外公開硬碟中的內容，就不會出現這種情況。

礎實際上，在Windows中，即便管理員並非明確地起動某種服務、或者開放某個連接阜，也有可能發生這種情況。

礎b預設設定下，Windows會開放提供文件共享服務的TCP的139號連接阜。因此，在預設條件下起動文件共享服務後，系統就進入等待狀態。由此，機器就會始終處於被攻擊者訪問共享資源的危險境地。而共享資源則可以利用net指令輕鬆地進行分配。儘管C碟如果沒有管理員權限就無法共享，但如果不經意地將Guest帳號設定為有效以後，就能夠訪問C碟，這樣一來就非常輕鬆地破壞硬碟。而且，今後也有可能發現其它利用文件共享服務發動攻擊的嚴重安全漏洞。

礎w全對策的基本原則是關閉不需要的服務。如果不起動服務，即便外部發來連接請求，機器也不會作出回應。要做到這一步，電腦管理員就必須充分瞭解哪些服務是必須的，以及目前實際上起動了哪些服務。

礎是，在Windows中，在預設條件下會起動很多服務，而且很多時候各服務的作用也不容易搞清楚。而很多管理員不僅認識不到連接阜開放的危險性，而且在不瞭解服務的作用和必要性的情況下就會直接連接英特網。

臍雩茠`意的5個連接阜

穡獄礡A實際上在Windows預設條件下所開放的連接阜有哪些呢？筆者在安裝了Windows系統後，對在預設條件下開放的連接阜進行了一次調查。調查中使用了免費連接阜掃瞄工具「Nmap」（http://www.insecure.org/nmap/）。

礎b幾乎所有的Windows中所開放的連接阜包括135、137、138和139。此外，在2000、XP和.NET Server中445連接阜也是開放的。Windows在預設條件下開放的眾所周知的連接阜就是這5個。

糧o些到底是不是真正必要的服務呢？要想下結論，就必須充分瞭解這些連接阜各自的作用。雖說在預設條件下是開放的，但如果保持這種預設設定不變，就會在無意識的情況下受到非法訪問。因此，應該盡可能關閉不需要的服務。無論如何也不能停止的服務必須使用過濾軟體，確保能夠防止外部訪問。

瞻U面對幾乎所有的Windows在預設條件下開放的最具代表性的5個連接阜即135、137、138、139和445等各自的作用作一詳細介紹。瞭解它們的作用後，就能夠推測出開放連接阜後可能存在哪些危險，從而就可以方便地制定相應的對策。

禮Q用工具驗證到的135連接阜的危險性

臏鷃﹞j家都說非常危險，但即難以瞭解其用途，又無法實際感受到其危險性的代表性連接阜就是135號。但是2002年7月能夠讓人認識到其危險性的工具亮相了，這就是「IE`en」。

繡茪u具是由提供安全相關技術信息和工具類軟體的「SecurityFriday.com」公司（http://www.securityfriday.com）在網上公開提供的。其目的是以簡單明瞭的形式驗證135連接阜的危險性，呼籲用戶加強安全性設定。不過，由於該工具的威力非常大，因此日本趨勢科技已經將該工具的特徵程式碼追加到了病毒定義庫文件中。如果在安裝了該公司的病毒掃瞄軟體的電腦中安裝IE`en，就有可能將其視為病毒。

瞼i以看到SSL的內容

點E`en是一種遠端操作IE瀏覽器的工具。不僅可以從連線到網路上的其他電腦上正在執行的IE瀏覽器中取得信息，而且還可以對瀏覽器本身進行操作。具體而言，就是可以得到正在執行的IE瀏覽器的視窗一覽表、各視窗所顯示的Web站點的URL及Cookie，以及在檢索站點中輸入的檢索關鍵詞等信息。

繡茪u具所展示的最恐怖的情況是，在非加密狀態下可以看到本應受到SSL保護的資料。所以可以由此獲取加密前或者還原後的資料。如果使用IE`en，甚至能夠直接看到比如在網路銀行等輸入的銀行現金卡密碼等信息。

