Windows默認設置中潛伏的陷井(下)

·在Excel中的打印設置的技巧（圖）·華為 SmartAX MT800設置路由方式教程·屏保密碼如何設置才安全·用Msconfig設置啟動項·修改系統設置 打造安全的個人電腦·教你一招：Excel表頭斜線設置秘技·在Excel中設置字符上、下標的方法·上網且慢!不容忽視的IE安全設置問題·巧妙設置 Excel表格標題行輕松顯現·ADSLModen路由設置之華為MT800A 139和445端口是危險的代名詞 　　連接於微軟網絡上的電腦之間使用137和138端口取得IP地址。然後進行文件共享和打印機共享等實際通信。通信過程是通過SMB（服務器信息塊）協議實現的。這裡使用的是139和445端口。 圖１●SMB與CIFS的區別。Windows 2000以前版本的Windows使用NetBIOS協議解決各計算機名的問題。通過向WINS服務器發送通信對象的NetBIOS名，取得IP地址。而Windows以後的版本所采用的CIFS則利用DNS解決計算機的命名問題。根據DNS服務器中的名字列表信息，尋找需要通信的對象。如果順利地得到對象的IP地址，就可以訪問共享資源　　在SMB通信中，首先使用上述的計算機名解釋功能，，取得通信對象的IP地址，然後向通信對象發出開始通信的請求。如果對方充許進行通信，就會確立會話層（Session）。並使用它向對方發送用戶名和密碼信息，進行認證。如果認證成功，就可以訪問對方的共享文件。在這些一連串的通信中使用的就是139端口。 　　Windows 2000和XP除此之外還使用445端口。文件共享功能本身與139端口相同，但該端口使用的是與SMB不同的協議。這就是在Windows 2000中最新使用的CIFS（通用因特網文件系統）協議。 　　CIFS和SMB解決計算機名的方法不同。SMB使用NetBIOS名的廣播和WINS解決計算機名，而CIFS則使用DNS（圖1）。 　　因此，在文件服務器和打印服務器使用Windows的公司內部網絡環境中，就無法關閉139和445端口。很多情況下，文件共享和打印機共享在普通的業務中是不可缺少的功能。而客戶端如果自身不公開文件，就可以關閉這兩個端口。 　　假如是僅2000版本以後的Windows構成的網絡，就可以關閉139端口。這是因為如前所述，該網絡只用445端口就能夠進行文件共享。由於在解決計算機名過程中使用DNS，所以也可以關閉137和138端口。不過，在目前情況下，基本上所有的網絡系統都還在混合使用2000以前的Windows版本。在混合網絡環境中由於必須使用139端口通過SMB協議進行通信，因此就無法關閉139端口。另外，浏覽時還需要137～139端口。
公開服務器絕對應該關閉這些端口 　　在因特網上公開的服務器要另當別論。公開服務器打開139和445端口是一件非常危險的事情。就像本文開頭所說的那樣，如果有Guest帳號，而且沒有設置任何密碼時，就能夠被人通過因特網輕松地盜看文件。如果給該帳號設置了寫入權限，甚至可以輕松地篡改文件。也就是說在對外部公開的服務器中不應該打開這些端口。通過因特網使用文件服務器就等同自殺行為，因此一定要關閉139和445端口。對於利用ADSL永久性接入因特網的客戶端機器可以說也是如此。 　　要關閉139端口，與137和138端口一樣，可以選擇“將NetBIOS over TCP/IP設置為無效”。而要想關閉445端口則必須進行其他工作。利用注冊表編輯器在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters”中追加名為“SMBDeviceEnabled”的DWORD值，並將其設置為0，然後重新起動機器。 　　.NET中安全策略改變了嗎？ 　　就像在此之前所講的那樣，直接在默認設置條件下使用現有的Windows將會出現各種各樣的危險。這是因為Windows是為了讓初學者不需進行復雜設置就可以使用而開發的。 　　比如Windows 2000 Server，在安裝該系統時，會自動安裝IIS。而且只需起動個人電腦，IIS服務就會啟動。雖然Windows NT 4.0 Server可以選擇是否安裝IIS，但在默認條件下該服務的復選框是有效的。與2000一樣，在起動電腦時，IIS服務也會自動起動。 　　而Linux則在很多方面都采取的是完全不同的思路。比如，RedHat Linux 7.3在安裝過程中必須讓用戶設置防火牆。由於防火牆有“高”、“中”、“低”三種等級，因此所攔截的信息包也各不相同。如果選擇“高”將關閉53（DNS）、67和68（DHCP）以外的全部端口，如果選擇“中”，盡管會打開1024以上的端口，但在一般人熟知的端口中打開的只有53、67和68三個。 　　安裝應用程序時的作法也不同。RedHat Linux 7.3在安裝時可選擇“工作站”、“服務器”和“桌面”三種類型。因此即使選擇“服務器”，如果用戶不選擇構築兼容Windows的文件服務器“Samba”和Web服務器“Apache”等，就不會進行安裝。另外，即便安裝以後，也不會直接起動。如果用戶明確地啟動必要的服務後，沒有設置利用過濾軟件過濾信息包，相應端口就不會打開。 　　如果只考慮方便性，Windows要更好一些。這是因為即便不進行復雜的設置，系統也能夠自動起動各種服務。但這樣一來，就甚至極有可能起動用戶不希望起動的服務，而且這些服務往往還是在用戶不知曉的情況下起動的。可以這樣說，如果希望安全地運行服務器，或者希望保護自己的客戶端個人電腦免受危險，那麼最好不要隨便安裝和設置。 　　美國微軟也提出了“值得依賴的計算”（Trustworthy Computing）的計劃，並計劃利用定於2003年初開始上市的“Windows .NET Server”實現“默認安全”。與Windows 2000不同的是，將不再標准安裝IIS服務。即便增加了IIS組件，OS起動時該服務也不會自動運行。 　　不過，如果只要使用測試版，135、137、138、139和445端口在默認條件下就是打開的。另外，從Windows XP開始導入的“因特網連接防火牆（ICF）”的使用在默認條件下也是無效的。要想在默認設置下實現與Linux相同等級的高安全性，可以說最穩妥的方法是將ICF設置為有效，然後用戶再根據自己的需要，選擇起動的服務。全文完。（記者：八木 玲子）