Windows默認開放端口的安全對策

啊！上次啟動還正常的Windows系統，怎麼Word 、Excel、Powerpoint等文件突然無法正常運行、網頁無法正常瀏覽，或系統文件無法正常顯示、一些功能如“粘帖”等無法正常使用，甚至電腦自動反復重新啟動呢？

  是蠕蟲病毒在作怪！如典型的衝擊波（Worm.MSblast）等。一旦電腦染上這類病毒，某些系統端口就會被病毒佔用，輕者影響系統正常運行，嚴重的會破壞全部系統文件。舉不勝舉的病毒案例告訴我們，Windows默認開放的135、137、138、139和445五個端口的漏洞最容易被利用，如果不進行相應的設置，璉接因特網後就很容易遭受駭客攻擊。

  Windows默認開放135、137、138、139和445五個端口，主要是方便初級用戶操作，即不進行必要地設置就可以使用網路通信和各種共用服務。但這樣一來，用戶不希望啟動或用不著一些服務都會隨機啟動，璉接因特網後會在用戶不知曉的情況下洩露本機資訊。因此我們應盡可能的多了解一些這些端口的作用，權衡端口開放的利與弊，然後制定相應的安全對策。

  135端口在Windows默認的五個典型開放端口中，135用途最為複雜，也最容易引起自外部攻擊。若使用SecurityFriday公司開發的一款“IEen”軟體進行端口安全性驗證，就能清楚地看到這個端口開放是非常的危險的。

  IEen是一種遠程操作IE瀏覽器的工具。不僅可以獲得其他電腦IE瀏覽器中的資訊，而且還可以對瀏覽器本身進行操作。具體而言，就是可以得到正在運行的IE瀏覽器的窗口一覽表、各窗口所顯示的Web站點的URL及Cookie，以及在檢索站點中輸入的檢索關鍵詞等資訊。

  IEen使用的是Windows NT4.0/2000/XP標準集成的分佈式對象技術DCOM（分佈式組件對象模組），可以遠程操作其他電腦中的DCOM應用程式。該技術使用的是用於調用其他電腦所具有的函數的RPC（Remote Procedure Call，遠程過程調用）功能。

  這個RPC使用的就是135端口。RPC是 Windows 作業系統使用的一個遠程過程調用協議。RPC 提供了一種進程間的通信機制，通過這一機制，允許在某台電腦上運行的程式順暢地在遠程系統上執行代碼。協議本身源自OSF（開放式軟體基礎）RPC 協議，但增加了一些 Microsoft 特定的擴展 .由於使用 RPC 的程式不必了解支援通信的網路協議的情況，因此 RPC 提高了程式的互操作性。

  因為在 RPC 中發出請求的程式是客戶程式，而提供服務的程式是伺服器。利用RPC功能進行通信時，就會向對方電腦的135端口詢問可以使用哪個端口進行通信。這樣，對方的電腦就會告知可以使用的端口號。在非加密狀態下，使用IEen可以看到對方電腦的本應受到SSL保護的數據，甚至能夠直接看到比如在網路銀行等輸入的銀行現金卡密碼等資訊。所以也不可避免地暴露了漏洞。攻擊者能利用該漏洞在受影響的系統上以本地系統許可權運行代碼，執行任何操作，包括安裝程式，查看、更改或者刪除數據，或者建立系統管理員許可權的帳戶。針對這一漏洞的蠕蟲病毒有許多。早期的這些蠕蟲病毒只是攻擊此漏洞，造成遠端系統的崩潰，而去年8月爆發的“衝擊波”則會利用這一漏洞進行快速傳播，輕而易舉地控制他人的IP地址和註冊名，使更多的個人或公司系統遭殃。

  回避這種危險的最好辦法是關閉RPC服務。如不使用DCOM特定應用程式的Web伺服器、郵件或DNS伺服器等，即便關閉135端口，也不會出現任何問題。關閉RPC服務的方法是在“控制面板”的“管理工具”中選擇“服務”，在“服務”窗口中打開“Remote Procedure Call”屬性，在屬性窗口中將啟動類型設置為“已禁用”（圖01），重新啟動電腦，RPC就不再運行。也可打開註冊表編輯器，將“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\RpcSs”的“Start”的值由0x04變成0x02後，重新起動機器即生效。

  不過，關閉RPC服務後會給Windows的運行帶來很大的影響。因為Windows的很多服務都依賴於RPC，而這些服務在將RPC設置為無效後將無法正常起動。比如，如果客戶端關閉了135端口，就無法使用Outlook連接Exchange Server.因為管理分佈式處理的MSDTC、負責應用程式之間的資訊交換的MSMQ以及動態地向連接網路的電腦分配地址的DHCP等服務也都使用這個端口。同時， Windows 啟動的速度會變的非常慢。

