AOC 秘技
按Enter鍵後輸入:
ROCK ON =得到石頭1000單位
LUMBERJACK =得到木材1000單位
ROBIN HOOD =得到黃金1000單位
CHEESE STEAK JIMMY'S =得到食物1000單位
MARCO =顯示所有地圖
POLO =地圖迷霧效果關閉
AEGIS =建造、生產和升級即時完成
I LOVE THE MONKEY HEAD =得到超快速工人
HOW DO YOU TURN THIS ON =得到眼鏡蛇車
TO SMITHEREENS =得到自爆破壞者
NATURAL WONDERS =可控制其他生物
BLACK DEATH =消滅全部敵人
TORPEDO# =殺死編號 # 的對手
WIMPYWIMPYWIMPY =自殺
I R WINNER =任務勝利
RESIGN =任務失敗
遊戲中按以下按鍵
CTRL+P =建造永久建築
CTRL+T =交替資源選單
CTRL+Q =快速建設
CTRL+C =觀看結束動畫
啟動遊戲時加入下列參數
800 =螢幕設定為 800 x 600 解析度
1024 =螢幕設定為 1024 x 768 解析度
1280 =螢幕設定為 1280 x 1024 解析度
autompsave =每 5分鐘自動存檔
Mfill =改善某些顯示卡問題
Msync =改善某些音效卡問題
No Music =關閉音樂
Normal Mouse =切換滑鼠設定
No Sound =關閉所有聲音
No Startup =不播放片頭動畫
2009年9月21日 星期一
工作列→開始→執行→輸入的指令
gpedit.msc-----群組原則
sndrec32-------錄音機
nslookup-------IP位址偵測器
explorer-------開啟檔案總管
logoff---------登出指令
tsshutdn-------60秒倒計時關機指令
lusrmgr.msc----本地機用戶和組
services.msc---本機服務設定
oobe/msoobe /a----檢查XP是否啟動
notepad--------開啟記事本
cleanmgr-------磁碟垃圾整理
net start messenger----開始信使服務
compmgmt.msc---電腦管理
net stop messenger-----停止信使服務
vconf-----------啟動
dvdplay--------DVD播放器
charmap--------啟動字元對應表
Kdiskmgmt.msc---磁牒管理實用程序
calc-----------啟動電子計算器
dfrg.msc-------磁碟重組工具
chkdsk.exe-----Chkdsk磁牒檢查
devmgmt.msc--- 裝置管理員
bFdrwtsn32------ 系統醫生
srononce -p ----15秒關機
dxdiag---------檢查DirectX資訊
regedt32-------註冊表編輯器
YMsconfig.exe---系統配置實用程序
rsop.msc-------群組原則結果集
mem.exe--------顯示記憶體使用情況
regedit.exe----註冊表
winchat--------XP自帶區域網路聊天
progman--------程序管理器
winmsd---------系統資訊
perfmon.msc----電腦效能監測程序
winver---------檢查Windows版本
sfc /scannow-----掃瞄錯誤並復原
taskmgr-----工作管理器(2000卅xp卅2003)
eventvwr.msc------------事件檢視器
secpol.msc----------------本機安全性設定
rsop.msc------------------原則的結果集
ntbackup----------------啟動制作備份還原嚮導
mstsc-----------遠端桌面
winver---------檢查Windows版本
wmimgmt.msc----開啟windows管理體系結構(WMI)
wupdmgr--------windows更新程序
wscript--------windows指令碼宿主設定
write----------寫字板
winmsd---------系統資訊
wiaacmgr-------掃瞄儀和照相機嚮導
winchat--------XP原有的區域網路聊天
mem.exe--------顯示記憶體使用情況
sconfig.exe---系統配置實用程序
mplayer2-------簡易widnows media player
mspaint--------畫圖板
mstsc----------遠端桌面連接
mplayer2-------媒體播放機
magnify--------放大鏡實用程序
mmc------------開啟控制台
mobsync--------同步指令
dxdiag---------檢查DirectX資訊
drwtsn32------ 系統醫生
devmgmt.msc--- 裝置管理員
dfrg.msc-------磁碟重組程式
diskmgmt.msc---磁牒管理實用程序
dcomcnfg-------開啟系統元件服務
ddeshare-------開啟DDE共享設定
dvdplay--------DVD播放器
net stop messenger-----停止信使服務
net start messenger----開始信使服務
notepad--------開啟記事本
nslookup-------網路管理的工具嚮導
ntbackup-------系統制作備份和還原
narrator-------螢幕「講述人」
ntmsmgr.msc----移動存儲管理器
ntmsoprq.msc---移動存儲管理員操作請求
netstat -an----(TC)指令檢查連接
Usyncapp--------新增一個公文包
sysedit--------系統配置編輯器
sigverif-------文件簽名驗證程序
psndrec32-------錄音機
shrpubw--------新增共用資料夾
secpol.msc-----本機安全原則
syskey---------系統加密,一旦加密就不能解開,保護windows xp系統的雙重密碼
services.msc---本機服務設定
Sndvol32-------音量控制程序
sfc.exe--------系統檔案檢查器
sfc /scannow---windows文件保護
tsshutdn-------60秒倒計時關機指令
tourstart------xp簡介
taskmgr--------工作管理器
eventvwr-------事件檢視器
eudcedit-------造字程序
explorer-------開啟檔案總管
lpackager-------對像包裝程序
perfmon.msc----電腦效能監測程序
progman--------程序管理器
regedit.exe----註冊表
rsop.msc-------群組原則結果集
rononce -p ----15秒關機
regsvr32 /u *.dll----停止dll文件執行
regsvr32 /u zipfldr.dll------取消ZIP支持
cmd.exe--------CMD命令提示字元
chkdsk.exe-----Chkdsk磁牒檢查
A2V9]certmgr.msc----證書管理實用程序
calc-----------啟動計算器
charmap--------啟動字元對應表
cliconfg-------SQL SERVER 客戶端網路實用程序
Clipbrd--------剪貼板檢視器
conf-----------啟動netmeeting
compmgmt.msc---電腦管理
ciadv.msc------索引服務程序
osk------------開啟螢幕小鍵盤
odbcad32-------ODBC資料來源管理器
oobe/msoobe /a----檢查XP是否啟動
lusrmgr.msc----本地機用戶和組
iexpress-------木馬元件服務工具,系統原有的
fsmgmt.msc-----共用資料夾管理器
utilman--------協助工具管理器
sndrec32-------錄音機
nslookup-------IP位址偵測器
explorer-------開啟檔案總管
