项目三：Windows系统安全

端口分类1.按端口号分布划分（1）知名端口（2）动态端口比如1024端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后，就会释放所占用的端口号。不过，动态端口也常常被病毒木马程序所利用，如冰河默认连接端口是7626、WAY2.4是8011、Netspy3.0是7306、YAI病毒是1024等等。2.按协议类型划分按协议类型划分，可以分为TCP、UDP、IP和ICMP（Internet控制消息协议）等端口。-a：显示所有连接和侦听端口。服务器连接通常不显示。-e：显示以太网统计。该参数可以与-s选项结合使用。-pprotocol：显示由protocol指定的协议的连接；protocol可以是tcp或udp。-r：显示路由表的内容。netstat–an用来查看系统端口状态，列出系统正在开放的端口号及其状态。解释一下，ActiveConnections是指当前本机活动连接，Proto是指连接使用的协议名称，LocalAddress是本地计算机的IP地址和连接正在使用的端口号，ForeignAddress是连接该端口的远程计算机的IP地址和端口号，State则是表明TCP连接的状态，你可以看到后面三行的监听端口是UDP协议的，所以没有State表示的状态。用netstat-a—n命令查看！再stat下面有一些英文，我来简单说一下这些英文具体都代表什么LISTEN：侦听来自远方的TCP端口的连接请求SYN-SENT：再发送连接请求后等待匹配的连接请求SYN-RECEIVED：再收到和发送一个连接请求后等待对方对连接请求的确认ESTABLISHED：代表一个打开的连接FIN-WAIT-1：等待远程TCP连接中断请求，或先前的连接中断请求的确认FIN-WAIT-2：从远程TCP等待连接中断请求CLOSE-WAIT：等待从本地用户发来的连接中断请求CLOSING：等待远程TCP对连接中断的确认LAST-ACK：等待原来的发向远程TCP的连接中断请求的确认TIME-WAIT：等待足够的时间以确保远程TCP接收到连接中断请求的确认CLOSED：没有任何连接状态netstat–anb可以查看系统端口的状态，显示每个连接是由哪些程序创建的，如下面：监听135端口的是由svchost.exe程序创建的。通过这个命令可以查看是哪些程序使用了哪些端口，可以帮助我们发现可疑的程序应用。（3）关闭IP端口和共享端口实例第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP安全策略，在本地计算机”。在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建IP安全策略”。于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名。关闭端口关闭TCP135、139、445、593、1025端口和UDP135、137、138、445端口，一些流行病毒的后门端口（如TCP2745、3127、6129端口），以及远程服务访问端口3389。再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉点击“完成”按钮就创建了一个新的IP安全策略。右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框。随后弹出“新规则属性”对话框，在画面上点击“添加”按钮。弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何IP地址”，目标地址选“我的IP地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮，这样就添加了一个屏蔽TCP135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加TCP137、139、445、593端口和UDP135、139、445端口，为它们建立相应的筛选器。重复以上步骤添加TCP1025、2745、3127、6129、3389端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。方法1：关闭RPC服务由于通过135网络端口，只能远程运行一些通过DCOM技术开发出来的应用程序，而DCOM技术在通信过程中，需要用到RPC服务；因此如果将服务器中的RPC服务停用的话，就能达到禁用135网络端口的目的了。