在默認設置條件下直接運行Windows，很多端口就會處于開放狀態(tài)。由于多種服務會自動起動，因此不需進行復雜的設置就能夠使用各種服務。但如果置之不理，就可能成為攻擊者的攻擊對象。安全對策的基礎是嚴格區(qū)分必要和不需要的服務，然后關閉不需要的服務。為此就必須了解Windows在默認設置中處于開放狀態(tài)的具有代表性的端口的作用及其危險性，并進行適當?shù)脑O置。

通過因特網(wǎng)，服務器硬盤中的內(nèi)容全部都可以看見。而且還能夠非常輕松地篡改和刪除其中的數(shù)據(jù)。也許讀者會想：哪里有有設置如此笨拙的服務器？！很多人覺得只要不進行極端的設置、故意對外公開硬盤中的內(nèi)容，就不會出現(xiàn)這種情況。

但實際上，在Windows中，即便管理員并非明確地起動某種服務、或者開放某個端口，也有可能發(fā)生這種情況。

在默認設置下，Windows會開放提供文件共享服務的TCP的139號端口。因此，在默認條件下起動文件共享服務后，系統(tǒng)就進入等待狀態(tài)。由此，機器就會始終處于被攻擊者訪問共享資源的危險境地。而共享資源則可以利用net命令輕松地進行分配。盡管C盤如果沒有管理員權限就無法共享，但如果不經(jīng)意地將Guest帳號設置為有效以后，就能夠訪問C盤，這樣一來就非常輕松地破壞硬盤。而且，今后也有可能發(fā)現(xiàn)其它利用文件共享服務發(fā)動攻擊的嚴重安全漏洞。

安全對策的基本原則是關閉不需要的服務。如果不起動服務，即便外部發(fā)來連接請求，機器也不會作出響應。要做到這一步，電腦管理員就必須充分了解哪些服務是必須的，以及目前實際上起動了哪些服務。

但是，在Windows中，在默認條件下會起動很多服務，而且很多時候各服務的作用也不容易搞清楚。而很多管理員不僅認識不到端口開放的危險性，而且在不了解服務的作用和必要性的情況下就會直接連接因特網(wǎng)。

應該注意的5個端口

那么，實際上在Windows默認條件下所開放的端口有哪些呢？筆者在安裝了Windows系統(tǒng)后，對在默認條件下開放的端口進行了一次調(diào)查。調(diào)查中使用了免費端口掃描工具“Nmap”（http://www.insecure.org/nmap/）。

在幾乎所有的Windows中所開放的端口包括135、137、138和139。此外，在2000、XP和.NET Server中445端口也是開放的。Windows在默認條件下開放的眾所周知的端口就是這5個。

這些到底是不是真正必要的服務呢？要想下結論，就必須充分了解這些端口各自的作用。雖說在默認條件下是開放的，但如果保持這種默認設置不變，就會在無意識的情況下受到非法訪問。因此，應該盡可能關閉不需要的服務。無論如何也不能停止的服務必須使用過濾軟件，確保能夠防止外部訪問。

下面對幾乎所有的Windows在默認條件下開放的最具代表性的5個端口即135、137、138、139和445等各自的作用作一詳細介紹。了解它們的作用后，就能夠推測出開放端口后可能存在哪些危險，從而就可以方便地制定相應的對策。

利用工具驗證到的135端口的危險性

雖說大家都說非常危險，但即難以了解其用途，又無法實際感受到其危險性的代表性端口就是135號。但是2002年7月能夠讓人認識到其危險性的工具亮相了，這就是“IE`en”。

該工具是由提供安全相關技術信息和工具類軟件的“SecurityFriday.com”公司（http://www.securityfriday.com）在網(wǎng)上公開提供的。其目的是以簡單明了的形式驗證135端口的危險性，呼吁用戶加強安全設置。不過，由于該工具的威力非常大，因此日本趨勢科技已經(jīng)將該工具的特征代碼追加到了病毒定義庫文件中。如果在安裝了該公司的病毒掃描軟件的電腦中安裝IE`en，就有可能將其視為病毒。

可以看到SSL的內(nèi)容

IE`en是一種遠程操作IE瀏覽器的工具。不僅可以從連接到網(wǎng)絡上的其他電腦上正在運行的IE瀏覽器中取得信息，而且還可以對瀏覽器本身進行操作。具體而言，就是可以得到正在運行的IE瀏覽器的窗口一覽表、各窗口所顯示的Web站點的URL及Cookie，以及在檢索站點中輸入的檢索關鍵詞等信息。