logoff---------登出指令
tsshutdn-------60秒倒計時關機指令
lusrmgr.msc----本地機用戶和組
services.msc---本機服務設定
oobe/msoobe /a----檢查XP是否啟動
notepad--------開啟記事本
cleanmgr-------磁碟垃圾整理
net start messenger----開始信使服務
compmgmt.msc---電腦管理
net stop messenger-----停止信使服務
vconf-----------啟動
dvdplay--------DVD播放器
charmap--------啟動字元對應表
Kdiskmgmt.msc---磁牒管理實用程序
calc-----------啟動電子計算器
dfrg.msc-------磁碟重組工具
chkdsk.exe-----Chkdsk磁牒檢查
devmgmt.msc--- 裝置管理員
bFdrwtsn32------ 系統醫生
srononce -p ----15秒關機
dxdiag---------檢查DirectX資訊
regedt32-------註冊表編輯器
YMsconfig.exe---系統配置實用程序
rsop.msc-------群組原則結果集
mem.exe--------顯示記憶體使用情況
regedit.exe----註冊表
winchat--------XP自帶區域網路聊天
progman--------程序管理器
winmsd---------系統資訊
perfmon.msc----電腦效能監測程序
winver---------檢查Windows版本
sfc /scannow-----掃瞄錯誤並復原
taskmgr-----工作管理器(2000卅xp卅2003)
eventvwr.msc------------事件檢視器
secpol.msc----------------本機安全性設定
rsop.msc------------------原則的結果集
ntbackup----------------啟動制作備份還原嚮導
mstsc-----------遠端桌面
winver---------檢查Windows版本
wmimgmt.msc----開啟windows管理體系結構(WMI)
wupdmgr--------windows更新程序
wscript--------windows指令碼宿主設定
write----------寫字板
winmsd---------系統資訊
wiaacmgr-------掃瞄儀和照相機嚮導
winchat--------XP原有的區域網路聊天
mem.exe--------顯示記憶體使用情況
sconfig.exe---系統配置實用程序
mplayer2-------簡易widnows media player
mspaint--------畫圖板
mstsc----------遠端桌面連接
mplayer2-------媒體播放機
magnify--------放大鏡實用程序
mmc------------開啟控制台
mobsync--------同步指令
dxdiag---------檢查DirectX資訊
drwtsn32------ 系統醫生
devmgmt.msc--- 裝置管理員
dfrg.msc-------磁碟重組程式
diskmgmt.msc---磁牒管理實用程序
dcomcnfg-------開啟系統元件服務
ddeshare-------開啟DDE共享設定
dvdplay--------DVD播放器
net stop messenger-----停止信使服務
net start messenger----開始信使服務
notepad--------開啟記事本
nslookup-------網路管理的工具嚮導
ntbackup-------系統制作備份和還原
narrator-------螢幕「講述人」
ntmsmgr.msc----移動存儲管理器
ntmsoprq.msc---移動存儲管理員操作請求
netstat -an----(TC)指令檢查連接
Usyncapp--------新增一個公文包
sysedit--------系統配置編輯器
sigverif-------文件簽名驗證程序
psndrec32-------錄音機
shrpubw--------新增共用資料夾
secpol.msc-----本機安全原則
syskey---------系統加密,一旦加密就不能解開,保護windows xp系統的雙重密碼
services.msc---本機服務設定
Sndvol32-------音量控制程序
sfc.exe--------系統檔案檢查器
sfc /scannow---windows文件保護
tsshutdn-------60秒倒計時關機指令
tourstart------xp簡介
taskmgr--------工作管理器
eventvwr-------事件檢視器
eudcedit-------造字程序
explorer-------開啟檔案總管
lpackager-------對像包裝程序
perfmon.msc----電腦效能監測程序
progman--------程序管理器
regedit.exe----註冊表
rsop.msc-------群組原則結果集
rononce -p ----15秒關機
regsvr32 /u *.dll----停止dll文件執行
regsvr32 /u zipfldr.dll------取消ZIP支持
cmd.exe--------CMD命令提示字元
chkdsk.exe-----Chkdsk磁牒檢查
A2V9]certmgr.msc----證書管理實用程序
calc-----------啟動計算器
charmap--------啟動字元對應表
cliconfg-------SQL SERVER 客戶端網路實用程序
Clipbrd--------剪貼板檢視器
conf-----------啟動netmeeting
compmgmt.msc---電腦管理
ciadv.msc------索引服務程序
osk------------開啟螢幕小鍵盤
odbcad32-------ODBC資料來源管理器
oobe/msoobe /a----檢查XP是否啟動
lusrmgr.msc----本地機用戶和組
iexpress-------木馬元件服務工具,系統原有的
fsmgmt.msc-----共用資料夾管理器
utilman--------協助工具管理器
揭開Windows祕密 潛伏在預設設置中的陷阱
在預設設置條件下直接運行Windows,很多連接埠就會處於開放狀態。由於多種服務會自動起動,因此不需進行復雜的設置就能夠使用各種服務。但如果置之不理,就可能成為攻擊者的攻擊對象。安全對策的基礎是嚴格區分必要和不需要的服務,然后關閉不需要的服務。為此就必須了解Windows在預設設置中處於開放狀態的具有代表性的連接埠的作用及其危險性,並進行適當的設置。
通過因特網,服務器硬碟中的內容全部都可以看見。而且還能夠非常輕松地篡改和刪除其中的資料。也許讀者會想:哪里有有設置如此笨拙的服務器?!很多人覺得只要不進行極端的設置、故意對外公開硬碟中的內容,就不會出現這種情況。
但實際上,在Windows中,即便管理員並非明確地起動某種服務、或者開放某個連接埠,也有可能發生這種情況。
net use m:xxx.xxx.xxx.xxxc$
●如果使用net命令,就能夠分配到共享資源。“C$”是C盤的共享名
在預設設置下,Windows會開放提供文件共享服務的TCP的139號連接埠。因此,在預設條件下起動文件共享服務后,系統就進入等待狀態。由此,機器就會始終處於被攻擊者訪問共享資源的危險境地。而共享資源則可以利用net命令輕松地進行分配。盡管C盤如果沒有管理員權限就無法共享,但如果不經意地將 Guest帳號設置為有效以后,就能夠訪問C盤,這樣一來就非常輕松地破坏硬碟。而且,今后也有可能發現其它利用文件共享服務發動攻擊的嚴重安全漏洞。
安全對策的基本原則是關閉不需要的服務。如果不起動服務,即便外部發來連接請求,機器也不會作出響應。要做到這一步,電腦管理員就必須充分了解哪些服務是必須的,以及目前實際上起動了哪些服務。
但是,在Windows中,在預設條件下會起動很多服務,而且很多時候各服務的作用也不容易搞清楚。而很多管理員不僅認識不到連接埠開放的危險性,而且在不了解服務的作用和必要性的情況下就會直接連接因特網.
