眾所周知系統的安全性是非常重要的,為了避免黑客的攻擊我們經常要在本地計算機上安裝防火牆,殺毒軟件並隨時查看注冊表中的啟動項是否有非法程序。其實還有一個非常重要的環節被我們忽略了,那就是系統服務。如果我們沒有配置合理的系統服務,服務將成為黑客及病毒入侵的大門,如果我們合理配置了服務的啟動則可以為本地計算機添加一堵天然的防火牆。本文中筆者將從七個方面討論如何通過設置服務啟動信息提高本地系統的安全。 罪過一:DHCP服務故障源於服務 筆者曾經遇到一個DHCP客戶端的問題,具體現象如下。設置為自動獲得IP地址的計算機卻發現IP地址均為零。(如圖1)懷疑是沒有正確獲得DHCP分配的IP地址等網絡信息,查詢了DHCP服務器沒有任何問題。在客戶端命令行模式下執行ipconfig /renew更新所有網絡信息卻出現故障提示,顯示一個內部錯誤,只能通過重新連接網卡和重新啟動計算機來解決。(如圖2)筆者檢查了網卡,網線沒有問題,重新啟動後故障依舊。 圖1 圖2 最後才發現原來是服務惹的禍。通過任務欄的“開始->運行->輸入services.msc”進入服務設置窗口,發現名為“DHCP Client”的服務沒有啟動。(如圖3)雙擊該服務名稱,然後點“啟動”按鈕。接著在啟動類型處將其修改為“自動”。完成設置後確定即可。這時候就可以正常獲得DHCP服務器提供的網絡參數信息了。(如圖4) 圖3 圖4 罪過二:信使惹惱我 從Windows2000系統開始微軟為我們提供了一個方便計算機之間通訊的服務,稱之為messenger服務。通過這個服務我們可以將自己要表達的文字信息發送到網絡中任何一台計算機上。不過該服務也被很多無聊做廣告的人所利用,經常在小區發布群發信使信息,騷擾我們。(如圖5) 圖5 遇到這種情況我們還是通過設置服務啟動類型來解決。通過任務欄的“開始->運行->輸入services.msc”進入服務設置窗口,發現名為“messenger”的服務已經啟動。雙擊該服務名稱,然後點“停止”按鈕。接著在啟動類型處將其修改為“禁止”。完成設置後確定即可。(如圖6) 圖6 修改完畢我們就不會收到無聊人的騷擾信息了,網絡從此變得清淨很多。 罪過三:和打印病毒說BYE BYE 有點經驗的用戶都會知道很多病毒都是通過打印共享傳播的,不是借助別人的打印機傳播到你的計算機中,,就是以你的打印機為載體傳播病毒到網絡。另外很多病毒還會將自己偽裝成類似打印機的圖標,欺騙你點擊。其實我們同樣可以使用服務管理禁止該種病毒的入侵。 通過任務欄的“開始->運行->輸入services.msc”進入服務設置窗口,發現名為“Print Spooler”的服務已經啟動。雙擊該服務名稱,然後點“停止”按鈕。接著在啟動類型處將其修改為“禁止”。完成設置後確定即可。(如圖7)從而最簡單有效的防止打印類病毒的傳播。 圖7 小提示: 在我們使用打印機時經常會遇到打印作業無響應的現象,這時也可以嘗試停止Print Spooler服務,然後在啟動之。這樣打印機任務中的作業就會被清楚的一干二淨。再也不用我們反復重新啟動計算機清空作業列表了。 罪過四:定時加載別找我 一般黑客都是通過命令行或指令來入侵的,能夠直接通過圖形化管理被入侵的計算機的情況很少。如何從命令行過渡到圖形化呢?黑客最常用的手法就是將木馬或遠程控制工具通過FTP等文件傳輸工具傳到被控計算機上,然後通過計劃任務與AT指令相結合的手段讓木馬及遠程控制程序自動加載。加載完畢後就可以為所欲為被入侵的計算機了。 為了避免類似事情的發生或者盡可能將被入侵的損失降到最低我們可以停止“計劃任務”服務。方法是通過任務欄的“開始->運行->輸入services.msc”進入服務設置窗口,發現名為“Task Scheduler”的服務已經啟動。