操作系统安全之端口与服务1.ppt

《操作系统安全之端口与服务1.ppt》由会员分享，可在线阅读，更多相关《操作系统安全之端口与服务1.ppt（34页珍藏版）》请在三一办公上搜索。

1、端口与服务,什么叫端口,计算机“端口”是计算机与外界通讯交流的出入口，分为两类：硬件领域的端口（interface），又称接口，如：USB端口、串行端口、并行端口等；软件领域的端口(port)，一般指网络中面向连接服务和无连接服务的通信协议端口，是IP协议与上层协议通信点，是一种抽象的软件结构。任何两个节点间要实现网络通信都必须打开相应的端口.,端口的分类,计算机端口的总数为65535个，系统自身常用端口只有几十个。按性质划分，所有端口分以下3大类:(1)公认端口(Well Known Ports)，也称为“常用端口”。端口号从0至1023，紧密绑定于一些特定的服务，通常这些端口的通讯明确表明

2、了某种服务的协议。例如，HTTP协议使用80端口;Telnet服务使用23端口。黑客一般不会利用这类端口进行攻击。,端口的分类,(2)注册端口(Registered Ports):端口号从1024至49151，松散地绑定于某些服务，并且多数没有明确定义服务对象。这类端口的应用可根据用户的需要自定义，因此，这类端口比较容易被黑客利用。,端口的分类,(3)动态和/或私有端口(Dynamic and/or Private Ports):端口号从49152至65535，应用上更为自由，理论上常用服务不会分配在这些端口上。因为这些端口较隐蔽，又不会引起用户的重视。所以一些木马程序往往偏爱这些端口。,查看

3、端口的命令,Windows系统自带了功能强大端口查看程序netstat。语法：netstat-a-e-n-o-p Protocol-r-s Interval参数：-a 显示所有活动的 TCP 连接以及计算机侦听的 TCP 和 UDP 端口。,查看端口的命令,-e 显示以太网统计信息，如发送和接的字节数、数据包数。-n 显示活动的 TCP 连接，不过，只以数字形式表现地址和端口号，却不尝试确定名称。-o 显示活动的 TCP 连接并包括每个连接的进程 ID(PID)。可以在 Windows 任务管理器中的“进程”选项卡上找到基于 PID 的应用程序。-b 显示打开端口的进程名及相应的模块.-p P

4、rotocol 显示 Protocol 所指定的协议的连接。,查看端口的命令,-s 按协议显示统计信息。默认情况下，显示 TCP、UDP、ICMP 和 IP 协议的统计信息。-r 显示 IP 路由表的内容。Interval 每隔 Interval 秒重新显示一次选定的信息。按 Ctrl+C 停止重新显示统计信息。如果省略该参数，netstat 将只输出一次选定的信息。,查看端口的命令,注意事项：与该命令一起使用的参数必须以连字符(-)而不是以斜杠(/)作为前缀如果端口尚未建立，端口以星号(*)显示。,用冰刃查看端口,比较与用netstat 的不同,关闭一些不常用端口,1.每一个端口都对应着一定

5、的服务，关掉服务，相应的端口也就关闭了。如，关掉WWW服务，80端口就关闭了；关掉telnet服务，23端口也就关闭了；关掉FTP服务，21端口就关闭了。3389端口说明：又称Terminal Service，服务终端，在XP中又叫“远程桌面”，使用简单、方便，不产生交互式登录，可在后台操作，从而受到黑客们的青睐。关闭方法：“我的电脑”上点右键“属性”“远程”将“远程协助”和“远程桌面”两个复选框里的勾去掉即可。,关闭一些不常用端口,139端口说明：139端口是NetBIOS的会话端口，用来实现局域网中的文件和打印共享关闭方法：在“网络和拨号连接”中“本地连接”中选取“Internet协议(T

6、CP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。,关闭一些不常用端口,2.设置本地IP安全策略程序管理工具本地安全策略IP安全策略右击，新建IP安全规则打开23端口,用IP安全策略屏蔽3.用防火墙屏蔽端口,什么是服务,在Windows 2000/XP/2003系统中，服务是指执行指定系统功能的程序、例程或进程，以便支持其他程序，尤其是低层(接近硬件)程序，服务应用程序通常可以在本地和通过网络为用户提供一些功能。它是应用程序中的一种特殊类型，它在后台运行，即运行时看不到程序的工作窗口，但在进程列表中可以看到相

7、关的进程。案例：服务task scheduler支持任务计划。,服务管理控制台的应用,服务服务管理控制台的启动我的电脑管理服务在运行中输入（services.msc）回车,服务管理控制台的应用,“常规”选项卡“服务名称”是指服务的“简称”，并且也是在注册表中显示的名称；“显示名称”是指在服务配置界面中每项服务显示的名称；“描述”是为该服务作的简单解释；“可执行文件的路径”即是该服务对应的可执行文件的具体位置；,服务管理控制台的应用,“启动类型”是整个服务配置的核心，对于任意一个服务，通常都有3种启动类型：自动：对于必要的和常用的服务，用户可以设置为“自动”，将在Windows启动时自动装入。它

8、将延长启动所需要的时间，有些服务是必须设置为自动的，如Remote Procedure Call(RPC)。由于依存关系或其他影响，其他的一些服务也必须设置为自动，这样的服务最好不要去更改它，否则系统无法正常运行。手动：如果一个服务被设置为手动，那么可以在需要时再运行它。这样可以节省大量的系统资源，加快系统启动。,服务管理控制台的应用,已禁用：此类服务不能再运行。这个设置一般在提高系统安全性时使用。如果怀疑一个陌生的服务会给你的系统带来安全上的隐患，可以先尝试停止它，看看系统是否能正常运行，如果一切正常，那么就可以直接禁用它了。如果以后需要这个服务，在启动它之前，必须先将启动类型设置为自动或手