應該注意的5個連接埠
那麼,實際上在Windows預設條件下所開放的連接埠有哪些呢?在安裝了Windows系統后,對在預設條件下開放的連接埠進行了一次調查。調查中使用了免費連接埠掃瞄工具“Nmap”(http://www.insecure.org/nmap/)。
在幾乎所有的Windows中所開放的連接埠包括135、137、138和139。此外,在2000、XP和.NET Server中445連接埠也是開放的。Windows在預設條件下開放的眾所周知的連接埠就是這5個
這些到底是不是真正必要的服務呢?要想下結論,就必須充分了解這些連接埠各自的作用。雖說在預設條件下是開放的,但如果保持這種預設設置不變,就會在無意識的情況下受到非法訪問。因此,應該盡可能關閉不需要的服務。無論如何也不能停止的服務必須使用過濾軟體,確保能夠防止外部訪問.
下面對幾乎所有的Windows在預設條件下開放的最具代表性的5個連接埠即135、137、138、139和445等各自的作用作一詳細介紹。了解它們的作用后,就能夠推測出開放連接埠后可能存在哪些危險,從而就可以方便地制定相應的對策。
利用工具驗證到的135連接埠的危險性
雖說大家都說非常危險,但即難以了解其用途,又無法實際感受到其危險性的代表性連接埠就是135號。但是2002年7月能夠讓人認識到其危險性的工具亮相了,這就是“IE‘en”。
該工具是由提供安全相關技術資訊和工具類軟體的“SecurityFriday.com”公司(http://www.securityfriday.com)在網上公開提供的。其目的是以簡單明了的形式驗證135連接埠的危險性,呼吁使用者加強安全設置。不過,由於該工具的威力非常大,因此日本趨勢科技已經將該工具的特征代碼追加到了病毒定義庫文件中。如果在安裝了該公司的病毒掃瞄軟體的電腦中安裝IE‘en,就有可能將其視為病毒。
可以看到SSL的內容
IE‘en是一種遠程操作IE瀏覽器的工具。不僅可以從連接到網絡上的其他電腦上正在運行的IE瀏覽器中取得資訊,而且還可以對瀏覽器本身進行操作。具體而言,就是可以得到正在運行的IE瀏覽器的視窗一覽表、各視窗所顯示的Web站台的URL及Cookie,以及在檢索站台中輸入的檢索關鍵詞等資訊。
該工具所展示的最恐怖的情況是,在非加密狀態下可以看到本應受到SSL保護的資料。所以可以由此獲取加密前或者還原后的資料。如果使用IE‘en,甚至能夠直接看到比如在網絡銀行等輸入的銀行現金卡密碼等資訊。
IE‘en使用的是Windows NT4.0/2000/XP標準集成的分布式對象技術DCOM(分布式組件對象模塊)。使用DCOM可以遠程操作其他電腦中的DCOM應用程序。該技術使用的是用於調用其他電腦所具有的函數的RPC(Remote Procedure Call,遠程過程調用)功能。而這個RPC使用的就是135連接埠。
利用RPC功能進行通信時,就會向對方電腦的135連接埠詢問可以使用哪個連接埠進行通信。這樣,對方的電腦就會告知可以使用的連接埠號。實際的通信將使用這個連接埠來進行。135連接埠起的是動態地決定實際的RPC通信所使用的連接埠的連接埠映射作用。
如果是利用DCOM技術開發的應用程序,都可以像IE瀏覽器那樣進行操作。比如,連接正在利用Excel工作的其他電腦,獲取單元格中輸入的值,或者對這個值本身進行編輯並非不可能的事情。
不過,要想利用該方法操縱他人的電腦,就必須知道該機的IP地址和注冊名以及密碼。因此,通過因特網而受到第三者的攻擊的可能性非常低。而危險性最高的是公司內部環境。尤其是客戶端更為危險。這是因為在大多情況下不僅可以輕而易舉地得到他人的IP地址和注冊名,而且密碼的管理也不是很嚴格。學校以及網吧等多台電腦採用相同設置的場合也需加以注意。
在公司內部環境中務必將DCOM設置為無效回避這種危險的最好辦法是關閉RPC服務。在“控制面板”的“管理工具”中選擇“服務”,在“服務”視窗中打開“Remote Procedure Call”屬性。在屬性視窗中將啟動類型設置為“已禁用”,自下次起動開始RPC就將不再啟動(要想將其設置為有效,在注冊表編輯器中將 “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs” 的“Start”的值由0x04變成0x02后,重新起動機器即可)。不過,進行這種設置后,將會給Windows的運行帶來很大的影響。比如 Windows XP Professional,從登錄到顯示桌面畫面,就要等待相當長的時間。這是因為Windows的很多服務都依賴於RPC,而這些服務在將RPC設置為無效后將無法正常起動。由於這樣做弊端非常大,因此一般來說,不能關閉RPC服務。
那麼接下來要考慮的對策是資訊包過濾。但是這同樣也會給Windows的運行帶來各種影響。比如,如果在客戶端關閉135連接埠,就無法使用 Outlook連接Exchange Server。因為管理分布式處理的MSDTC、負責應用程序之間的資訊交換的MSMQ以及動態地向連接網絡的電腦分配地址的DHCP等服務也都使用這個連接埠。
精通Windows網絡的高橋基信表示:“在Windows服務中,有很多服務需要使用RPC。另外,Windows網絡並不是設想在客戶端與服務器之間存在防火?的狀態而組建的。因此公司內部網絡環境中使用過濾功能時,應該在充分驗證后加以實施”。也就是說,在公司內部環境中不僅是客戶端,即便是服務器也無法關閉135連接埠。服務器方面,為了使活動目錄和主域實現同步,就要使用135連接埠。
但是卻有辦法只將DCOM設置為無效。這就是利用 Windows NT/2000/XP標準集成的“dcomcnfg.exe”工具。從DOS命令中運行該工具以后,打開分布式COM配置屬性視窗,選擇“預設屬性”頁標,取消“在這台電腦上啟用分布式COM”選項即可(圖3)。在公司內部不使用DCOM,並且不想讓其他電腦操作自己電腦COM的時候,就應該採用這種設置。
如果是客戶端,也有辦法禁止遠程登錄電腦。依次選擇“控制面板”、“管理工具”和“本地安全策略”,打開本地安全設置視窗,選擇本地策略中的使用者權利指派,然后利用該項下的“拒絕從網絡訪問這台電腦”,指定拒絕訪問的對象。如果想拒絕所有的訪問,最好指定為“Everyone”。
公開服務器應該關閉135連接埠
公開於因特網上的服務器基本上不使用RPC。如前所述,盡管危險性比公司內部環境低,但只要不運行使用DCOM的特定應用程序(只要不是必須的服務),就應該關閉135連接埠。比如只是作為Web服務器、信件或DNS服務器來使用的話,即便關閉135連接埠,也不會出現任何問題。