  關閉RPC服務弊端非常大，一般不能輕易關閉。但為了避免遭受攻擊，網路客戶端卻可以禁止遠程登錄電腦。方法是依次選擇“控制面板”、“管理工具”和“本地安全策略”，打開本地安全設置窗口，選擇本地策略中的用戶權利指派，然後利用該項下的“拒絕從網路訪問這台電腦”，指定拒絕訪問的對象（圖02）。如果想拒絕所有的訪問，最好指定為“Everyone”（圖03）。

  在公司內部，如果不想讓其他電腦操作自己電腦，可以將DCOM設置為無效。方法是用DOS命令運行Windows NT/2000/XP標準集成的“dcomcnfg.exe”工具。從打開的分佈式COM配置屬性窗口中，選擇“默認屬性”頁標，取消“在這台電腦上啟用分佈式COM”選項即可。

  DCOM（分佈式對象模型）是一種能夠使軟體組件通過網路直接進行通信的協議。DCOM 以前叫做“網路 OLE”，它能夠跨越包括 Internet 協議（例如 HTTP）在內的多種網路傳輸。有關 DCOM 的詳細說明，可以從http://www.microsoft.com/com/tech/dcom.asp 查閱。

  137和138端口只需向對方Windows的137端口發送一個詢問連接狀態的資訊包，就可以得到該機的電腦名和註冊用戶名，該機是否為主域控制器和主瀏覽器、是否作為文件伺服器使用、IIS和Samba是否正在運行以及Lotus Notes是否正在運行等資訊。

  不只是公司內部網路，連接因特網的電腦也是如此。只要知道對方的IP地址，就可以向這臺電腦的137端口發送一個請求，獲得諸多資訊。如果捕捉到正在利用137端口進行通信的資訊包，還有可能得到目標主機的起動和關閉時間。這是因為Windows起動或關閉時會由137端口發送特定的資訊包。如果掌握了目標主機的起動時間，就可以非常輕鬆地使用上一次所講的IEen等軟體通過135端口操作對方的DCOM. 137端口為什麼會各種資訊包泄漏到網路上呢？這是因為，在Windows網路通信協議——“NetBIOS over TCP/IP（NBT）”的電腦名管理功能中使用的是137端口（電腦名管理是指Windows網路中的電腦通過用於相互識別的名字——NetBIOS名，獲取實際的IP地址的功能。）為了得到通信對象的IP地址，137端口就要交換很多資訊包。137端口資訊包泄漏主要有兩種途徑：一種途徑，位於同一組中的電腦之間利用廣播功能進行電腦名管理。電腦在起動時或者連接網路時，會向位於同組中的所有電腦詢問有沒有正在使用與自己相同的NetBIOS名的電腦。每台收到詢問的電腦如果使用了與自己相同的NetBIOS名，就會發送通知資訊包。這些通信是利用137端口進行的。

另一種途徑，利用WINS（Windows因特網名稱服務）管理電腦名。被稱為WINS伺服器的電腦有一個IP地址和NetBIOS名的對照表。WINS客戶端在系統起動時或連接網路時會將自己的NetBIOS名與IP地址發送給WINS伺服器。與其他電腦通信時，會向WINS伺服器發送NetBIOS名，詢問IP地址。這種方法也使用137端口。

  隨意地泄漏這樣的資訊，就好象是很友好地告訴攻擊者應該如何來攻擊自己的電腦。使惡意攻擊者根本不必特意地通過端口掃描來尋找，就可以下手入侵。比如，如果知道IIS服務正在運行，就可以輕鬆地了解這臺電腦上已經起動的服務。這對入侵者來說，惡意攻擊簡直太方便了。

  138端口提供NetBIOS的瀏覽功能。在該功能中，被稱為主瀏覽器的電腦管理著連接于網路中的電腦一覽表的瀏覽列表。比如，在Windows2000中，從“網上鄰居”選擇了“整個網路”後，就能清楚地看到連接網路的所有的鄰近電腦。

  138端口提供NetBIOS的瀏覽功能。該功能使用的是與137端口電腦名管理不同的運行機制，主要用來用於顯示連接于網路中的電腦一覽表。每台電腦在起動時或連接網路時都會利用138端口廣播自己的NetBIOS名，將自己的電腦資訊發送給同組中的所有電腦。 收到NetBIOS名的主瀏覽器會將這臺電腦追加到瀏覽列表中。需要顯示一覽表時就廣播一覽表顯示請求，收到請求的主遊覽器會發送瀏覽列表。關閉電腦時，機器會通知主瀏覽器，以便讓主瀏覽器將自己的NetBIOS名從列表中刪除掉。儘管138端口的資訊量沒有137端口那麼多，但也存在不容忽視的安全隱患。