點E`en使用的是Windows NT4.0/2000/XP標準集成的分佈式對像技術DCOM（分佈式元件對像模組）。使用DCOM可以遠端操作其他電腦中的DCOM應用程式。該技術使用的是用於使用其他電腦所具有的函數的RPC（Remote Procedure Call，遠端程序使用）功能。而這個RPC使用的就是135連接阜。

禮Q用RPC功能進行通信時，就會向對方電腦的135連接阜詢問可以使用哪個連接阜進行通信。這樣，對方的電腦就會告知可以使用的連接阜號。實際的通信將使用這個連接阜來進行。135連接阜起的是動態地決定實際的RPC通信所使用的連接阜的連接阜映射作用。

礎p果是利用DCOM技術開發的應用程式，都可以像IE瀏覽器那樣進行操作。比如，連接正在利用Excel工作的其他電腦，獲取單元格中輸入的值，或者對這個值本身進行編輯並非不可能的事情。

瞻ㄨL，要想利用該方法操縱他人的電腦，就必須知道該機的IP位址和註冊名以及密碼。因此，通過英特網而受到第三者的攻擊的可能性非常低。而危險性最高的是公司內部環境。尤其是客戶端更為危險。這是因為在大多情況下不僅可以輕而易舉地得到他人的IP位址和註冊名，而且密碼的管理也不是很嚴格。學校以及網咖等多台電腦採用相同設定的場合也需加以注意。

礎b公司內部環境中務必將DCOM設定為無效

簞j避這種危險的最好辦法是關閉RPC服務。在「控制台」的「管理工具」中選項「服務」，在「服務」視窗中開啟「Remote Procedure Call」屬性內容。在屬性內容視窗中將啟動類型設定為「已禁用」，自下次起動開始RPC就將不再啟動（要想將其設定為有效，在註冊表編輯器中將「HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs」的「Start」的值由0x04變成0x02後，重新起動機器即可）。不過，進行這種設定後，將會給Windows的執行帶來很大的影響。比如Windows XP Professional，從登入到顯示桌面畫面，就要等待相當長的時間。這是因為Windows的很多服務都依賴於RPC，而這些服務在將RPC設定為無效後將無法正常起動。由於這樣做弊端非常大，因此一般來說，不能關閉RPC服務。

穡獄繸竣U來要考慮的對策是信息包過濾。但是這同樣也會給Windows的執行帶來各種影響。比如，如果在客戶端關閉135連接阜，就無法使用Outlook連接Exchange Server。因為管理分佈式處理的MSDTC、負責應用程式之間的信息交換的MSMQ以及動態地向連接網路的電腦分配位址的DHCP等服務也都使用這個連接阜。

繙貐qWindows網路的高橋基信表示：「在Windows服務中，有很多服務需要使用RPC。另外，Windows網路並不是設想在客戶端與伺服器之間存在防火牆的狀態而組建的。因此公司內部網路環境中使用過濾功能時，應該在充分驗證後加以實施」。也就是說，在公司內部環境中不僅是客戶端，即便是伺服器也無法關閉135連接阜。伺服器方面，為了使活動目錄和主域實現同步，就要使用135連接阜。

礎是卻有辦法只將DCOM設定為無效。這就是利用Windows NT/2000/XP標準集成的「dcomcnfg.exe」工具。從DOS指令中執行該工具以後，開啟分佈式COM配置屬性內容視窗，選項「預設屬性內容」頁標，取消「在這台電腦上啟用分佈式COM」選項即可。在公司內部不使用DCOM，並且不想讓其他電腦操作自己電腦COM的時候，就應該採用這種設定。

礎p果是客戶端，也有辦法禁止遠端登入電腦。依次選項「控制台」、「管理工具」和「本機安全原則」，開啟本機安全性設定視窗，選項本機原則中的使用者權利指派，然後利用該項下的「拒絕從網路訪問這台電腦」，指定拒絕訪問的對象。如果想拒絕所有的訪問，最好指定為「Everyone」。

瞻蓿}伺服器應該關閉135連接阜

瞻蓿}於英特網上的伺服器基本上不使用RPC。如前所述，儘管危險性比公司內部環境低，但只要不執行使用DCOM的特定應用程式（只要不是必須的服務），就應該關閉135連接阜。比如只是作為Web伺服器、郵件或DNS伺服器來使用的話，即便關閉135連接阜，也不會出現任何問題。