不過需要通過因特網來使用DCOM應用程序時,就不能關閉該連接埠。但需要採取嚴格管理密碼的措施。
“話匣子”連接埠137和138
具體而言,就是說通過137連接埠除了該機的電腦名和注冊使用者名以外,還可以得到該機是否為主域控制器和主瀏覽器、是否作為文件服務器使用、IIS和 Samba是否正在運行以及Lotus Notes是否正在運行等資訊。據SecurityFriday.com公司的Michiharu Arimoto介紹:“除了電腦名以外,還可以準確地了解IIS、主域控制器、主域瀏覽器以及文件服務器等相關資訊。雖說不是百分之百,但有時還能夠得到其他資訊”。
也就是說,只要您想獲得這些資訊,只需向這台個人電腦的137連接埠送出一個請求即可。只要知道IP地址,就可以輕松做到這一點。不只是公司內部網絡,還可以通過因特網得到這樣的資訊。
對於攻擊者來說,這簡直太方便了,可以很容易地了解目標電腦的作用及網絡的結構。隨意地泄漏這樣的資訊,就好象是很友好地告訴攻擊者應該如何來攻擊自己的電腦。比如,如果知道IIS服務正在運行,就可以輕松地了解這台電腦上已經起動的服務。攻擊者根本不必特意地通過連接埠掃瞄來尋找可以下手入侵的連接埠。
另外,如果捕捉到正在利用137連接埠進行通信的資訊包,還有可能得到目標主電腦的起動和關閉時間。這是因為Windows起動或關閉時會由137連接埠送出特定的資訊包。如果掌握了目標主電腦的起動時間,就可以非常輕松地使用上一次所講的IE‘en等軟體通過135連接埠操作對方的DCOM。
使用137連接埠,管理電腦名
137連接埠為什麼會把這種資訊包泄漏到網絡上呢?這是因為,在Windows網絡通信協議--“NetBIOS over TCP/IP(NBT)”的電腦名管理功能中使用的是137連接埠。
電腦名管理是指Windows網絡中的電腦通過用於相互識別的名字--NetBIOS名,獲取實際的IP地址的功能。可以用兩種方法使用137連接埠。
一種方法是,位於同一組中的電腦之間利用廣播功能進行電腦名管理。電腦在起動時或者連接網絡時,會向位於同組中的所有電腦詢問有沒有正在使用與自己相同的NetBIOS名的電腦。每台收到詢問的電腦如果使用了與自己相同的NetBIOS名,就會送出通知資訊包。這些通信是利用137連接埠進行的。
另一種方法是利用WINS(Windows因特網名稱服務)管理電腦名。被稱為WINS服務器的電腦有一個IP地址和NetBIOS名的對照表。WINS客戶端在系統起動時或連接網絡時會將自己的NetBIOS名與IP地址送出給WINS服務器。與其他電腦通信時,會向WINS服務器送出NetBIOS名,詢問IP地址。這種方法也使用137連接埠。
如上所述,為了得到通信對象的IP地址,137連接埠就要交換很多資訊包。在這些資訊包中,包括有如表3所示的很多資訊。利用廣播管理電腦名時,會向所有電腦送出這些資訊。如果使用NBT,就會在使用者沒有查覺的情況下,由電腦本身就會向外部散布自己的詳細資訊。
138連接埠用於瀏覽
而138連接埠也和137連接埠一樣會向外部送出自己的資訊。盡管資訊量沒有137連接埠那麼多,但其特點是會被別人得到Windows的版本資訊。比如,會泄漏Windows版本是Windows 2000 Server。
138連接埠提供NetBIOS的瀏覽功能。該功能用於顯示連接於網絡中的電腦一覽表。比如,在Windows2000中由“網絡鄰居”中選擇“整個網絡”后,就會完整地顯示連接於網絡中的電腦。
該功能使用的是與上面所講的電腦名管理不同的運行機制。在瀏覽功能中,被稱為主瀏覽器的電腦管理著連接於網絡中的電腦一覽表的瀏覽列表。每台電腦在起動時或連接網絡時利用138連接埠廣播自己的NetBIOS名。收到NetBIOS名的主瀏覽器會將這台電腦追加到瀏覽列表中。需要顯示一覽表時,就廣播一覽表顯示請求。收到請求的主游覽器會送出瀏覽列表。關閉電腦時,機器會通知主瀏覽器,以便讓主瀏覽器將自己的NetBIOS名從列表中刪除掉。這些資訊的交換使用的是138連接埠。由於這里也會進行廣播,因此就會將自己的電腦資訊送出給同組中的所有電腦。
公開服務器應關閉NetBIOS
NetBIOS服務使用了137和138連接埠的向外部送出自己資訊的功能。一般情況下,這是一種在連接在因特網上的公開服務器不需要的服務。因為NetBIOS主要用於Windows網絡中。因此,公開服務器應該停止這種服務。
而對於在公司內部網絡環境中構築Windows網絡的電腦來說,NetBIOS則是必要的服務。如要停止NetBIOS,反過來就必須放棄Windows網絡的方便性。
不過,如果是Windows 2000以上的版本,不使用NetBIOS也能夠管理電腦名(詳情后述)。因此如果是全部由Windows 2000以上的個人電腦構築而成的網絡,就可以停止NBT。雖說如此,此時方便性就會降低,比如,無法顯示用於尋找文件共享對象的資訊。
要想停止NetBIOS服務,首先由控制面板中選擇目前正在使用的網絡連接,在屬性視窗中查看“Internet協議(TCP/IP)”的屬性。在“常規”頁標中單擊“高級”按鈕,在“WINS”頁標中選擇“禁用TCP/IP上的NetBIOS(S)”即可。這樣,就可以關閉137、138以及后面將要講到的139連接埠。
在此需要注意一點。NetBEUI協議如果為有效,NetBIOS服務將會繼續起作用。在Windows 95中,NetBIOS是在預設條件下安裝的。在更高的Windows版本中,如果選擇也可以安裝。所以不僅要停止NBT,還應該確認NetBEUI是否在起作用。如果使用NetBEUI,即便關閉137連接埠,也仍有可能向外部泄漏表3所示的資訊
139和445連接埠是危險的代名詞
連接於微軟網絡上的電腦之間使用137和138連接埠取得IP地址。然后進行文件共享和印表機共享等實際通信。通信過程是通過SMB(服務器資訊塊)協議實現的。這里使用的是139和445連接埠。
Windows 2000以前版本的Windows使用NetBIOS協議解決各電腦名的問題。通過向WINS服務器送出通信對象的NetBIOS名,取得IP地址。而 Windows以后的版本所採用的CIFS則利用DNS解決電腦的命名問題。根據DNS服務器中的名字列表資訊,尋找需要通信的對象。如果順利地得到對象的IP地址,就可以訪問共享資源
