病毒木馬個人電腦中常見的安全風險與對策

摘要：本文簡要地介紹了個人電腦中常見的安全風險，闡述了防火牆所有核心技術在個人電腦中的使用以及個人防火牆中的配置問題，討論了為提高個人電腦的安全性需採用的技術和對策。

隨著網路技術的發展，網際網路走上辦公桌，走進千家萬戶，網上辦公、網上支付、網上交易、網上娛樂逐步成為現實。但是，人們在一邊享受網路帶來的巨大好處，一邊也在不知不覺中承受著隨之而來的安全風險。病毒入侵，木馬攻擊，惡意的埠掃瞄，強力口令破解，輕則使電腦癱瘓，重則使資料洩密和丟失，造成難以彌補的損失或災難性後果。但是，這些安全風險，並沒有引起人們的高度重視，尤其是在個人電腦中。

一、個人電腦中的安全風險

目前，絕大部分個人電腦使用的是windows 系列作業系統。windows 雖然是非常優秀的作業系統，在客戶端的使用占有絕對優勢，但配置不當，將會帶來許多安全風險。windows 在預設條件下執行，許多埠處於開放狀態，特別是windows 2000。這些開放埠，常常是黑客首選的攻擊手段。例如，攻擊者利用在80 埠執行的115 中存在的快取區溢位漏洞，不僅嚴重影響客戶機安全，而且幾乎可以使整個網路癱瘓。通過網際網路，瀏覽、竄改和刪除客戶機或伺服器硬碟中的資料並非天方夜潭，更不用說來自內部網中的攻擊了。很多人覺得只要不是有意公開硬碟中的內容，就不會出現這種情況，但實際上，遠非如此。

在個人電腦中，存在的安全風險很多。病毒人侵造成系統癱瘓，通過防毒防毒能得到部分解決，但另一類常被人們忽視的安全風險，那就是由於預設開放埠所造成的危害。windows 在預設條件下開放的埠共5 個，即135 、137 、138 、139 和445 埠。其中，135 、137 、138 和139 埠幾乎在所有的windows 中均出於開放狀態。在windows 2000 、xp 和．net

dcom 利用rpc 協議進行通訊時，會向對端的135 埠詢問，以便協商可以使用哪個埠進行實際的通訊，如果對端的135 埠是開放的，就會告知可以用來實際通訊的埠號。因此，利用dcom 開發的應用程式，都可以像上述攻擊ie 瀏覽器那樣實施攻擊。比如，攻擊正在網上執行excel 的個人電腦，獲取其單元格中輸人的值，或者對這個值進行編輯操作等，危險性可想而知。

不過，想利用該方法通過網際網路操縱他人電腦進行攻擊的可能性較小，而危險性很高的是內部網路環境，尤其是客戶端。因為在大多數情況下，在內部網中，不僅可以輕而易舉地得到他人的ip 位址和使用者名稱，甚至能得到那些管理不嚴的密碼。

迴避這種危險的最好辦法是關閉rpc 服務。不過，關閉rpc 服務後，會給windows 的執行帶來許多不利的影響，比如windows xp professional ，從登入到顯示桌面，就要等待相當長的時間。windows 的很多服務都依賴於rpc ，而這些服務在rpc 設定為無效後都無法正常啟動。因此，一般來說，不能輕易關閉rpc 服務但在網際網路上的伺服器基本上不使用rpc ，就應該堅決關閉135 埠。比如只是將windows 作為web 、郵件或dns 伺服器，尤其是客戶機使用的話，即便關閉135 埠，也不會出現任何問題。但是如果需要通過網際網路來使用dcom 應用程式時，就不能關閉該埠，而需要採取嚴格管理密碼的措施。

137 埠

通過137 埠除了可以得到開放此埠的計算機名和註冊使用者以外，還可以確定該機是否為主域控制器，是否作為檔案伺服器在使用以及115 、smb 服務是否正在執行等資訊。這種情況，不只是發生在內部網路，在網際網路上同樣存在。對於攻擊者來說，可以很容易地了解目標電腦的作用及網路結構。攻擊者根本不需要特意地通過埠掃瞄來尋找可以下手入侵的端lj 。另外，如果捕捉到正在利用137 埠進行通訊的資訊包，還有可能得到目標主機的啟動和關閉時間。這是因為windows 啟動或關閉時會由137 埠傳送特定的資訊包。如果掌握了目標主機的啟動時間，就可以使用ie ' en 等軟體通過135 埠操作對方的dcom 。