在禁用RPC服务时，可以依次单击开始/程序/管理工具/服务命令，在随后打开的服务列表中，双击其中的RemoteProcedureCall选项，打开如所示的设置界面，将该界面的启动类型设置为已禁用选项，再单击一下确定按钮，服务器的RPC服务就会被暂时停用了。不过这种方法有很大的弊病，因为一旦将服务器的RPC服务停用的话，那么服务器将无法正常对外提供相关服务，比如数据库查询服务、远程登录服务等，因此这种方法只适合于普通的计算机，或者适合仅对外提供服务、DNS服务的服务器。方法2：禁用系统DCOM考虑到服务器中的DCOM服务才会访问135网络端口，要是我们能让系统禁用DCOM服务功能的话，就能实现间接地关闭135端口的目的了。要禁用计算机系统中的DCOM功能时，可以在系统的开始菜单中，执行运行命令，在弹出的运行对话框中，执行dcomcnfg.exe命令，在随后弹出的设置界面中，单击默认属性选项，在弹出的选项页面中，选中在这台计算机上启用分布式COM项目，再单击一下确定按钮，这样的话就能实现禁用系统DCOM服务的目的了。方法3：禁用网络登录如果我们事先设置一下服务器，让其不允许任何用户通过网络登录到服务器的话，那么黑客或攻击者自然就无法通过135网络端口，来对服务器进行攻击破坏了。要禁止其他用户通过网络来远程登录服务器时，可以通过修改组策略设置的方法来实现：依次单击开始/运行命令，在弹出的运行对话框中，输入gpedit.msc命令，单击确定按钮后，打开组策略编辑界面；依次展开该界面中的计算机配置、Windows设置、安全设置、本地策略、用户权利指派选项，在对应用户权利指派选项的右侧区域中，双击拒绝从网络访问这台计算机项目；接着单击其后窗口中的添加按钮，将everyone帐号导入进来，这样就能命令服务器中的每一位用户，都不允许通过网络访问服务器了。方法4：筛选TCP端口大家知道，Windows系统具有筛选TCP端口功能，利用该功能我们可以将来自于135网络端口的数据包，全部过滤掉，这样各种恶意攻击信息都无法通过135网络端口了。在过滤135端口的数据包时，可以先打开Internet协议(TCP/IP)属性设置对话框；然后打开其中的高级功能页面，并切换到选项标签页面中，选择其中的TCP/IP筛选项，再单击属性按钮，在弹出的设置窗口中，选中启用TCP/IP筛选选项，同时在TCP端口处，选中只允许，并单击添加按钮，将常用的21、23、80、110端口输入到这里，最后单击确定按钮，这样的话其余端口就会被自动排除了还有一种手动关闭135端口的方法（不要求）用一款编辑软件（推荐UltraEdit）打开你系统x:winntsystem32或者x:windowssystem32下的rpcss.dll文件。查找3100330035替换为3000300030查找3100330035，将其替换为3000300030，意思就是将135端口改为000。至此修改的任务已经完成，下面将面临一个保存的问题。因为该文件正在运行，在Windows环境下是不能覆盖的。如果你是FAT32文件系统，那么直接引导进DOS环境，将修改好的文件覆盖掉原来的文件。如果是NTFS格式，相对就麻烦一些。进安全模式。然后启动pulist列出进程，然后用pskill这个程序（不少黑客网站有的下）杀掉svchost.exe程序。然后在COPY过去。覆盖后重新启动，使用netstat-an命令，可以看到Windows2000下已经没有135端口了。XP系统下还有TCP的135，但是UDP里面已经没有135端口了。通过设备管理器关闭共享端口（135,139,445）在IP地址为192.168.2.105的电脑中，设置共享文件夹通过另外一台计算机访问共享文件夹右击“我的电脑——管理——设备管理器”点击“查看——显示隐藏的设备”并展开“非即插即用驱动程序”并找到NetBiosoverTcpip右击选择属性并打开对话框。点击“是”并重启计算机才能关闭端口（共享功能无法继续使用）（4）关闭UDP123端口和UDP1900端口实例2.关闭不必要的服务在windows操作系统中，默认开启的服务很多，但并非所有的服务都是操作系统所必需的，而禁止所有不必要的服务可以节省内存和大量系统资源，提升系统启动和运行的速度。例如FTP服务的21端口，Telnet服务的23端口，SMTP服务的25端口，以及HTTP服务的80端口等等（1）查看服务实例右击“我的电脑——管理”，双击“服务”（2）关闭服务实例