瞻ㄨL需要通過英特網來使用DCOM應用程式時，就不能關閉該連接阜。但需要採取嚴格管理密碼的措施。

穡蒛擐茖央A就是說通過137連接阜除了該機的電腦名稱和註冊用戶名以外，還可以得到該機是否為主域控制器和主瀏覽器、是否作為文件伺服器使用、IIS和Samba是否正在執行以及Lotus Notes是否正在執行等信息。據SecurityFriday.com公司的Michiharu Arimoto介紹：「除了電腦名稱以外，還可以準確地瞭解IIS、主域控制器、主域瀏覽器以及文件伺服器等相關資訊。雖說不是百分之百，但有時還能夠得到其他信息」。

瞻]就是說，只要您想獲得這些信息，只需向這台個人電腦的137連接阜傳送一個請求即可。只要知道IP位址，就可以輕鬆做到這一點。不只是公司內部網路，還可以通過英特網得到這樣的信息。

繒鴭顜蟪貌怢蚖﹛A這簡直太方便了，可以很容易地瞭解目標電腦的作用及網路的結構。隨意地洩漏這樣的信息，就好像是很友好地告訴攻擊者應該如何來攻擊自己的電腦。比如，如果知道IIS服務正在執行，就可以輕鬆地瞭解這台電腦上已經起動的服務。攻擊者根本不必特意地通過連接阜掃瞄來尋找可以下手入侵的連接阜。

瞼t外，如果捕捉到正在利用137連接阜進行通信的信息包，還有可能得到目標主機的起動和關閉時間。這是因為Windows起動或關閉時會由137連接阜傳送特定的信息包。如果掌握了目標主機的起動時間，就可以非常輕鬆地使用上一次所講的IE`en等軟體通過135連接阜操作對方的DCOM。

穡洏137連接阜，管理電腦名稱

137連接阜為什麼會把這種信息包洩漏到網路上呢？這是因為，在Windows網路通信傳輸協定--「NetBIOS over TCP/IP（NBT）」的電腦名稱管理功能中使用的是137連接阜。

繒q腦名稱管理是指Windows網路中的電腦通過用於相互識別的名字--NetBIOS名，獲取實際的IP位址的功能。可以用兩種方法使用137連接阜。

瞻@種方法是，位於同一組中的電腦之間利用廣播功能進行電腦名稱管理。電腦在起動時或者連接網路時，會向位於同組中的所有電腦詢問有沒有正在使用與自己相同的NetBIOS名的電腦。每台收到詢問的電腦如果使用了與自己相同的NetBIOS名，就會傳送通知信息包。這些通信是利用137連接阜進行的。

瞼t一種方法是利用WINS（Windows英特網名稱服務）管理電腦名稱。被稱為WINS伺服器的電腦有一個IP位址和NetBIOS名的對照表。WINS客戶端在系統起動時或連接網路時會將自己的NetBIOS名與IP位址傳送給WINS伺服器。與其他電腦通信時，會向WINS伺服器傳送NetBIOS名，詢問IP位址。這種方法也使用137連接阜。

礎p上所述，為了得到通信對象的IP位址，137連接阜就要交換很多信息包。在這些信息包中，包括有如表3所顯示的很多信息。利用廣播管理電腦名稱時，會向所有電腦傳送這些信息。如果使用NBT，就會在用戶沒有查覺的情況下，由電腦本身就會向外部散佈自己的詳細資料。

138連接阜用於瀏覽

礎138連接阜也和137連接阜一樣會向外部傳送自己的信息。儘管信息量沒有137連接阜那麼多，但其特點是會被別人得到Windows的版本信息。比如，會洩漏Windows版本是Windows 2000 Server。

138連接阜提供NetBIOS的瀏覽功能。該功能用於顯示連接於網路中的電腦一覽表。比如，在Windows2000中由「網路鄰居」中選項「整個網路」後，就會完整地顯示連接於網路中的電腦。