該工具所展示的最恐怖的情況是，在非加密狀態(tài)下可以看到本應受到SSL保護的數(shù)據(jù)。所以可以由此獲取加密前或者還原后的數(shù)據(jù)。如果使用IE`en，甚至能夠直接看到比如在網(wǎng)絡等輸入的卡密碼等信息。

IE`en使用的是Windows NT4.0/2000/XP標準集成的分布式對象技術DCOM（分布式組件對象模塊）。使用DCOM可以遠程操作其他電腦中的DCOM應用程序。該技術使用的是用于調(diào)用其他電腦所具有的函數(shù)的RPC（Remote Procedure Call，遠程過程調(diào)用）功能。而這個RPC使用的就是135端口。

利用RPC功能進行通信時，就會向?qū)Ψ诫娔X的135端口詢問可以使用哪個端口進行通信。這樣，對方的電腦就會告知可以使用的端口號。實際的通信將使用這個端口來進行。135端口起的是動態(tài)地決定實際的RPC通信所使用的端口的端口映射作用。

如果是利用DCOM技術開發(fā)的應用程序，都可以像IE瀏覽器那樣進行操作。比如，連接正在利用Excel工作的其他電腦，獲取單元格中輸入的值，或者對這個值本身進行編輯并非不可能的事情。

不過，要想利用該方法操縱他人的電腦，就必須知道該機的IP地址和注冊名以及密碼。因此，通過因特網(wǎng)而受到第三者的攻擊的可能性非常低。而危險性最高的是公司內(nèi)部環(huán)境。尤其是客戶端更為危險。這是因為在大多情況下不僅可以輕而易舉地得到他人的IP地址和注冊名，而且密碼的管理也不是很嚴格。學校以及網(wǎng)吧等多臺電腦采用相同設置的場合也需加以注意。

在公司內(nèi)部環(huán)境中務必將DCOM設置為無效

回避這種危險的最好辦法是關閉RPC服務。在“控制面板”的“管理工具”中選擇“服務”，在“服務”窗口中打開“Remote Procedure Call”屬性。在屬性窗口中將啟動類型設置為“已禁用”，自下次起動開始RPC就將不再啟動（要想將其設置為有效，在注冊表編輯器中將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs”的“Start”的值由0x04變成0x02后，重新起動機器即可）。不過，進行這種設置后，將會給Windows的運行帶來很大的影響。比如Windows XP Professional，從登錄到顯示桌面畫面，就要等待相當長的時間。這是因為Windows的很多服務都依賴于RPC，而這些服務在將RPC設置為無效后將無法正常起動。由于這樣做弊端非常大，因此一般來說，不能關閉RPC服務。

那么接下來要考慮的對策是信息包過濾。但是這同樣也會給Windows的運行帶來各種影響。比如，如果在客戶端關閉135端口，就無法使用Outlook連接Exchange Server。因為管理分布式處理的MSDTC、負責應用程序之間的信息交換的MSMQ以及動態(tài)地向連接網(wǎng)絡的電腦分配地址的DHCP等服務也都使用這個端口。

精通Windows網(wǎng)絡的高橋基信表示：“在Windows服務中，有很多服務需要使用RPC。另外，Windows網(wǎng)絡并不是設想在客戶端與服務器之間存在防火墻的狀態(tài)而組建的。因此公司內(nèi)部網(wǎng)絡環(huán)境中使用過濾功能時，應該在充分驗證后加以實施”。也就是說，在公司內(nèi)部環(huán)境中不僅是客戶端，即便是服務器也無法關閉135端口。服務器方面，為了使活動目錄和主域?qū)崿F(xiàn)同步，就要使用135端口。

但是卻有辦法只將DCOM設置為無效。這就是利用Windows NT/2000/XP標準集成的“dcomcnfg.exe”工具。從DOS命令中運行該工具以后，打開分布式COM配置屬性窗口，選擇“默認屬性”頁標，取消“在這臺計算機上啟用分布式COM”選項即可。在公司內(nèi)部不使用DCOM，并且不想讓其他計算機操作自己電腦COM的時候，就應該采用這種設置。

如果是客戶端，也有辦法禁止遠程登錄電腦。依次選擇“控制面板”、“管理工具”和“本地安全策略”，打開本地安全設置窗口，選擇本地策略中的用戶權利指派，然后利用該項下的“拒絕從網(wǎng)絡訪問這臺計算機”，指定拒絕訪問的對象。如果想拒絕所有的訪問，最好指定為“Everyone”。

