網(wǎng)絡(luò)服務(wù)開始,幫助各位手工堵住系統(tǒng)自身的安全漏洞或后門,確保系統(tǒng)或網(wǎng)絡(luò)遠(yuǎn)離安全攻擊!
關(guān)閉信息騷擾“源頭”——Alert服務(wù)
在局域網(wǎng)環(huán)境中,相信有不少朋友都有頻繁收到來自局域網(wǎng)其他工作站發(fā)來的垃圾信息騷擾的經(jīng)歷,這種惡意騷擾嚴(yán)重影響了自己的日常工作。其實這些信息騷擾的“源頭”都是因為Windows系統(tǒng)可能開通了Alert服務(wù)或Messenger 服務(wù),微軟公司的本意是希望為網(wǎng)絡(luò)管理人員通知局域網(wǎng)用戶帶來方便,可伴隨著MSN、QQ通信工具的強力出擊,Alert服務(wù)或Messenger服務(wù)已經(jīng)沒有多大實質(zhì)性作用,它的存在反而能為非法攻擊者向局域網(wǎng)發(fā)送惡意垃圾信息帶來方便。
1、關(guān)閉理由
非法攻擊者可以借助專門的垃圾信息群發(fā)工具,或者直接使用Windows系統(tǒng)內(nèi)置的 “net send”命令,來向局域網(wǎng)中的特定工作站或特定子網(wǎng)不斷發(fā)送惡意垃圾信息,從而實現(xiàn)破壞特定工作站或特定子網(wǎng)無法正常工作的目的。為此,使用了 Windows XP的SP2補丁包的工作站系統(tǒng),在默認(rèn)狀態(tài)下已經(jīng)自動將Alert服務(wù)或Messenger服務(wù)關(guān)閉運行了,對于其他類型的工作站系統(tǒng)來說,我們一旦看到其中的Alert服務(wù)或Messenger服務(wù)被啟動運行時,可以強行用手工方法將它停止掉,這樣就能降低工作站系統(tǒng)遭受垃圾信息襲擊的危險了。
除了通過Alert服務(wù)或Messenger服務(wù)向指定目標(biāo)發(fā)送垃圾信息攻擊外,還有一些
病毒程序或木馬程序會自動使用自身的病毒文件來替代Alert服務(wù)或Messenger服務(wù),一旦我們隨意啟用工作站系統(tǒng)的Alert服務(wù)或Messenger 服務(wù)時,實際上就是幫助病毒程序或木馬程序執(zhí)行破壞操作,因為對應(yīng)Alert服務(wù)或Messenger服務(wù)的系統(tǒng)文件已經(jīng)全部被替換成病毒文件了,所以不論在任何場合下看到Alert服務(wù)或Messenger服務(wù)已經(jīng)啟用時,我們必須毫不留情地將它們立即關(guān)閉掉。
2、關(guān)閉操作
在關(guān)閉Alert服務(wù)或Messenger服務(wù)時,我們可以依次執(zhí)行“開始”/“運行”命令,在彈出的系統(tǒng)運行框中輸入“services.msc”字符串命令,單擊回車鍵后打開工作站系統(tǒng)的服務(wù)列表界面;雙擊該列表界面中的Alert 服務(wù)或Messenger服務(wù),打開如圖1所示的服務(wù)屬性設(shè)置界面,單擊該界面中的“停止”按鈕,并將對應(yīng)服務(wù)的啟動類型設(shè)置為“已禁用”,最后單擊“確定”按鈕就可以了。
圖1 關(guān)閉信息騷擾“源頭”——Alert服務(wù)
關(guān)閉信息泄露“通道”——Server服務(wù)
也許有的網(wǎng)絡(luò)管理員會遇到這樣一則奇怪現(xiàn)象,那就是單位上有一臺保存重要隱私信息的文件服務(wù)器,該服務(wù)器平時很少將硬盤中的數(shù)據(jù)內(nèi)容共享給局域網(wǎng)中的其他工作站用戶
訪問,按說這種情況下只要網(wǎng)絡(luò)管理員不操作文件服務(wù)器,服務(wù)器中的硬盤信號燈就不應(yīng)該狂閃不停,可事實有時偏偏就是相反。如果不幸遭遇到服務(wù)器在無人操作的情況下硬盤卻不停工作的現(xiàn)象時,那很有可能是服務(wù)器硬盤已經(jīng)成為別人保存數(shù)據(jù)的“倉庫”了,相信這種事實沒有多少人能夠接受。其實之所以會出現(xiàn)這種現(xiàn)象,在很大程度上與服務(wù)器開通了Server服務(wù)有關(guān);微軟公司為管理人員提供Server服務(wù)的本意,其實就是方便管理人員通過共享服務(wù)在局域網(wǎng)環(huán)境中完成一些文件傳輸操作,可是一旦使用場合不當(dāng)時,Server服務(wù)很有可能成為黑客攻擊服務(wù)器的一種“通道”。
1、關(guān)閉理由
只要服務(wù)器開通了Server服務(wù),那么非法攻擊者就可以通過IPC登錄方式進入服務(wù)器系統(tǒng),之后借助Windows服務(wù)器系統(tǒng)內(nèi)置的“net use”命令,將服務(wù)器硬件中的各個分區(qū)映射成為非法攻擊者的本地磁盤,那樣一來非法攻擊者不但可以隨意將重要隱私信息據(jù)為己有,而且還能做出更惡毒的舉動出來,那就是將一些病毒或木馬程序復(fù)制到服務(wù)器中,到時服務(wù)器中的一舉一動都逃脫不了非法攻擊者的“毒眼”。因此那些經(jīng)常管理服務(wù)器的網(wǎng)絡(luò)管理人員要注意了,平時如果很少在服務(wù)器中進行信息共享操作的話,那就應(yīng)該毫不猶豫地將Server服務(wù)關(guān)閉掉,以便切斷非法攻擊者訪問服務(wù)器隱私信息的“通道”!