9、动。,服务管理控制台的应用,“服务状态”是指服务的现在状态是启动还是停止，通常，我们可以利用下面的“启动”、“停止”、“暂停”、“恢复”按钮来改变服务的状态。,服务管理控制台的应用,“依存关系”选项卡在这里我们可以看到，在顶端列表中指出运行选定服务所需的其他服务，底端列表指出了需要运行选定服务才能正确运行的服务。它说明了一些服务并不能单独运行，必须依靠其他服务。在停止或禁用一个服务之前，一定要看看这个服务的依存关系，如果有其他需要启动的服务是依靠这个服务，就不能将其停止。在停止或禁用一个服务前，清楚了解该服务的依存关系是必不可少的步骤。,与系统服务有关的两条命令,Net start：用于启动某

10、个服务（带服务名参数）或显示已启动的服务列表（不带 参数）Net stop：用于停止某个当前已经启动的服务（带服务名参数）注意：服务名如果由几个单词构成，中间有空格，则在命令中必须用双引号引起来，如 net stop“task scheduler”。,系统必须的一些服务,“必须”指的是如果这些服务其中任何一条被禁用，将会造成Windows提供的基本功能的丧失。COM+Event System 禁用此项会造成网络连接菜单无法进入。故必须保持“自动”Computer Browser 禁用此项会造成无法被局域网中的计算机访问。故建议局域网中的计算机选择“自动”,系统必须的一些服务,Cryptogra

11、phic Service 禁用此项会造成很多问题，比如Windows Update程序无法继续，驱动程序无法验证数字签名，故必须保持“自动”DCOM Server Process Launcher 禁用此项会造成很多服务无法以手动方式在必要的时候启动，故必须保持“自动”Event Log 无法终止的服务Logical Disk Manager 禁用此项会造成移动硬盘等硬件无法被有效的识别。故建议保持“自动”,系统必须的一些服务,Network Connections（验证）禁用此项会造成网络连接文件夹为空，即失去管理网络连接的能力，建议保持“自动”。若停止，并启动类型为手动时，当双击本地连接时

12、，它便自动打开了Network Location Awareness 禁用此项会造成无法在局域网中共享文件，局域网用户建议保持“自动”Plug and Play 即插即用关键服务，必须保持“自动”,系统必须的一些服务,Remote Procedure Call RPC服务，相当多服务的基础，不可以禁用 Server 局域网文件/打印共享需要，局域网用户建议保持“自动”System Event Notification 记录系统事件，系统出问题很多时候可以从系统事件中找到答案，建议有经验的用户保持“自动”,系统必须的一些服务,Web Client 一些网络应用，比如通过IE访问FTP需要，建议保

13、持“自动”Windows Audio 没有声卡的计算机可以禁用此项，反之则保持“自动”Windows Management Instrumentation 系统资源管理服务，不可以禁用 Workstation 任何网络连接都需要，建议保持“自动”,威胁系统安全的服务,这并不是说这些服务是有害的，而是指这些服务直接或者间接的降低了系统的安全性。ClipBook 可能造成信息的泄漏，故建议“禁用”。Messenger（用send命令验证）经常被利用来发送垃圾消息，故建议“禁用”。,威胁系统安全的服务,Telnet 可能造成黑客入侵，故建议“禁用”Printer Spooler 有可能造成CPU占用

14、持续100%，故建议“禁用”Remote Registry 允许远程操作注册表会造成安全问题，故建议“禁用”Remote Desktop Help Session Manager 远程协助有时候也会为入侵系统提供便利，故建议“禁用”。,服务的其它功能,关闭服务相应的端口（一般为网络服务）关闭无法直接关闭的进程,案例应用程序将自身注册为系统服务以让程序随机启动,前面已经学过两种程序让自身随机启动的方法：程序启动注册表run第三种方法：将自身注册为服务，形式更为隐蔽。案例：以一个应用程序为例查看，如JAVA、360等。,案例,所有注册为服务的应用程序在HKEY_LOCAL_MACHINE SYST

15、EM CURRENTCONTROLSET SERVICES中都可看到。重点关注三个属性：ImagepathStartType,案例将普通应用程序注册为系统服务,需要两个工具instsrv.exe srvany.exe 微软系统自带的工具包。第一步，报户口：在命令提示符下输入 c:instsrv.exe 服务名 c:srvany.exe，在服务控制台中可以看到多了一个以服务名为名的服务（服务名自定义），并且在注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下可以找到以服务名为名的子项。,案例,第二步，设置服务的具体操作：在services下

16、新建一个parameters子项，在该子项下新建一个字符串类型，名称为application的值项，值为要启动的应用程序的具体路径及名称。第三步，设置服务属性并启动服务：到服务控制台设置服务的属性，或用命令来启动以上所设置的服务。可以看到，在任务管理器里多个两个进程srvany.exe和相应的应用程序名。,禁止病毒以系统服务方式启动,依次点击“开始”“运行”，键入“REGEDT32”。启动带权限分配功能的注册表编辑器。在注册表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices子键并选中，接着点击菜单栏中的“编辑”、“权限”，在弹出的Services权限设置窗口中点击“添加”按钮，将“Everyone“账号导入进来，然后选中Everyone账号，将该账号的“读取”权限设置为“允许”，将它的“完全控制”权限取消即可。注意，如果病毒和木马获得了管理员权限，则本方法就无效了。,