在 SMB通信中,首先使用上述的電腦名解釋功能,取得通信對象的IP地址,然后向通信對象發出開始通信的請求。如果對方充許進行通信,就會確立會話層(Session)。並使用它向對方送出使用者名和密碼資訊,進行認證。如果認證成功,就可以訪問對方的共享文件。在這些一連串的通信中使用的就是139 連接埠。
Windows 2000和XP除此之外還使用445連接埠。文件共享功能本身與139連接埠相同,但該連接埠使用的是與SMB不同的協議。這就是在Windows 2000中最新使用的CIFS(通用因特網文件系統)協議。
CIFS和SMB解決電腦名的方法不同。SMB使用NetBIOS名的廣播和WINS解決電腦名,而CIFS則使用DNS
因此,在文件服務器和打印服務器使用Windows的公司內部網絡環境中,就無法關閉139和445連接埠。很多情況下,文件共享和印表機共享在普通的業務中是不可缺少的功能。而客戶端如果自身不公開文件,就可以關閉這兩個連接埠。
假如是僅2000版本以后的Windows構成的網絡,就可以關閉139連接埠。這是因為如前所述,該網絡只用445連接埠就能夠進行文件共享。由於在解決電腦名過程中使用DNS,所以也可以關閉137和138連接埠。不過,在目前情況下,基本上所有的網絡系統都還在混合使用2000以前的 Windows版本。在混合網絡環境中由於必須使用139連接埠通過SMB協議進行通信,因此就無法關閉139連接埠。另外,瀏覽時還需要137~139 連接埠。
公開服務器絕對應該關閉這些連接埠
在因特網上公開的服務器要另當別論。公開服務器打開139和445連接埠是一件非常危險的事情。就像本文開頭所說的那樣,如果有Guest帳號,而且沒有設置任何密碼時,就能夠被人通過因特網輕松地盜看文件。如果給該帳號設置了寫入權限,甚至可以輕松地篡改文件。也就是說在對外部公開的服務器中不應該打開這些連接埠。通過因特網使用文件服務器就等同自殺行為,因此一定要關閉139和445連接埠。對於利用ADSL永久性接入因特網的客戶端機器可以說也是如此
要關閉139連接埠,與137和138連接埠一樣,可以選擇“將NetBIOS over TCP/IP設置為無效”。而要想關閉445連接埠則必須進行其他工作。利用注冊表編輯器在“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters”中追加名為“SMBDeviceEnabled”的DWORD值,並將其設置為0,然后重新起動機器。
.NET中安全策略改變了嗎?
就像在此之前所講的那樣,直接在預設設置條件下使用現有的Windows將會出現各種各樣的危險。這是因為Windows是為了讓初學者不需進行復雜設置就可以使用而開發的。
比如Windows 2000 Server,在安裝該系統時,會自動安裝IIS。而且只需起動個人電腦,IIS服務就會啟動。雖然Windows NT 4.0 Server可以選擇是否安裝IIS,但在預設條件下該服務的復選框是有效的。與2000一樣,在起動電腦時,IIS服務也會自動起動。
而Linux則在很多方面都採取的是完全不同的思路。比如,RedHat Linux 7.3在安裝過程中必須讓使用者設置防火?。由於防火?有“高”、“中”、“低”三種等級,因此所攔截的資訊包也各不相同。如果選擇“高”將關閉 53(DNS)、67和68(DHCP)以外的全部連接埠,如果選擇“中”,盡管會打開1024以上的連接埠,但在一般人熟知的連接埠中打開的只有53、 67和68三個。
安裝應用程序時的作法也不同。RedHat Linux 7.3在安裝時可選擇“工作站”、“服務器”和“桌面”三種類型。因此即使選擇“服務器”,如果使用者不選擇構築兼容Windows的文件服務器 “Samba”和Web服務器“Apache”等,就不會進行安裝。另外,即便安裝以后,也不會直接起動。如果使用者明確地啟動必要的服務后,沒有設置利用過濾軟體過濾資訊包,相應連接埠就不會打開。
如果只考慮方便性,Windows要更好一些。這是因為即便不進行復雜的設置,系統也能夠自動起動各種服務。但這樣一來,就甚至極有可能起動使用者不希望起動的服務,而且這些服務往往還是在使用者不知曉的情況下起動的。可以這樣說,如果希望安全地運行服務器,或者希望保護自己的客戶端個人電腦免受危險,那麼最好不要隨便安裝和設置。
美國微軟也提出了“值得依賴的計算”(Trustworthy Computing)的計划,並計划利用定於2003年初開始上市的“Windows .NET Server”實現“預設安全”。與Windows 2000不同的是,將不再標準安裝IIS服務。即便增加了IIS組件,OS起動時該服務也不會自動運行。
不過,如果只要使用測試版,135、137、138、139和445連接埠在預設條件下就是打開的。另外,從Windows XP開始導入的“因特網連接防火?(ICF)”的使用在預設條件下也是無效的。要想在預設設置下實現與Linux相同等級的高安全性,可以說最穩妥的方法是將ICF設置為有效,然后使用者再根據自己的需要,選擇起動的服務。
通過因特網,服務器硬碟中的內容全部都可以看見。而且還能夠非常輕松地篡改和刪除其中的資料。也許讀者會想:哪里有有設置如此笨拙的服務器?!很多人覺得只要不進行極端的設置、故意對外公開硬碟中的內容,就不會出現這種情況。
但實際上,在Windows中,即便管理員並非明確地起動某種服務、或者開放某個連接埠,也有可能發生這種情況。
net use m:xxx.xxx.xxx.xxxc$
●如果使用net命令,就能夠分配到共享資源。“C$”是C盤的共享名
在預設設置下,Windows會開放提供文件共享服務的TCP的139號連接埠。因此,在預設條件下起動文件共享服務后,系統就進入等待狀態。由此,機器就會始終處於被攻擊者訪問共享資源的危險境地。而共享資源則可以利用net命令輕松地進行分配。盡管C盤如果沒有管理員權限就無法共享,但如果不經意地將 Guest帳號設置為有效以后,就能夠訪問C盤,這樣一來就非常輕松地破坏硬碟。而且,今后也有可能發現其它利用文件共享服務發動攻擊的嚴重安全漏洞。
安全對策的基本原則是關閉不需要的服務。如果不起動服務,即便外部發來連接請求,機器也不會作出響應。要做到這一步,電腦管理員就必須充分了解哪些服務是必須的,以及目前實際上起動了哪些服務。
但是,在Windows中,在預設條件下會起動很多服務,而且很多時候各服務的作用也不容易搞清楚。而很多管理員不僅認識不到連接埠開放的危險性,而且在不了解服務的作用和必要性的情況下就會直接連接因特網.