繡茈\能使用的是與上面所講的電腦名稱管理不同的執行機制。在瀏覽功能中，被稱為主瀏覽器的電腦管理著連接於網路中的電腦一覽表的瀏覽列表。每台電腦在起動時或連接網路時利用138連接阜廣播自己的NetBIOS名。收到NetBIOS名的主瀏覽器會將這台電腦追加到瀏覽列表中。需要顯示一覽表時，就廣播一覽表顯示請求。收到請求的主遊覽器會傳送瀏覽列表。關閉電腦時，機器會通知主瀏覽器，以便讓主瀏覽器將自己的NetBIOS名從列表中刪除掉。這些信息的交換使用的是138連接阜。由於這裡也會進行廣播，因此就會將自己的電腦信息傳送給同組中的所有電腦。

瞻蓿}伺服器應關閉NetBIOS

齋etBIOS服務使用了137和138連接阜的向外部傳送自己信息的功能。一般情況下，這是一種在連接在英特網上的公開伺服器不需要的服務。因為NetBIOS主要用於Windows網路中。因此，公開伺服器應該停止這種服務。

礎蚢鴭韟b公司內部網路環境中構築Windows網路的電腦來說，NetBIOS則是必要的服務。如要停止NetBIOS，反過來就必須放棄Windows網路的方便性。

簞惜薢BT服務的方法。選項「將NetBIOS over TCP/IP設定為無效」

瞻ㄨL，如果是Windows 2000以上的版本，不使用NetBIOS也能夠管理電腦名稱（詳情後述）。因此如果是全部由Windows 2000以上的個人電腦構築而成的網路，就可以停止NBT。雖說如此，此時方便性就會降低，比如，無法顯示用於尋找文件共享對象的信息。

簫n想停止NetBIOS服務，首先由控制台中選項目前正在使用的網路連接，在屬性內容視窗中檢視「Internet傳輸協定（TCP/IP）」的屬性內容。在「一般」頁標中按下「進階」按鈕，在「WINS」頁標中選項「禁用TCP/IP上的NetBIOS（S）」即可。這樣，就可以關閉137、138以及後面將要講到的139連接阜。

礎b此需要注意一點。NetBEUI傳輸協定如果為有效，NetBIOS服務將會繼續起作用。在Windows 95中，NetBIOS是在預設條件下安裝的。在更高的Windows版本中，如果選項也可以安裝。所以不僅要停止NBT，還應該驗證NetBEUI是否在起作用。如果使用NetBEUI，即便關閉137連接阜，也仍有可能向外部洩漏表3所顯示的信息。

139和445連接阜是危險的代名詞

糧s接於微軟網路上的電腦之間使用137和138連接阜取得IP位址。然後進行文件共享和列印機共享等實際通信。通信程序是通過SMB（伺服器信息塊）傳輸協定實現的。這裡使用的是139和445連接阜。

壘MB與CIFS的區別。Windows 2000以前版本的Windows使用NetBIOS傳輸協定解決各電腦名稱的問題。通過向WINS伺服器傳送通信對象的NetBIOS名，取得IP位址。而Windows以後的版本所採用的CIFS則利用DNS解決電腦的命名問題。根據DNS伺服器中的名字列表信息，尋找需要通信的對象。如果順利地得到對象的IP位址，就可以訪問共享資源。

礎bSMB通信中，首先使用上述的電腦名稱解釋功能，取得通信對象的IP位址，然後向通信對像發出開始通信的請求。如果對方充許進行通信，就會確立會話層（Session）。並使用它向對方傳送用戶名和密碼信息，進行認證。如果認證成功，就可以訪問對方的共享文件。在這些一連串的通信中使用的就是139連接阜。

戳indows 2000和XP除此之外還使用445連接阜。文件共享功能本身與139連接阜相同，但該連接阜使用的是與SMB不同的傳輸協定。這就是在Windows 2000中最新使用的CIFS（通用英特網文件系統）傳輸協定。

鮪IFS和SMB解決電腦名稱的方法不同。SMB使用NetBIOS名的廣播和WINS解決電腦名稱，而CIFS則使用DNS。

礎]此，在文件伺服器和列印伺服器使用Windows的公司內部網路環境中，就無法關閉139和445連接阜。很多情況下，文件共享和列印機共享在普通的業務中是不可缺少的功能。而客戶端如果自身不公開文件，就可以關閉這兩個連接阜。