公開服務器應該關閉135端口

公開于因特網(wǎng)上的服務器基本上不使用RPC。如前所述，盡管危險性比公司內(nèi)部環(huán)境低，但只要不運行使用DCOM的特定應用程序（只要不是必須的服務），就應該關閉135端口。比如只是作為Web服務器、郵件或DNS服務器來使用的話，即便關閉135端口，也不會出現(xiàn)任何問題。

不過需要通過因特網(wǎng)來使用DCOM應用程序時，就不能關閉該端口。但需要采取嚴格管理密碼的措施。

具體而言，就是說通過137端口除了該機的計算機名和注冊用戶名以外，還可以得到該機是否為主域控制器和主瀏覽器、是否作為文件服務器使用、IIS和Samba是否正在運行以及Lotus Notes是否正在運行等信息。據(jù)SecurityFriday.com公司的Michiharu Arimoto介紹：“除了計算機名以外，還可以準確地了解IIS、主域控制器、主域瀏覽器以及文件服務器等相關信息。雖說不是百分之百，但有時還能夠得到其他信息”。

也就是說，只要您想獲得這些信息，只需向這臺個人電腦的137端口發(fā)送一個請求即可。只要知道IP地址，就可以輕松做到這一點。不只是公司內(nèi)部網(wǎng)絡，還可以通過因特網(wǎng)得到這樣的信息。

對于攻擊者來說，這簡直太方便了，可以很容易地了解目標電腦的作用及網(wǎng)絡的結構。隨意地泄漏這樣的信息，就好象是很友好地告訴攻擊者應該如何來攻擊自己的電腦。比如，如果知道IIS服務正在運行，就可以輕松地了解這臺電腦上已經(jīng)起動的服務。攻擊者根本不必特意地通過端口掃描來尋找可以下手入侵的端口。

另外，如果捕捉到正在利用137端口進行通信的信息包，還有可能得到目標主機的起動和關閉時間。這是因為Windows起動或關閉時會由137端口發(fā)送特定的信息包。如果掌握了目標主機的起動時間，就可以非常輕松地使用上一次所講的IE`en等軟件通過135端口操作對方的DCOM。

使用137端口，管理計算機名

137端口為什么會把這種信息包泄漏到網(wǎng)絡上呢？這是因為，在Windows網(wǎng)絡通信協(xié)議--“NetBIOS over TCP/IP（NBT）”的計算機名管理功能中使用的是137端口。

計算機名管理是指Windows網(wǎng)絡中的電腦通過用于相互識別的名字--NetBIOS名，獲取實際的IP地址的功能?？梢杂脙煞N方法使用137端口。

一種方法是，位于同一組中的電腦之間利用廣播功能進行計算機名管理。電腦在起動時或者連接網(wǎng)絡時，會向位于同組中的所有電腦詢問有沒有正在使用與自己相同的NetBIOS名的電腦。每臺收到詢問的電腦如果使用了與自己相同的NetBIOS名，就會發(fā)送通知信息包。這些通信是利用137端口進行的。

另一種方法是利用WINS（Windows因特網(wǎng)名稱服務）管理計算機名。被稱為WINS服務器的電腦有一個IP地址和NetBIOS名的對照表。WINS客戶端在系統(tǒng)起動時或連接網(wǎng)絡時會將自己的NetBIOS名與IP地址發(fā)送給WINS服務器。與其他計算機通信時，會向WINS服務器發(fā)送NetBIOS名，詢問IP地址。這種方法也使用137端口。

如上所述，為了得到通信對象的IP地址，137端口就要交換很多信息包。在這些信息包中，包括有如表3所示的很多信息。利用廣播管理計算機名時，會向所有電腦發(fā)送這些信息。如果使用NBT，就會在用戶沒有查覺的情況下，由電腦本身就會向外部散布自己的詳細信息。

138端口用于瀏覽

而138端口也和137端口一樣會向外部發(fā)送自己的信息。盡管信息量沒有137端口那么多，但其特點是會被別人得到Windows的版本信息。比如，會泄漏Windows版本是Windows 2000 Server。

138端口提供NetBIOS的瀏覽功能。該功能用于顯示連接于網(wǎng)絡中的電腦一覽表。比如，在Windows2000中由“網(wǎng)絡鄰居”中選擇“整個網(wǎng)絡”后，就會完整地顯示連接于網(wǎng)絡中的電腦。