應該注意的5個連接埠
那麼,實際上在Windows預設條件下所開放的連接埠有哪些呢?在安裝了Windows系統后,對在預設條件下開放的連接埠進行了一次調查。調查中使用了免費連接埠掃瞄工具“Nmap”(http://www.insecure.org/nmap/)。
在幾乎所有的Windows中所開放的連接埠包括135、137、138和139。此外,在2000、XP和.NET Server中445連接埠也是開放的。Windows在預設條件下開放的眾所周知的連接埠就是這5個
這些到底是不是真正必要的服務呢?要想下結論,就必須充分了解這些連接埠各自的作用。雖說在預設條件下是開放的,但如果保持這種預設設置不變,就會在無意識的情況下受到非法訪問。因此,應該盡可能關閉不需要的服務。無論如何也不能停止的服務必須使用過濾軟體,確保能夠防止外部訪問.
下面對幾乎所有的Windows在預設條件下開放的最具代表性的5個連接埠即135、137、138、139和445等各自的作用作一詳細介紹。了解它們的作用后,就能夠推測出開放連接埠后可能存在哪些危險,從而就可以方便地制定相應的對策。
利用工具驗證到的135連接埠的危險性
雖說大家都說非常危險,但即難以了解其用途,又無法實際感受到其危險性的代表性連接埠就是135號。但是2002年7月能夠讓人認識到其危險性的工具亮相了,這就是“IE‘en”。
該工具是由提供安全相關技術資訊和工具類軟體的“SecurityFriday.com”公司(http://www.securityfriday.com)在網上公開提供的。其目的是以簡單明了的形式驗證135連接埠的危險性,呼吁使用者加強安全設置。不過,由於該工具的威力非常大,因此日本趨勢科技已經將該工具的特征代碼追加到了病毒定義庫文件中。如果在安裝了該公司的病毒掃瞄軟體的電腦中安裝IE‘en,就有可能將其視為病毒。
可以看到SSL的內容
IE‘en是一種遠程操作IE瀏覽器的工具。不僅可以從連接到網絡上的其他電腦上正在運行的IE瀏覽器中取得資訊,而且還可以對瀏覽器本身進行操作。具體而言,就是可以得到正在運行的IE瀏覽器的視窗一覽表、各視窗所顯示的Web站台的URL及Cookie,以及在檢索站台中輸入的檢索關鍵詞等資訊。
該工具所展示的最恐怖的情況是,在非加密狀態下可以看到本應受到SSL保護的資料。所以可以由此獲取加密前或者還原后的資料。如果使用IE‘en,甚至能夠直接看到比如在網絡銀行等輸入的銀行現金卡密碼等資訊。
IE‘en使用的是Windows NT4.0/2000/XP標準集成的分布式對象技術DCOM(分布式組件對象模塊)。使用DCOM可以遠程操作其他電腦中的DCOM應用程序。該技術使用的是用於調用其他電腦所具有的函數的RPC(Remote Procedure Call,遠程過程調用)功能。而這個RPC使用的就是135連接埠。
利用RPC功能進行通信時,就會向對方電腦的135連接埠詢問可以使用哪個連接埠進行通信。這樣,對方的電腦就會告知可以使用的連接埠號。實際的通信將使用這個連接埠來進行。135連接埠起的是動態地決定實際的RPC通信所使用的連接埠的連接埠映射作用。
如果是利用DCOM技術開發的應用程序,都可以像IE瀏覽器那樣進行操作。比如,連接正在利用Excel工作的其他電腦,獲取單元格中輸入的值,或者對這個值本身進行編輯並非不可能的事情。
不過,要想利用該方法操縱他人的電腦,就必須知道該機的IP地址和注冊名以及密碼。因此,通過因特網而受到第三者的攻擊的可能性非常低。而危險性最高的是公司內部環境。尤其是客戶端更為危險。這是因為在大多情況下不僅可以輕而易舉地得到他人的IP地址和注冊名,而且密碼的管理也不是很嚴格。學校以及網吧等多台電腦採用相同設置的場合也需加以注意。
在公司內部環境中務必將DCOM設置為無效回避這種危險的最好辦法是關閉RPC服務。在“控制面板”的“管理工具”中選擇“服務”,在“服務”視窗中打開“Remote Procedure Call”屬性。在屬性視窗中將啟動類型設置為“已禁用”,自下次起動開始RPC就將不再啟動(要想將其設置為有效,在注冊表編輯器中將 “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs” 的“Start”的值由0x04變成0x02后,重新起動機器即可)。不過,進行這種設置后,將會給Windows的運行帶來很大的影響。比如 Windows XP Professional,從登錄到顯示桌面畫面,就要等待相當長的時間。這是因為Windows的很多服務都依賴於RPC,而這些服務在將RPC設置為無效后將無法正常起動。由於這樣做弊端非常大,因此一般來說,不能關閉RPC服務。
那麼接下來要考慮的對策是資訊包過濾。但是這同樣也會給Windows的運行帶來各種影響。比如,如果在客戶端關閉135連接埠,就無法使用 Outlook連接Exchange Server。因為管理分布式處理的MSDTC、負責應用程序之間的資訊交換的MSMQ以及動態地向連接網絡的電腦分配地址的DHCP等服務也都使用這個連接埠。
精通Windows網絡的高橋基信表示:“在Windows服務中,有很多服務需要使用RPC。另外,Windows網絡並不是設想在客戶端與服務器之間存在防火?的狀態而組建的。因此公司內部網絡環境中使用過濾功能時,應該在充分驗證后加以實施”。也就是說,在公司內部環境中不僅是客戶端,即便是服務器也無法關閉135連接埠。服務器方面,為了使活動目錄和主域實現同步,就要使用135連接埠。
但是卻有辦法只將DCOM設置為無效。這就是利用 Windows NT/2000/XP標準集成的“dcomcnfg.exe”工具。從DOS命令中運行該工具以后,打開分布式COM配置屬性視窗,選擇“預設屬性”頁標,取消“在這台電腦上啟用分布式COM”選項即可(圖3)。在公司內部不使用DCOM,並且不想讓其他電腦操作自己電腦COM的時候,就應該採用這種設置。