雙擊該服務名稱,然後點“停止”按鈕。接著在啟動類型處將其修改為“禁止”。完成設置後確定即可。(如圖8) 圖8 修改Task Scheduler服務的啟動狀況後黑客再想通過計劃任務運行木馬程序就會收到拒絕安裝的提示了。 罪過五:默認共享靠邊站 自動Windows2000系統開始默認開啟了很多共享,例如c$,d$,ipc$,admin$等。網上關於關閉這些共享的方法也有很多,例如通過啟動加載批處理程序關閉法,修改注冊表法等等。但就筆者經驗來說最有效的還是停止服務法。因為只要停止一個名為server的服務就可以將所有默認共享徹底關閉了。
方法是通過任務欄的“開始->運行->輸入services.msc”進入服務設置窗口,發現名為“server”的服務已經啟動。雙擊該服務名稱,然後點“停止”按鈕。接著在啟動類型處將其修改為“禁止”。完成設置後確定即可。當然在停止server服務時需要先停止“computer browser”服務,因為兩者有關聯關系。(如圖9) 圖9 停止server服務後我們再通過命令行模式輸入“net share”查看共享就會發現什麼也沒有了,全部默認共享都被關閉了。(如圖10) 圖10 罪過六:telnet我要拒絕你 早期要想執行網絡中另一台計算機上的某某程序是通過telnet來完成的,雖然在目前的操作系統中telnet已經被遠程桌面訪問所代替。但該服務仍然存在於系統中。如果不小心將該服務打開則任何知道了該計算機帳戶和密碼的人都可以通過網絡遠程執行本地程序,安全性也大大降低。我們要將該服務徹底關閉。 方法是通過任務欄的“開始->運行->輸入services.msc”進入服務設置窗口,發現名為“Telnet”的服務已經啟動。雙擊該服務名稱,然後點“停止”按鈕。接著在啟動類型處將其修改為“禁止”。完成設置後確定即可。這樣任何人都不會通過telnet訪問你的計算機了即使他獲得了你的帳戶和密碼也將無濟於事。(如圖11) 圖11 罪過七:注冊表修改我說了算 最後這一宗罪是最危險的一個,我們先來看一個簡單的實驗。 第一步:通過任務欄的“開始->運行->輸入regedit”打開注冊表編輯器。 第二步:通過菜單上的“注冊表->連接網絡注冊表”。(如圖12) 圖12 第三步:在彈出的窗口中輸入要通過網絡連接的計算機名或IP地址,然後確定開始連接。(如圖13) 圖13 小提示:在連接網絡上任何一台計算機的注冊表時需要將自己的計算機帳戶與密碼修改的和遠程那台計算機上的帳戶密碼一樣,這樣才能成功連接。否則會出現你無權訪問的提示。當然對方計算機必須開啟了Remote Registry Service服務。 第四步:如果帳戶密碼正確,對方計算機沒有開啟防火牆的話我們就可以連接到他的注冊表了,可以任意修改和添加鍵值。(如圖14) 圖14 看了這個例子後我們是不是感覺非常可怕呢?那麼趕緊把這個安全隱患彌補上吧。方法是通過任務欄的“開始->運行->輸入services.msc”進入服務設置窗口,發現名為“Remote Registry Service”的服務已經啟動。雙擊該服務名稱,然後點“停止”按鈕。接著在啟動類型處將其修改為“禁止”。完成設置後確定即可。這樣任何人都不能通過連接網絡注冊表入侵你的計算機了。 總結: 系統默認服務涉及安全的就以上七項,當然在我們隨著我們使用計算機時間的延長,會不斷向系統添加應用程序關聯的服務,所以我們應該養成定期查看服務設置的好習慣,在服務中發現不明項馬上禁止他的使用。一方面可以有效的釋放系統資源,不要讓無用的服務占用我們的CPU和內存,另一方面減少木馬通過服務加載自身程序的機率,要知道隨著注冊表run值越來越被人所熟知,木馬和病毒更多的是采取通過服務運行的方法來加載。
