windows安全设置
一、windows网络通讯端口
1、端口分类
windows网络通讯端口可分为3大类:
1)公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常 这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。
2)注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。
3)动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。 理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。
2、常用端口
21 ftp 最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或Crackers利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。 | |
23 Telnet 入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的*作系统。此外使用其它技术,入侵者会找到密码。 | |
25 smtp 攻击者(spammer)寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭,他们需要拨号连接到高带宽的e-mail服务器上,将简单的信息传递到不同的地址。SMTP服务器(尤其是sendmail)是进入系统的最常用方法之一,因为它们必须完整的暴露于Internet且邮件的路由是复杂的(暴露+复杂=弱点)。 | |
53 Domain Name Server(DNS):DNS服务器所开放的端口,Hacker或crackers可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其它通讯。因此防火墙常常过滤或记录53端口。 |
需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。
69 TFTP(UDP) 许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件,如密码文件。它们也可用于向系统写入文件。 |
80 HTTP 用于网页浏览。木马Executor开放此端口。 | |
110 POP3 用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个(这意味着Hacker可以在真正登陆前进入系统)。成功登陆后还有其它缓冲区溢出错误。 | |
135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end-point map per为它的DCOM服务。这与UNIX 111 端口的功能很相似。使用DCOM和/或RPC的服务利用机器上的end-point mapper注册它们的位置。远端客户连接到机器时,它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如:这个机器上运行Exchange Server吗? | |
137 NetBIOS name service nbtstat (UDP) 这是防火墙管理员最常见的信息。 | |
139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。 | |
161 SNMP(UDP) 入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中,通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。 | |
162 SNMP trap 可能是由于错误配置 | |
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络,它们请求*作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点,你可以重启机器,打开Telnet,再打开一个窗口运行“natstat -a”,你将会看到Telnet被分配1024端口。请求的程序越多,动态端口也越多。*作系统分配的端口将逐渐变大。再来一遍,当你浏览Web页时用“netstat”查看,每个Web页需要一个新端口。 | |
1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址访问Internet。 | |
5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而不是proxy)。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。 |
二、Windows系统服务
一提起Windows,很多人可能会觉得那只是高配置的电脑才能享受的操作系统。为什么Windows那么消耗资源呢?除了漂亮的界面消耗大量的内存和显存外,Windows默认在后台运行了很多不同的服务,像打印机服务、系统自动更新服务等等,这些服务中有相当一部分对于我们个人用户来说不但没有作用,而且安全方面也存在很大的隐患。所以适当地禁用一些系统服务不仅可以加快系统的运行速度而且还能起到安全的作用,是非常有必要的。1、如何设置服务
首先你要使用Administrator用户登录Windows XP,因为只有管理员才可以有权利更改服务,然后在“控制面板”中选择“管理工具→服务”,或者直接在“运行”中输入“Services.msc”打开服务设置窗口,在窗口右侧显示的就是Windows XP系统中所有的服务项,每个服务都标记了名称、描述、状态、启动类型和登录性质。选择需要禁止的服务,在其上点鼠标右键,选择“属性”,打开服务设置窗口,其中“启动类型”中提供了三种启动方式,即自动、手动和已禁用,三种启动方式所产生的效果是不一样的。自动:如果某个服务被设置为自动,那么它就会随着启动Windows XP一起运行,这就势必延长启动所需要的时间,但是有些服务是必须设置为自动的,因为这些服务是与系统有紧密关联的,如果设置为别的启动方式的话,系统就会出现问题,所以最好不要动它们。 | |
手动:如果某个服务被设置为手动,那么该服务会不启动,只有在需要它的时候才会启动它。这样就可以节省不少的系统资源。 | |
已禁用:如果一个服务被设置为已禁用,那就表示这个服务将不再启动了,哪怕是在需要它的时候,它也不会启动,如果你认为某个服务真的没有用了,可以选择它。 |
2、禁止某些服务,提升windows效率
在众多服务中,大家可能有些茫然,我怎么知道哪些服务该保留哪些服务该禁止呢?其实不难,每个服务都有简单的描述,通过描述你可以大概判断出是否需要该服务。附表是一些可以关闭或者禁用的服务,你可以有选择地关闭。 windows xp系统中可以被禁用的服务对照表 | ||
服务名称 | 含义解释 | 选择建议 |
application layer gateway service | 为internet连接共享和internet连接防火墙提供第三方协议插件的支持 | 如果你没启用internet连接共享或windows xp内置防火墙,可以禁止这个服务。 |
automatic updates | 自动从windows update启用windows更新的下载和安装 | 需要时,我们完全可以在windows update web网站手动进行更新。 |
clipbook | 启用“剪贴板查看器”储存信息并与远程计算机共享 | 如果你没有使用windows xp的远程桌面功能,那么可以禁止该服务。 |
error reporting service | 服务和应用程序在非标准环境下运行时允许错误报告 | 这个错误报告对大多数人来说是没用的,所以说我们可以禁止这项服务。 |
fast user switching compatibility | 为在多用户下需要协助的应用程序提供管理 | windows xp允许在一台电脑上进行多用户之间的快速切换,如果使用不到,完全可以禁止该服务。 |
imapi cd-burning com service | 用imapi管理cd录制 | 如果你有专业的刻录软件,或者根本就没有刻录机的话,那么可以禁止该服务。 |
indexing service | 本地和远程计算机上文件的索引内容和属性,提供文件快速访问 | 这项服务对个人用户没有多大用处,而启用后往往会占用很多cpu资源,所以禁止! |
print spooler | 将文件加载到内存中以便迟后打印 | 如果你没装打印机,完全可以禁用这个服务。 |
remote registry | 使远程用户能修改此计算机上的注册表设置 | 这项非禁止不可,因为不但个人用户用不到,而且有些居心不良的人还可以通过这个服务把你的浏览器或系统改得面目全非。 |
smart card | 管理计算机对智能卡的取读访问 | 智能卡?你有吗? |
ssdp discovery service | 启动家庭网络上的upnp设备的发现 | 具有upnp的设备还不多,对于我们来说这个服务是没有用的,禁止吧。 |
terminal services | 允许多位用户连接并控制一台机器,并且在远程计算机上显示桌面和应用程序 | 如果你用到xp的远程控制功能,那么就需要保留该服务,否则可以禁止它。 |
uninterruptible power supply | 管理连接到计算机的不间断电源 | 如果你有那种可以和计算机进行数字通讯的ups电源的话,那么就需要这个服务,没有的话就禁止。 |
3、恢复误操作
如果你不小心把某项服务设置了“已禁用”,导致系统工作不正常,而这时从服务窗口或者运行Services.msc也不能进行修改的话,那么 唯一解决的途径就是修改注册表了,找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”键值,其下就是系统存在的所有服务,找到出了问题的服务,在右边你会看到一个二进制值“Start”,修改它的数值数同样可以更改它的启动方式,“2”表示自动,“3”表示手动,而“4”则表示已禁用。