如果是客戶端,也有辦法禁止遠程登錄電腦。依次選擇“控制面板”、“管理工具”和“本地安全策略”,打開本地安全設置視窗,選擇本地策略中的使用者權利指派,然后利用該項下的“拒絕從網絡訪問這台電腦”,指定拒絕訪問的對象。如果想拒絕所有的訪問,最好指定為“Everyone”。
公開服務器應該關閉135連接埠
公開於因特網上的服務器基本上不使用RPC。如前所述,盡管危險性比公司內部環境低,但只要不運行使用DCOM的特定應用程序(只要不是必須的服務),就應該關閉135連接埠。比如只是作為Web服務器、信件或DNS服務器來使用的話,即便關閉135連接埠,也不會出現任何問題。
不過需要通過因特網來使用DCOM應用程序時,就不能關閉該連接埠。但需要採取嚴格管理密碼的措施。
“話匣子”連接埠137和138
具體而言,就是說通過137連接埠除了該機的電腦名和注冊使用者名以外,還可以得到該機是否為主域控制器和主瀏覽器、是否作為文件服務器使用、IIS和 Samba是否正在運行以及Lotus Notes是否正在運行等資訊。據SecurityFriday.com公司的Michiharu Arimoto介紹:“除了電腦名以外,還可以準確地了解IIS、主域控制器、主域瀏覽器以及文件服務器等相關資訊。雖說不是百分之百,但有時還能夠得到其他資訊”。
也就是說,只要您想獲得這些資訊,只需向這台個人電腦的137連接埠送出一個請求即可。只要知道IP地址,就可以輕松做到這一點。不只是公司內部網絡,還可以通過因特網得到這樣的資訊。
對於攻擊者來說,這簡直太方便了,可以很容易地了解目標電腦的作用及網絡的結構。隨意地泄漏這樣的資訊,就好象是很友好地告訴攻擊者應該如何來攻擊自己的電腦。比如,如果知道IIS服務正在運行,就可以輕松地了解這台電腦上已經起動的服務。攻擊者根本不必特意地通過連接埠掃瞄來尋找可以下手入侵的連接埠。
另外,如果捕捉到正在利用137連接埠進行通信的資訊包,還有可能得到目標主電腦的起動和關閉時間。這是因為Windows起動或關閉時會由137連接埠送出特定的資訊包。如果掌握了目標主電腦的起動時間,就可以非常輕松地使用上一次所講的IE‘en等軟體通過135連接埠操作對方的DCOM。
使用137連接埠,管理電腦名
137連接埠為什麼會把這種資訊包泄漏到網絡上呢?這是因為,在Windows網絡通信協議--“NetBIOS over TCP/IP(NBT)”的電腦名管理功能中使用的是137連接埠。
電腦名管理是指Windows網絡中的電腦通過用於相互識別的名字--NetBIOS名,獲取實際的IP地址的功能。可以用兩種方法使用137連接埠。
一種方法是,位於同一組中的電腦之間利用廣播功能進行電腦名管理。電腦在起動時或者連接網絡時,會向位於同組中的所有電腦詢問有沒有正在使用與自己相同的NetBIOS名的電腦。每台收到詢問的電腦如果使用了與自己相同的NetBIOS名,就會送出通知資訊包。這些通信是利用137連接埠進行的。
另一種方法是利用WINS(Windows因特網名稱服務)管理電腦名。被稱為WINS服務器的電腦有一個IP地址和NetBIOS名的對照表。WINS客戶端在系統起動時或連接網絡時會將自己的NetBIOS名與IP地址送出給WINS服務器。與其他電腦通信時,會向WINS服務器送出NetBIOS名,詢問IP地址。這種方法也使用137連接埠。
如上所述,為了得到通信對象的IP地址,137連接埠就要交換很多資訊包。在這些資訊包中,包括有如表3所示的很多資訊。利用廣播管理電腦名時,會向所有電腦送出這些資訊。如果使用NBT,就會在使用者沒有查覺的情況下,由電腦本身就會向外部散布自己的詳細資訊。
138連接埠用於瀏覽
而138連接埠也和137連接埠一樣會向外部送出自己的資訊。盡管資訊量沒有137連接埠那麼多,但其特點是會被別人得到Windows的版本資訊。比如,會泄漏Windows版本是Windows 2000 Server。
138連接埠提供NetBIOS的瀏覽功能。該功能用於顯示連接於網絡中的電腦一覽表。比如,在Windows2000中由“網絡鄰居”中選擇“整個網絡”后,就會完整地顯示連接於網絡中的電腦。
該功能使用的是與上面所講的電腦名管理不同的運行機制。在瀏覽功能中,被稱為主瀏覽器的電腦管理著連接於網絡中的電腦一覽表的瀏覽列表。每台電腦在起動時或連接網絡時利用138連接埠廣播自己的NetBIOS名。收到NetBIOS名的主瀏覽器會將這台電腦追加到瀏覽列表中。需要顯示一覽表時,就廣播一覽表顯示請求。收到請求的主游覽器會送出瀏覽列表。關閉電腦時,機器會通知主瀏覽器,以便讓主瀏覽器將自己的NetBIOS名從列表中刪除掉。這些資訊的交換使用的是138連接埠。由於這里也會進行廣播,因此就會將自己的電腦資訊送出給同組中的所有電腦。
公開服務器應關閉NetBIOS
NetBIOS服務使用了137和138連接埠的向外部送出自己資訊的功能。一般情況下,這是一種在連接在因特網上的公開服務器不需要的服務。因為NetBIOS主要用於Windows網絡中。因此,公開服務器應該停止這種服務。
而對於在公司內部網絡環境中構築Windows網絡的電腦來說,NetBIOS則是必要的服務。如要停止NetBIOS,反過來就必須放棄Windows網絡的方便性。
不過,如果是Windows 2000以上的版本,不使用NetBIOS也能夠管理電腦名(詳情后述)。因此如果是全部由Windows 2000以上的個人電腦構築而成的網絡,就可以停止NBT。雖說如此,此時方便性就會降低,比如,無法顯示用於尋找文件共享對象的資訊。
要想停止NetBIOS服務,首先由控制面板中選擇目前正在使用的網絡連接,在屬性視窗中查看“Internet協議(TCP/IP)”的屬性。在“常規”頁標中單擊“高級”按鈕,在“WINS”頁標中選擇“禁用TCP/IP上的NetBIOS(S)”即可。這樣,就可以關閉137、138以及后面將要講到的139連接埠。