  NetBIOS服務主要使用137和138端口的向外部發送自己資訊。NetBIOS主要用於Windows網路中，雖然Windows 2000以上的版本，不使用NetBIOS也能夠管理電腦名，完全可以停止NBT，但會降低Windows網路使用的方便性，如無法顯示用於尋找文件共用對象的資訊。這對於基於公司內部網路環境構築Windows網路的電腦來說，NetBIOS服務還是必要的。

  停止NetBIOS服務，首先由控制面板中選擇目前正在使用的網路連接，在屬性窗口中查看“Internet協議（TCP/IP）”的屬性。在“常規”頁標中單擊“高級”按鈕，在“WINS”頁標中選擇“禁用TCP/IP上的NetBIOS（S）”即可（圖04）。這樣，就可以關閉137、138以及後面將要講到的139端口。

  需要注意的一點。NetBEUI協議如果為有效，NetBIOS服務將會繼續起作用。在Windows 95中，NetBIOS是在默認條件下安裝的。在更高的Windows版本中，如果選擇也可以安裝。所以不僅要停止NBT，還應該確認NetBEUI是否在起作用。如果使用NetBEUI，即便關閉137端口，也仍有可能向外部泄漏資訊。

  139和445端口139和445端口的功能主要是，通過137和138端口獲取IP地址，實現文件共用和印表機共用等。

  139和445端口的通信過程是通過SMB（伺服器資訊塊）協議實現的。即根據DNS伺服器中的名字列表資訊，尋找需要通信的對象。如果順利地得到對象的IP地址，就可以訪問共用資源 .Windows 2000以前版本的Windows使用NetBIOS協議解決各電腦名的問題。通過向WINS伺服器發送通信對象的NetBIOS名，取得IP地址。而Windows以後的版本所採用的CIFS則利用DNS解決電腦的命名問題。

  在SMB通信中，首先要取得通信對象的IP地址，然後向通信對象發出開始通信的請求。如果對方充許進行通信，就會確立會話層（Session）。並使用它向對方發送用戶名和密碼資訊，進行認證。如果認證成功，就可以訪問對方的共用文件。在這些一連串的通信中使用的就是139端口。

  除此之外，Windows 2000和XP還使用445端口。文件共用功能本身與139端口相同，但該端口使用的是與SMB不同的協議。這就是在Windows 2000中最新使用的CIFS（通用因特網文件系統）協議。 CIFS和SMB解決電腦名的方法不同。SMB使用NetBIOS和WINS解決電腦名，而CIFS則使用DNS. 因此，在文件伺服器和列印伺服器使用Windows的公司內部網路環境中，就無法關閉139和445端口。

  在默認設置下，Windows會開放提供文件共用服務的TCP的139號端口。一旦文件共用服務起動，系統就會進入等待狀態。而共用資源則可以利用net命令輕鬆地進行分配。儘管C盤如果沒有管理員許可權就無法共用，但如果不經意地將Guest帳號設置為有效以後，攻擊者就能夠訪問C盤，非常輕鬆地破壞硬盤。如果客戶端使用2000以上的Windows版本構成的網路，自身不公開文件，就可以關閉這兩個端口。 這是因為如前所述，該網路只用445端口就能夠進行文件共用。由於在解決電腦名過程中使用DNS，所以也可以關閉137和138端口。不過，在目前情況下，基本上所有的網路系統都還在混合使用2000以前的Windows版本。而在很多情況下，文件共用和印表機共用在普通的業務中必須使用139端口通過SMB協議進行通信，因此就無法關閉139端口。另外，瀏覽時還需要137～139端口。

  公開伺服器絕對應該關閉這些端口

  在因特網上公開的伺服器要另當別論。公開伺服器打開139和445端口是一件非常危險的事情。就像本文開頭所說的那樣，如果有Guest帳號，而且沒有設置任何密碼時，就能夠被人通過因特網輕鬆地盜看文件。如果給該帳號設置了寫入許可權，甚至可以輕鬆地篡改文件。也就是說在對外部公開的伺服器中不應該打開這些端口。通過因特網使用文件伺服器就等同自殺行為，因此一定要關閉139和445端口。對於利用ADSL永久性接入因特網的客戶端機器可以說也是如此

  要關閉139端口，與137和138端口一樣，可以選擇“將NetBIOS over TCP/IP設置為無效”。而要想關閉445端口則必須進行其他工作。利用註冊表編輯器在“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters”中追加名為“SMBDeviceEnabled”的DWORD值，並將其設置為0，然後重新起動機器。