2、關(guān)閉操作
在關(guān)閉服務(wù)器中的Server服務(wù)時,我們可以依次執(zhí)行“開始”/“運行”命令,在彈出的系統(tǒng)運行框中輸入“services.msc”字符串命令,單擊回車鍵后打開服務(wù)器系統(tǒng)的服務(wù)列表界面;雙擊該列表界面中的Server服務(wù),打開如圖2所示的服務(wù)屬性設(shè)置界面,單擊該界面中的“停止”按鈕,并將對應(yīng)服務(wù)的啟動類型設(shè)置為“已禁用”,最后單擊“確定”按鈕就可以了。
圖2 關(guān)閉信息泄露“通道”——Server服務(wù)
關(guān)閉隱私暴露“平臺”——ClipBook服務(wù)
經(jīng)常有朋友喜歡使用復(fù)制、粘貼的方式來輸入用戶名和密碼信息,這樣操作看上去效率很高,殊不知這種輸入帳號的方式往往會將密碼之類的隱私信息保存在本地的剪貼板中,
而恰好本地系統(tǒng)中的ClipBook服務(wù)一旦開通的話,那么一些別有用心的人可能就會通過網(wǎng)絡(luò)連接到本地工作站,并通過ClipBook服務(wù)來遠(yuǎn)程獲取保存在本地剪貼板中的各種隱私信息了。很顯然,要是保存在本地剪貼板中的信息是自己的銀行帳號和密碼的話,那么隨意開通ClipBook網(wǎng)絡(luò)服務(wù),就可能給自己帶來重大的經(jīng)濟損失了。
1、關(guān)閉理由
一旦在本地工作站中開通了ClipBook網(wǎng)絡(luò)服務(wù),同時本地系統(tǒng)的管理員帳號使用了弱口令時,那么非法攻擊者可能通過窮舉法來破解IPC的登錄密碼,一旦破解成功的話非法攻擊者就能使用IPC帳號訪問本地工作站,并對本地系統(tǒng)的各種共享資源進行隨意訪問;而且非法攻擊者還能打開本地工作站的剪貼板查看器,然后執(zhí)行該查看器界面中的“連接遠(yuǎn)程剪貼板”菜單命令,這樣就能把保存在本地剪貼板中的隱私信息獲取到手了。
2、關(guān)閉操作
在關(guān)閉本地工作站中的ClipBook服務(wù)時,可以先按上面的操作方法打開本地工作站系統(tǒng)的服務(wù)列表界面;雙擊該列表界面中的ClipBook服務(wù),打開如圖3所示的服務(wù)屬性設(shè)置界面,單擊該界面中的“停止”按鈕,并將對應(yīng)服務(wù)的啟動類型設(shè)置為“已禁用”,最后單擊“確定”按鈕就可以了。
圖3 關(guān)閉隱私暴露“平臺”——ClipBook服務(wù)
關(guān)閉黑客入侵“途徑”——Remote Registry服務(wù)
大家知道,微軟公司為管理人員提供的Remote Registry服務(wù),本意是希望管理人員能通過該服務(wù)方便地進行遠(yuǎn)程管理本地系統(tǒng)的;可是這種服務(wù)一旦開通后,任何已經(jīng)連接網(wǎng)絡(luò)的用戶都有可能通過該服務(wù)對本地系統(tǒng)的注冊表進行非法修改,而注冊表是計算機系統(tǒng)的核心,只要稍微這么胡亂一改,輕則導(dǎo)致計算機的某些功能“失常”,嚴(yán)重的話能直接讓計算機系統(tǒng)“癱瘓”。
1、關(guān)閉理由