在此需要注意一點。NetBEUI協議如果為有效,NetBIOS服務將會繼續起作用。在Windows 95中,NetBIOS是在預設條件下安裝的。在更高的Windows版本中,如果選擇也可以安裝。所以不僅要停止NBT,還應該確認NetBEUI是否在起作用。如果使用NetBEUI,即便關閉137連接埠,也仍有可能向外部泄漏表3所示的資訊
139和445連接埠是危險的代名詞
連接於微軟網絡上的電腦之間使用137和138連接埠取得IP地址。然后進行文件共享和印表機共享等實際通信。通信過程是通過SMB(服務器資訊塊)協議實現的。這里使用的是139和445連接埠。
Windows 2000以前版本的Windows使用NetBIOS協議解決各電腦名的問題。通過向WINS服務器送出通信對象的NetBIOS名,取得IP地址。而 Windows以后的版本所採用的CIFS則利用DNS解決電腦的命名問題。根據DNS服務器中的名字列表資訊,尋找需要通信的對象。如果順利地得到對象的IP地址,就可以訪問共享資源
在 SMB通信中,首先使用上述的電腦名解釋功能,取得通信對象的IP地址,然后向通信對象發出開始通信的請求。如果對方充許進行通信,就會確立會話層(Session)。並使用它向對方送出使用者名和密碼資訊,進行認證。如果認證成功,就可以訪問對方的共享文件。在這些一連串的通信中使用的就是139 連接埠。
Windows 2000和XP除此之外還使用445連接埠。文件共享功能本身與139連接埠相同,但該連接埠使用的是與SMB不同的協議。這就是在Windows 2000中最新使用的CIFS(通用因特網文件系統)協議。
CIFS和SMB解決電腦名的方法不同。SMB使用NetBIOS名的廣播和WINS解決電腦名,而CIFS則使用DNS
因此,在文件服務器和打印服務器使用Windows的公司內部網絡環境中,就無法關閉139和445連接埠。很多情況下,文件共享和印表機共享在普通的業務中是不可缺少的功能。而客戶端如果自身不公開文件,就可以關閉這兩個連接埠。
假如是僅2000版本以后的Windows構成的網絡,就可以關閉139連接埠。這是因為如前所述,該網絡只用445連接埠就能夠進行文件共享。由於在解決電腦名過程中使用DNS,所以也可以關閉137和138連接埠。不過,在目前情況下,基本上所有的網絡系統都還在混合使用2000以前的 Windows版本。在混合網絡環境中由於必須使用139連接埠通過SMB協議進行通信,因此就無法關閉139連接埠。另外,瀏覽時還需要137~139 連接埠。
公開服務器絕對應該關閉這些連接埠
在因特網上公開的服務器要另當別論。公開服務器打開139和445連接埠是一件非常危險的事情。就像本文開頭所說的那樣,如果有Guest帳號,而且沒有設置任何密碼時,就能夠被人通過因特網輕松地盜看文件。如果給該帳號設置了寫入權限,甚至可以輕松地篡改文件。也就是說在對外部公開的服務器中不應該打開這些連接埠。通過因特網使用文件服務器就等同自殺行為,因此一定要關閉139和445連接埠。對於利用ADSL永久性接入因特網的客戶端機器可以說也是如此
要關閉139連接埠,與137和138連接埠一樣,可以選擇“將NetBIOS over TCP/IP設置為無效”。而要想關閉445連接埠則必須進行其他工作。利用注冊表編輯器在“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters”中追加名為“SMBDeviceEnabled”的DWORD值,並將其設置為0,然后重新起動機器。
.NET中安全策略改變了嗎?
就像在此之前所講的那樣,直接在預設設置條件下使用現有的Windows將會出現各種各樣的危險。這是因為Windows是為了讓初學者不需進行復雜設置就可以使用而開發的。
比如Windows 2000 Server,在安裝該系統時,會自動安裝IIS。而且只需起動個人電腦,IIS服務就會啟動。雖然Windows NT 4.0 Server可以選擇是否安裝IIS,但在預設條件下該服務的復選框是有效的。與2000一樣,在起動電腦時,IIS服務也會自動起動。
而Linux則在很多方面都採取的是完全不同的思路。比如,RedHat Linux 7.3在安裝過程中必須讓使用者設置防火?。由於防火?有“高”、“中”、“低”三種等級,因此所攔截的資訊包也各不相同。如果選擇“高”將關閉 53(DNS)、67和68(DHCP)以外的全部連接埠,如果選擇“中”,盡管會打開1024以上的連接埠,但在一般人熟知的連接埠中打開的只有53、 67和68三個。
安裝應用程序時的作法也不同。RedHat Linux 7.3在安裝時可選擇“工作站”、“服務器”和“桌面”三種類型。因此即使選擇“服務器”,如果使用者不選擇構築兼容Windows的文件服務器 “Samba”和Web服務器“Apache”等,就不會進行安裝。另外,即便安裝以后,也不會直接起動。如果使用者明確地啟動必要的服務后,沒有設置利用過濾軟體過濾資訊包,相應連接埠就不會打開。
如果只考慮方便性,Windows要更好一些。這是因為即便不進行復雜的設置,系統也能夠自動起動各種服務。但這樣一來,就甚至極有可能起動使用者不希望起動的服務,而且這些服務往往還是在使用者不知曉的情況下起動的。可以這樣說,如果希望安全地運行服務器,或者希望保護自己的客戶端個人電腦免受危險,那麼最好不要隨便安裝和設置。
美國微軟也提出了“值得依賴的計算”(Trustworthy Computing)的計划,並計划利用定於2003年初開始上市的“Windows .NET Server”實現“預設安全”。與Windows 2000不同的是,將不再標準安裝IIS服務。即便增加了IIS組件,OS起動時該服務也不會自動運行。
不過,如果只要使用測試版,135、137、138、139和445連接埠在預設條件下就是打開的。另外,從Windows XP開始導入的“因特網連接防火?(ICF)”的使用在預設條件下也是無效的。要想在預設設置下實現與Linux相同等級的高安全性,可以說最穩妥的方法是將ICF設置為有效,然后使用者再根據自己的需要,選擇起動的服務。
訂閱:
文章 (Atom)