為了得到通訊物件的ip 位址，雙方要通過137 埠*交換很多資訊包。如果使用netbios 名，就會在使用者沒有查覺的情況下，向外部散布許多機器資訊，留下安全隱患。

138 埠

138 埠除了會洩漏windows 的版本資訊外，也提供netbios 的瀏覽功能。後者用於顯示網路中的電腦列表。比如，在windows 2000 中，由「網路鄰居」中選擇「整個網路」後，就會完整地顯示出正在聯網的電腦。netbios 服務使用了137 和138 埠向外部傳送資訊。通常這種服務在網際網路上是不需要的，應該關閉它。如果是windows 2000 或其以上的版本，不使用netbios 也能夠管理計算機名。因此全部由windows 2000 或其以上的個人電腦構築而成的網路，就可以停止netbios 。要想停止netbios 服務，首先在控制面板中選擇目前正在使用的網路連線，在屬性視窗中檢視" internet 協議（tcp / ip ) 」的屬

性。在「常規」標籤中單擊「高階」按鈕，按「wins 」標籤選擇「禁用tcp 月p 上的netbios 」即可。這樣，就可以關閉137 、138 以及後面將要講到的139 埠。

139 和445 埠

在windows 中，139 和科5 埠主要通過smb 協議實現檔案和印表機共享。windows 20 （刃以前的版本使用netbios 協議解決計算機名和ip 位址的對映。而後續版本則利用dns 解決這個問題。在smb 通訊中，首先使用上述的計算機名解釋功能，取得通訊物件的ip 位址，然後向通訊物件發出開始通訊的請求。如果對方充許進行通訊，就建立會話，並使用它向對方傳送使用者名稱和密碼資訊，進行認證。若認證成功，就可以訪問對方的共享檔案。在這些一連串的通訊中使用的是139 埠。windows 2000 和xp ，除使用139 埠外，還使用 445 埠。檔案共享本身與139 埠相同，但該埠使用的是與smb 不同的協議，而是cifs （通用網際網路檔案系統）協議。因此，在使用windows 作為檔案伺服器和列印伺服器的內部網中，無法關閉139 和445 埠。但客戶端如果不允許共享檔案和印表機，完全可以關閉這兩個埠。不使用window 作為檔案伺服器和列印伺服器的，絕對應該關閉這兩個埠，開啟是非常危險的。例如，如果有guest 帳號，而且沒有設定任何密碼時，就能夠被人通過網際網路利用windows 中的net 命令盜看檔案。如果給該帳號設定了寫入許可權，甚至可以輕鬆地篡改和刪除檔案，形同自殺。對於利用撥號上網和adsl 永久性接人網際網路的客戶端機器更是如此。

關閉139 埠的方法和137 、138 埠一樣，可以選擇「將netbios over tcp / ip 設定為無效」。想關閉445 埠要利用登錄檔編輯器在" hkey _ local - - machine / system / currentcontrol set / seoices / netb 叭parameters 」鍵中追加名為「smb - deviceenahled 」的dword 值，並將其設定為0 ，然後重新起動機器生效即可。既然上面討論的5 個埠存在安全隱患，在許多情況下又不能關閉，要徹底解決這個問題，就必須利用防火牆技術。防火牆常常是內部網接入網際網路的第一道關口，幾乎成了網路建設中的標準配置，但安裝在內

部網出口中的防火牆，只能防止來自網際網路上的攻擊，而不能解決來自內部網中的安全威脅。要防止來自內部的威脅，在個人電腦中就有必要安裝個人防火牆。

病毒木馬個人電腦中常見的安全風險與對策

無需安裝任何軟體即可在個人電腦中建立隱私空間的方法

裝在U盤裡的個人電腦

電腦中常用的快捷鍵

病毒木馬 個人電腦中常見的安全風險與對策

無需安裝任何軟體即可在個人電腦中建立隱私空間的方法

裝在U盤裡的個人電腦

電腦中常用的快捷鍵

相關推薦

病毒木馬個人電腦中常見的安全風險與對策