潜伏在Windows默认设置中的陷井

WINS办事器。与其他盘算机通讯时，会向WINS办事器发送NetBIOS名，扣问IP地点。这种要领也使用137端口。
  如上所述，为了失掉通讯东西的IP地点，137端口就要交换许多信息包。在这些信息包中，包罗有如表3所示的许多信息。使用广播办理盘算机名时，会向全部电脑发送这些信息。如果使用NBT，就会在用户没有查觉的环境下，由电脑本身就会向外部分布自己的详细信息。
  138端口用于浏览
  而138端口也和137端口一样会向外部发送自己的信息。尽管信息量没有137端口那么多，但其特点是会被别人失掉Windows的版本信息。好比，会走漏Windows版本是Windows 2000 Server。
  138端口提供NetBIOS的浏览功效。该功效用于表现毗连于网络中的电脑一览表。好比，在Windows2000中由“网络邻居”中选择“整个网络”后，就会完整地表现毗连于网络中的电脑。
  该功效使用的是与下面所讲的盘算机名办理不同的运转机制。在浏览功效中，被称为主浏览器的电脑办理着毗连于网络中的电脑一览表的浏览列表。每台电脑在起动时或毗连网络时使用138端口广播自己的NetBIOS名。收到NetBIOS名的主浏览器会将这台电脑追加到浏览列表中。需要表现一览表时，就广播一览表表现请求。收到请求的主游览器会发送浏览列表。封闭电脑时，呆板会关照主浏览器，以便让主浏览器将自己的NetBIOS名从列表中删撤除。这些信息的交换使用的是138端口。由于这里也会进行广播，因而就会将自己的电脑信息发送给同组中的全部电脑。
  公开办事器应封闭NetBIOS
  NetBIOS办事使用了137和138端口的向外部发送自己信息的功效。一般环境下，这是一种在毗连在因特网上的公开办事器不需要的办事。因为NetBIOS主要用于Windows网络中。因而，公开办事器应该制止这种办事。
  而对付在公司内部网络环境中修筑Windows网络的电脑来说，NetBIOS则是须要的办事。如要制止NetBIOS，反过去就必须放弃Windows网络的方便性。
  制止NBT办事的要领。选择“将NetBIOS over TCP/IP设置为有效”
  不外，如果是Windows 2000以上的版本，不使用NetBIOS也可以或许办理盘算机名（概况后述）。因而如果是全部由Windows 2000以上的个人电脑修筑而成的网络，就可以制止NBT。虽说如此，此时方便性就会降低，好比，无法表现用于探求文件共享东西的信息。
  要想制止NetBIOS办事，首先由控制面板中选择目前正在使用的网络毗连，在属性窗口中查看“Internet协议（TCP/IP）”的属性。在“常规”页标中单击“高级”按钮，在“WINS”页标中选择“禁用TCP/IP上的NetBIOS（S）”即可。如许，就可以封闭137、138以及背面将要讲到的139端口。
  在此需要细致一点。NetBEUI协议如果为有用，NetBIOS办事将会连续起作用。在Windows 95中，NetBIOS是在默许条件下安装的。在更高的Windows版本中，如果选择也可以安装。所以不但要制止NBT，还应该确认NetBEUI是否在起作用。如果使用NetBEUI，即便封闭137端口，也仍有大概向外部走漏表3所示的信息。
  139和445端口是危险的代名词
  毗连于微软网络上的电脑之间使用137和138端口取得IP地点。然落伍行文件共享和打印机共享等实际通讯。通讯过程是通过SMB（办事器信息块）协议实现的。这里使用的是139和445端口。
  SMB与CIFS的区别。Windows 2000以前版本的Windows使用NetBIOS协议办理各盘算机名的题目。通过向WINS办事器发送通讯东西的NetBIOS名，取得IP地点。而Windows以后的版本所采用的CIFS则使用DNS办理盘算机的命名题目。凭据DNS办事器中的名字列表信息，探求需要通讯的东西。如果顺遂地失掉东西的IP地点，就可以拜访共享资源。
  在SMB通讯中，首先使用上述的盘算机名解释功效，取得通讯东西的IP地点，然后向通讯东西发出开始通讯的请求。如果对方充许进行通讯，就会确立会话层（Session）。并使用它向对方发送用户名和暗码信息，进行认证。如果认证乐成，就可以拜访对方的共享文件。在这些一连串的通讯中使用的就是139端口。
  Windows 2000和XP除此之外还使用445端口。文件共享功效本身与139端口雷同，但该端口使用的是与SMB不同的协议。这就是在Windows 2000中最新使用的CIFS（通用因特网文件系统）协议。