如果本地工作站系統(tǒng)開啟了Remote Registry服務(wù),那么黑客只要能夠想辦法獲取系統(tǒng)管理員的登錄密碼并通過IPC登錄方式進入本地系統(tǒng),然后黑客打開自己計算機的注冊表編輯窗口,執(zhí)行該編輯窗口菜單欄中的“文件”/“連接網(wǎng)絡(luò)注冊表”命令,在其后的選擇計算機對話框中,選中本地工作站的計算機名稱,并單擊“確定”按鈕,黑客就能進入到本地工作站系統(tǒng)的注冊表編輯窗口,之后只要在系統(tǒng)的啟動項或其他位置處加入網(wǎng)絡(luò)病毒或木馬,那樣一來本地工作站系統(tǒng)就會慘遭黑客的惡意攻擊了。一旦將Remote Registry服務(wù)關(guān)閉時,任何遠(yuǎn)程用戶都是無法打開本地工作站的注冊表編輯窗口的,更不要談對注冊表進行破壞了。
2、關(guān)閉操作
在關(guān)閉本地工作站中的Remote Registry服務(wù)時,可以先按上面的操作方法打開本地工作站系統(tǒng)的服務(wù)列表界面;雙擊該列表界面中的Remote Registry服務(wù),打開如圖4所示的服務(wù)屬性設(shè)置界面,單擊該界面中的“停止”按鈕,并將對應(yīng)服務(wù)的啟動類型設(shè)置為“已禁用”,最后單擊“確定”按鈕就可以了。
圖4 關(guān)閉黑客入侵“途徑”——Remote Registry服務(wù)
關(guān)閉非法攻擊“載體”——Task Scheduler服務(wù)
Task Scheduler服務(wù)原本是Windows系統(tǒng)為方便本地用戶或遠(yuǎn)程用戶合理安排時間進行工作的,可是一些黑客也會利用該服務(wù)來在本地工作站系統(tǒng)執(zhí)行病毒破壞計劃。
1、關(guān)閉理由
如果本地工作站運行了Task Scheduler服務(wù)的話,那么一些黑客可以先通過特殊方法將病毒程序或木馬程序傳輸?shù)奖镜毓ぷ髡居脖P中,之后借助Windows系統(tǒng)內(nèi)置的“net time”時間查詢一下本地工作站的當(dāng)前系統(tǒng)時間,然后再通過“at”命令創(chuàng)建一個在合適時間運行病毒程序的任務(wù)計劃,到了指定時間后本地工作站就會受到事先植入硬盤的病毒程序或木馬程序的“蹂躪”了。要是我們將Task Scheduler服務(wù)關(guān)閉的話,那么黑客就無法通過“at”命令創(chuàng)建病毒攻擊計劃了。
2、關(guān)閉操作
在關(guān)閉本地工作站中的Task Scheduler服務(wù)時,可以先按上面的操作方法打開本地工作站系統(tǒng)的服務(wù)列表界面;雙擊該列表界面中的Task Scheduler服務(wù),打開如圖5所示的服務(wù)屬性設(shè)置界面,單擊該界面中的“停止”按鈕,并將對應(yīng)服務(wù)的啟動類型設(shè)置為“已禁用”,最后單擊“確定”按鈕就可以了。
圖5 關(guān)閉非法攻擊“載體”——Task Scheduler服務(wù)
編者注:事實上每種系統(tǒng)服務(wù)都有其存在的價值和內(nèi)置的安全機制。比如文中提到的server服務(wù)如果沒有他就無法進行正常的文件共享。而且大部分因系統(tǒng)服務(wù)造成的安全事件原因都在于用戶的錯誤設(shè)置而非服務(wù)本身,例如一個過于簡單的密碼等。只要進行正確的設(shè)置就應(yīng)該可以解決大部分安全問題。畢竟我們不可能關(guān)掉所有的服務(wù),因為很多服務(wù)是我們需要的。不過,關(guān)閉一些平時沒有用到的服務(wù)的確可以減小受攻擊的機會。但在關(guān)閉前請一定要弄清這些服務(wù)的作用并確定你的確不需要這個服務(wù),很多莫名其妙的系統(tǒng)故障就是相關(guān)的服務(wù)沒有啟動造成的,因此,關(guān)閉服務(wù)要慎重。