·在Excel中的打印設置的技巧(圖)·華為 SmartAX MT800設置路由方式教程·屏保密碼如何設置才安全·用Msconfig設置啟動項·修改系統設置 打造安全的個人電腦·教你一招:Excel表頭斜線設置秘技·在Excel中設置字符上、下標的方法·上網且慢!不容忽視的IE安全設置問題·巧妙設置 Excel表格標題行輕松顯現·ADSLModen路由設置之華為MT800A
139和445端口是危險的代名詞 連接於微軟網絡上的電腦之間使用137和138端口取得IP地址。然後進行文件共享和打印機共享等實際通信。通信過程是通過SMB(服務器信息塊)協議實現的。這裡使用的是139和445端口。
圖1●SMB與CIFS的區別。Windows 2000以前版本的Windows使用NetBIOS協議解決各計算機名的問題。通過向WINS服務器發送通信對象的NetBIOS名,取得IP地址。而Windows以後的版本所采用的CIFS則利用DNS解決計算機的命名問題。根據DNS服務器中的名字列表信息,尋找需要通信的對象。如果順利地得到對象的IP地址,就可以訪問共享資源 在SMB通信中,首先使用上述的計算機名解釋功能,,取得通信對象的IP地址,然後向通信對象發出開始通信的請求。如果對方充許進行通信,就會確立會話層(Session)。並使用它向對方發送用戶名和密碼信息,進行認證。如果認證成功,就可以訪問對方的共享文件。在這些一連串的通信中使用的就是139端口。 Windows 2000和XP除此之外還使用445端口。文件共享功能本身與139端口相同,但該端口使用的是與SMB不同的協議。這就是在Windows 2000中最新使用的CIFS(通用因特網文件系統)協議。 CIFS和SMB解決計算機名的方法不同。SMB使用NetBIOS名的廣播和WINS解決計算機名,而CIFS則使用DNS(圖1)。 因此,在文件服務器和打印服務器使用Windows的公司內部網絡環境中,就無法關閉139和445端口。很多情況下,文件共享和打印機共享在普通的業務中是不可缺少的功能。而客戶端如果自身不公開文件,就可以關閉這兩個端口。 假如是僅2000版本以後的Windows構成的網絡,就可以關閉139端口。這是因為如前所述,該網絡只用445端口就能夠進行文件共享。由於在解決計算機名過程中使用DNS,所以也可以關閉137和138端口。不過,在目前情況下,基本上所有的網絡系統都還在混合使用2000以前的Windows版本。在混合網絡環境中由於必須使用139端口通過SMB協議進行通信,因此就無法關閉139端口。另外,浏覽時還需要137~139端口。
公開服務器絕對應該關閉這些端口 在因特網上公開的服務器要另當別論。公開服務器打開139和445端口是一件非常危險的事情。就像本文開頭所說的那樣,如果有Guest帳號,而且沒有設置任何密碼時,就能夠被人通過因特網輕松地盜看文件。如果給該帳號設置了寫入權限,甚至可以輕松地篡改文件。也就是說在對外部公開的服務器中不應該打開這些端口。通過因特網使用文件服務器就等同自殺行為,因此一定要關閉139和445端口。對於利用ADSL永久性接入因特網的客戶端機器可以說也是如此。 要關閉139端口,與137和138端口一樣,可以選擇“將NetBIOS over TCP/IP設置為無效”。而要想關閉445端口則必須進行其他工作。利用注冊表編輯器在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters”中追加名為“SMBDeviceEnabled”的DWORD值,並將其設置為0,然後重新起動機器。 .NET中安全策略改變了嗎? 就像在此之前所講的那樣,直接在默認設置條件下使用現有的Windows將會出現各種各樣的危險。這是因為Windows是為了讓初學者不需進行復雜設置就可以使用而開發的。 比如Windows 2000 Server,在安裝該系統時,會自動安裝IIS。而且只需起動個人電腦,IIS服務就會啟動。雖然Windows NT 4.0 Server可以選擇是否安裝IIS,但在默認條件下該服務的復選框是有效的。與2000一樣,在起動電腦時,IIS服務也會自動起動。 而Linux則在很多方面都采取的是完全不同的思路。比如,RedHat Linux 7.3在安裝過程中必須讓用戶設置防火牆。由於防火牆有“高”、“中”、“低”三種等級,因此所攔截的信息包也各不相同。如果選擇“高”將關閉53(DNS)、67和68(DHCP)以外的全部端口,如果選擇“中”,盡管會打開1024以上的端口,但在一般人熟知的端口中打開的只有53、67和68三個。 安裝應用程序時的作法也不同。RedHat Linux 7.3在安裝時可選擇“工作站”、“服務器”和“桌面”三種類型。因此即使選擇“服務器”,如果用戶不選擇構築兼容Windows的文件服務器“Samba”和Web服務器“Apache”等,就不會進行安裝。另外,即便安裝以後,也不會直接起動。如果用戶明確地啟動必要的服務後,沒有設置利用過濾軟件過濾信息包,相應端口就不會打開。 如果只考慮方便性,Windows要更好一些。這是因為即便不進行復雜的設置,系統也能夠自動起動各種服務。但這樣一來,就甚至極有可能起動用戶不希望起動的服務,而且這些服務往往還是在用戶不知曉的情況下起動的。可以這樣說,如果希望安全地運行服務器,或者希望保護自己的客戶端個人電腦免受危險,那麼最好不要隨便安裝和設置。 美國微軟也提出了“值得依賴的計算”(Trustworthy Computing)的計劃,並計劃利用定於2003年初開始上市的“Windows .NET Server”實現“默認安全”。與Windows 2000不同的是,將不再標准安裝IIS服務。即便增加了IIS組件,OS起動時該服務也不會自動運行。 不過,如果只要使用測試版,135、137、138、139和445端口在默認條件下就是打開的。另外,從Windows XP開始導入的“因特網連接防火牆(ICF)”的使用在默認條件下也是無效的。要想在默認設置下實現與Linux相同等級的高安全性,可以說最穩妥的方法是將ICF設置為有效,然後用戶再根據自己的需要,選擇起動的服務。全文完。(記者:八木 玲子)