簞畢p是僅2000版本以後的Windows構成的網路，就可以關閉139連接阜。這是因為如前所述，該網路只用445連接阜就能夠進行文件共享。由於在解決電腦名稱程序中使用DNS，所以也可以關閉137和138連接阜。不過，在目前情況下，基本上所有的網路系統都還在混合使用2000以前的Windows版本。在混合網路環境中由於必須使用139連接阜通過SMB傳輸協定進行通信，因此就無法關閉139連接阜。另外，瀏覽時還需要137∼139連接阜。

瞻蓿}伺服器絕對應該關閉這些連接阜

礎b英特網上公開的伺服器要另當別論。公開伺服器開啟139和445連接阜是一件非常危險的事情。就像本文開頭所說的那樣，如果有Guest帳號，而且沒有設定任何密碼時，就能夠被人通過英特網輕鬆地盜看文件。如果給該帳號設定了寫入權限，甚至可以輕鬆地篡改文件。也就是說在對外部公開的伺服器中不應該開啟這些連接阜。通過英特網使用文件伺服器就等同自殺行為，因此一定要關閉139和445連接阜。對於利用ADSL永久性接入英特網的客戶端機器可以說也是如此。

簫n關閉139連接阜，與137和138連接阜一樣，可以選項「將NetBIOS over TCP/IP設定為無效」。而要想關閉445連接阜則必須進行其他工作。利用註冊表編輯器在「HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters」中追加名為「SMBDeviceEnabled」的DWORD值，並將其設定為0，然後重新起動機器。

.NET中安全原則改變了嗎？

織N像在此之前所講的那樣，直接在預設設定條件下使用現有的Windows將會出現各種各樣的危險。這是因為Windows是為了讓初學者不需進行複雜設定就可以使用而開發的。

瞻韘pWindows 2000 Server，在安裝該系統時，會自動安裝IIS。而且只需起動個人電腦，IIS服務就會啟動。雖然Windows NT 4.0 Server可以選項是否安裝IIS，但在預設條件下該服務的複選框是有效的。與2000一樣，在起動電腦時，IIS服務也會自動起動。

礎粌inux則在很多方面都採取的是完全不同的思路。比如，RedHat Linux 7.3在安裝程序中必須讓用戶設定防火牆。由於防火牆有「高」、「中」、「低」三種等級，因此所攔截的信息包也各不相同。如果選項「高」將關閉53（DNS）、67和68（DHCP）以外的全部連接阜，如果選項「中」，儘管會開啟1024以上的連接阜，但在一般人熟知的連接阜中開啟的只有53、67和68三個。

礎w裝應用程式時的作法也不同。RedHat Linux 7.3在安裝時可選項「工作站」、「伺服器」和「桌面」三種類型。因此即使選項「伺服器」，如果用戶不選項構築相容Windows的文件伺服器「Samba」和Web伺服器「Apache」等，就不會進行安裝。另外，即便安裝以後，也不會直接起動。如果用戶明確地啟動必要的服務後，沒有設定利用過濾軟體過濾信息包，相應連接阜就不會開啟。

礎p果只考慮方便性，Windows要更好一些。這是因為即便不進行複雜的設定，系統也能夠自動起動各種服務。但這樣一來，就甚至極有可能起動用戶不希望起動的服務，而且這些服務往往還是在用戶不知曉的情況下起動的。可以這樣說，如果希望安全地執行伺服器，或者希望保護自己的客戶端個人電腦免受危險，那麼最好不要隨便安裝和設定。

竅國微軟也提出了「值得依賴的計算」（Trustworthy Computing）的計劃，並計劃利用定於2003年初開始上市的「Windows .NET Server」實現「預設安全」。與Windows 2000不同的是，將不再標準安裝IIS服務。即便增加了IIS元件，OS起動時該服務也不會自動執行。

瞻ㄨL，如果只要使用測試版，135、137、138、139和445連接阜在預設條件下就是開啟的。另外，從Windows XP開始匯入的「英特網連接防火牆（ICF）」的使用在預設條件下也是無效的。要想在預設設定下實現與Linux相同等級的高安全性，可以說最穩妥的方法是將ICF設定為有效，然後用戶再根據自己的需要，選項起動的服務。