該功能使用的是與上面所講的計算機名管理不同的運行機制。在瀏覽功能中，被稱為主瀏覽器的電腦管理著連接于網(wǎng)絡中的電腦一覽表的瀏覽列表。每臺電腦在起動時或連接網(wǎng)絡時利用138端口廣播自己的NetBIOS名。收到NetBIOS名的主瀏覽器會將這臺電腦追加到瀏覽列表中。需要顯示一覽表時，就廣播一覽表顯示請求。收到請求的主游覽器會發(fā)送瀏覽列表。關閉電腦時，機器會通知主瀏覽器，以便讓主瀏覽器將自己的NetBIOS名從列表中刪除掉。這些信息的交換使用的是138端口。由于這里也會進行廣播，因此就會將自己的電腦信息發(fā)送給同組中的所有電腦。

公開服務器應關閉NetBIOS

NetBIOS服務使用了137和138端口的向外部發(fā)送自己信息的功能。一般情況下，這是一種在連接在因特網(wǎng)上的公開服務器不需要的服務。因為NetBIOS主要用于Windows網(wǎng)絡中。因此，公開服務器應該停止這種服務。

而對于在公司內(nèi)部網(wǎng)絡環(huán)境中構筑Windows網(wǎng)絡的電腦來說，NetBIOS則是必要的服務。如要停止NetBIOS，反過來就必須放棄Windows網(wǎng)絡的方便性。

停止NBT服務的方法。選擇“將NetBIOS over TCP/IP設置為無效”

不過，如果是Windows 2000以上的版本，不使用NetBIOS也能夠管理計算機名（詳情后述）。因此如果是全部由Windows 2000以上的個人電腦構筑而成的網(wǎng)絡，就可以停止NBT。雖說如此，此時方便性就會降低，比如，無法顯示用于尋找文件共享對象的信息。

要想停止NetBIOS服務，首先由控制面板中選擇目前正在使用的網(wǎng)絡連接，在屬性窗口中查看“Internet協(xié)議（TCP/IP）”的屬性。在“常規(guī)”頁標中單擊“高級”按鈕，在“WINS”頁標中選擇“禁用TCP/IP上的NetBIOS（S）”即可。這樣，就可以關閉137、138以及后面將要講到的139端口。

在此需要注意一點。NetBEUI協(xié)議如果為有效，NetBIOS服務將會繼續(xù)起作用。在Windows 95中，NetBIOS是在默認條件下安裝的。在更高的Windows版本中，如果選擇也可以安裝。所以不僅要停止NBT，還應該確認NetBEUI是否在起作用。如果使用NetBEUI，即便關閉137端口，也仍有可能向外部泄漏表3所示的信息。

139和445端口是危險的代名詞

連接于微軟網(wǎng)絡上的電腦之間使用137和138端口取得IP地址。然后進行文件共享和打印機共享等實際通信。通信過程是通過SMB（服務器信息塊）協(xié)議實現(xiàn)的。這里使用的是139和445端口。

SMB與CIFS的區(qū)別。Windows 2000以前版本的Windows使用NetBIOS協(xié)議解決各計算機名的問題。通過向WINS服務器發(fā)送通信對象的NetBIOS名，取得IP地址。而Windows以后的版本所采用的CIFS則利用DNS解決計算機的命名問題。根據(jù)DNS服務器中的名字列表信息，尋找需要通信的對象。如果順利地得到對象的IP地址，就可以訪問共享資源。

在SMB通信中，首先使用上述的計算機名解釋功能，取得通信對象的IP地址，然后向通信對象發(fā)出開始通信的請求。如果對方充許進行通信，就會確立會話層（Session）。并使用它向?qū)Ψ桨l(fā)送用戶名和密碼信息，進行認證。如果認證成功，就可以訪問對方的共享文件。在這些一連串的通信中使用的就是139端口。

Windows 2000和XP除此之外還使用445端口。文件共享功能本身與139端口相同，但該端口使用的是與SMB不同的協(xié)議。這就是在Windows 2000中最新使用的CIFS（通用因特網(wǎng)文件系統(tǒng)）協(xié)議。

CIFS和SMB解決計算機名的方法不同。SMB使用NetBIOS名的廣播和WINS解決計算機名，而CIFS則使用DNS。

因此，在文件服務器和打印服務器使用Windows的公司內(nèi)部網(wǎng)絡環(huán)境中，就無法關閉139和445端口。很多情況下，文件共享和打印機共享在普通的業(yè)務中是不可缺少的功能。而客戶端如果自身不公開文件，就可以關閉這兩個端口。