  CIFS和SMB办理盘算机名的要领不同。SMB使用NetBIOS名的广播和WINS办理盘算机名，而CIFS则使用DNS。
  因而，在文件办事器和打印办事器使用Windows的公司内部网络环境中，就无法封闭139和445端口。许多环境下，文件共享和打印机共享在平凡的业务中是不行短少的功效。而客户端如果自身不公开文件，就可以封闭这两个端口。
  假如是仅2000版本以后的Windows组成的网络，就可以封闭139端口。这是因为如前所述，该网络只用445端口就可以或许进行文件共享。由于在办理盘算机名过程中使用DNS，所以也可以封闭137和138端口。不外，在目前环境下，基本上全部的网络系统都还在混合使用2000以前的Windows版本。在混合网络环境中由于必须使用139端口通过SMB协议进行通讯，因而就无法封闭139端口。另外，浏览时还需要137～139端口。
  公开办事器相对应该封闭这些端口
  在因特网上公开的办事器要另当别论。公开办事器打开139和445端口是一件十分危险的事变。就像本文扫尾所说的那样，如果有Guest帐号，并且没有设置任何暗码时，就可以或许被人通过因特网轻松地盗看文件。如果给该帐号设置了写入权限，乃至可以轻松地篡改文件。也就是说在对外部公开的办事器中不应该打开这些端口。通过因特网使用文件办事器就等同自尽举动，因而一定要封闭139和445端口。对付使用ADSL永世性接入因特网的客户端呆板可以说也是如此。
  要封闭139端口，与137和138端口一样，可以选择“将NetBIOS over TCP/IP设置为有效”。而要想封闭445端口则必须进行其他事变。使用注册表编辑器在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters”中追加名为“SMBDeviceEnabled”的DWORD值，并将其设置为0，然后重新起动呆板。
  .NET中安全策略改变了吗？
  就像在此之前所讲的那样，直接在默许设置条件下使用现有的Windows将会呈现种种各样的危险。这是因为Windows是为了让初学者不需进行庞大设置就可以使用而开辟的。
  好比Windows 2000 Server，在安装该系统时，会主动安装IIS。并且只需起动个人电脑，IIS办事就会启动。固然Windows NT 4.0 Server可以选择是否安装IIS，但在默许条件下该办事的复选框是有用的。与2000一样，在起动电脑时，IIS办事也会主动起动。
  而Linux则在许多方面都接纳的是完全不同的思绪。好比，RedHat Linux 7.3在安装过程中必须让用户设置防火墙。由于防火墙有“高”、“中”、“低”三种等级，因而所阻拦的信息包也各不雷同。如果选择“高”将封闭53（DNS）、67和68（DHCP）以外的全部端口，如果选择“中”，尽管会打开1024以上的端口，但在一般人熟知的端口中打开的只要53、67和68三个。
  安装应用步伐时的作法也不同。RedHat Linux 7.3在安装时可选择“事变站”、“办事器”和“桌面”三种范例。因而即使选择“办事器”，如果用户不选择修筑兼容Windows的文件办事器“Samba”和Web办事器“Apache”等，就不会进行安装。另外，即便安装以后，也不会直接起动。如果用户明确地启动须要的办事后，没有设置使用过滤软件过滤信息包，相应端口就不会打开。
  如果只考虑方便性，Windows要更好一些。这是因为即便不进行庞大的设置，系统也可以或许主动起动种种办事。但如许一来，就乃至极有大概起动用户不希望起动的办事，并且这些办事每每照旧在用户不知晓的环境下起动的。可以如许说，如果希望安全地运转办事器，或者希望保护自己的客户端个人电脑免受危险，那么最好不要随便安装和设置。
  美国微软也提出了“值得依赖的盘算”（Trustworthy Computing）的计划，并计划使用定于2003年初开始上市的“Windows .NET Server”实现“默许安全”。与Windows 2000不同的是，将不再尺度安装IIS办事。即便增加了IIS组件，OS起动时该办事也不会主动运转。
  不外，如果只要使用测试版，135、137、138、139和445端口在默许条件下就是打开的。另外，从Windows XP开始导入的“因特网毗连防火墙（ICF）”的使用在默许条件下也是有效的。要想在默许设置下实现与Linux相划一级的高安全性，可以说最稳妥的要领是将ICF设置为有用，然后用户再凭据自己的需要，选择起动的办事。
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

TAG:

评论加载中... 内容： 评论者： 验证码：