假如是僅2000版本以后的Windows構成的網(wǎng)絡，就可以關閉139端口。這是因為如前所述，該網(wǎng)絡只用445端口就能夠進行文件共享。由于在解決計算機名過程中使用DNS，所以也可以關閉137和138端口。不過，在目前情況下，基本上所有的網(wǎng)絡系統(tǒng)都還在混合使用2000以前的Windows版本。在混合網(wǎng)絡環(huán)境中由于必須使用139端口通過SMB協(xié)議進行通信，因此就無法關閉139端口。另外，瀏覽時還需要137～139端口。

公開服務器絕對應該關閉這些端口

在因特網(wǎng)上公開的服務器要另當別論。公開服務器打開139和445端口是一件非常危險的事情。就像本文開頭所說的那樣，如果有Guest帳號，而且沒有設置任何密碼時，就能夠被人通過因特網(wǎng)輕松地盜看文件。如果給該帳號設置了寫入權限，甚至可以輕松地篡改文件。也就是說在對外部公開的服務器中不應該打開這些端口。通過因特網(wǎng)使用文件服務器就等同自殺行為，因此一定要關閉139和445端口。對于利用ADSL永久性接入因特網(wǎng)的客戶端機器可以說也是如此。

要關閉139端口，與137和138端口一樣，可以選擇“將NetBIOS over TCP/IP設置為無效”。而要想關閉445端口則必須進行其他工作。利用注冊表編輯器在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters”中追加名為“SMBDeviceEnabled”的DWORD值，并將其設置為0，然后重新起動機器。

.NET中安全策略改變了嗎？

就像在此之前所講的那樣，直接在默認設置條件下使用現(xiàn)有的Windows將會出現(xiàn)各種各樣的危險。這是因為Windows是為了讓初學者不需進行復雜設置就可以使用而開發(fā)的。

比如Windows 2000 Server，在安裝該系統(tǒng)時，會自動安裝IIS。而且只需起動個人電腦，IIS服務就會啟動。雖然Windows NT 4.0 Server可以選擇是否安裝IIS，但在默認條件下該服務的復選框是有效的。與2000一樣，在起動電腦時，IIS服務也會自動起動。

而Linux則在很多方面都采取的是完全不同的思路。比如，RedHat Linux 7.3在安裝過程中必須讓用戶設置防火墻。由于防火墻有“高”、“中”、“低”三種等級，因此所攔截的信息包也各不相同。如果選擇“高”將關閉53（DNS）、67和68（DHCP）以外的全部端口，如果選擇“中”，盡管會打開1024以上的端口，但在一般人熟知的端口中打開的只有53、67和68三個。

安裝應用程序時的作法也不同。RedHat Linux 7.3在安裝時可選擇“工作站”、“服務器”和“桌面”三種類型。因此即使選擇“服務器”，如果用戶不選擇構筑兼容Windows的文件服務器“Samba”和Web服務器“Apache”等，就不會進行安裝。另外，即便安裝以后，也不會直接起動。如果用戶明確地啟動必要的服務后，沒有設置利用過濾軟件過濾信息包，相應端口就不會打開。

如果只考慮方便性，Windows要更好一些。這是因為即便不進行復雜的設置，系統(tǒng)也能夠自動起動各種服務。但這樣一來，就甚至極有可能起動用戶不希望起動的服務，而且這些服務往往還是在用戶不知曉的情況下起動的?？梢赃@樣說，如果希望安全地運行服務器，或者希望保護自己的客戶端個人電腦免受危險，那么最好不要隨便安裝和設置。

美國微軟也提出了“值得依賴的計算”（Trustworthy Computing）的計劃，并計劃利用定于2003年初開始上市的“Windows .NET Server”實現(xiàn)“默認安全”。與Windows 2000不同的是，將不再標準安裝IIS服務。即便增加了IIS組件，OS起動時該服務也不會自動運行。

不過，如果只要使用測試版，135、137、138、139和445端口在默認條件下就是打開的。另外，從Windows XP開始導入的“因特網(wǎng)連接防火墻（ICF）”的使用在默認條件下也是無效的。要想在默認設置下實現(xiàn)與Linux相同等級的高安全性，可以說最穩(wěn)妥的方法是將ICF設置為有效，然后用戶再根據(jù)自己的需要，選擇起動的服務。