揭開Windows的秘密 潛伏在Windows默認設置中的陷井（下）

　　和端口是危險的代名詞
　　
　　連接於微軟網絡上的電腦之間使用和端口取得IP地址然後進行文件共享和打印機共享等實際通信通信過程是通過SMB（服務器信息塊）協議實現的這裡使用的是和端口
　　
　　
　　圖１●SMB與CIFS的區別Windows 以前版本的Windows使用NetBIOS協議解決各計算機名的問題通過向WINS服務器發送通信對象的NetBIOS名取得IP地址而Windows以後的版本所采用的CIFS則利用DNS解決計算機的命名問題根據DNS服務器中的名字列表信息尋找需要通信的對象如果順利地得到對象的IP地址就可以訪問共享資源
　　
　　
　　在SMB通信中首先使用上述的計算機名解釋功能取得通信對象的IP地址然後向通信對象發出開始通信的請求如果對方充許進行通信就會確立會話層（Session）並使用它向對方發送用戶名和密碼信息進行認證如果認證成功就可以訪問對方的共享文件在這些一連串的通信中使用的就是端口
　　
　　Windows 和XP除此之外還使用端口文件共享功能本身與端口相同但該端口使用的是與SMB不同的協議這就是在Windows 中最新使用的CIFS（通用因特網文件系統）協議
　　
　　CIFS和SMB解決計算機名的方法不同SMB使用NetBIOS名的廣播和WINS解決計算機名而CIFS則使用DNS（圖）
　　
　　因此在文件服務器和打印服務器使用Windows的公司內部網絡環境中就無法關閉和端口很多情況下文件共享和打印機共享在普通的業務中是不可缺少的功能而客戶端如果自身不公開文件就可以關閉這兩個端口
　　
　　假如是僅版本以後的Windows構成的網絡就可以關閉端口這是因為如前所述該網絡只用端口就能夠進行文件共享由於在解決計算機名過程中使用DNS所以也可以關閉和端口不過在目前情況下基本上所有的網絡系統都還在混合使用以前的Windows版本在混合網絡環境中由於必須使用端口通過SMB協議進行通信因此就無法關閉端口另外浏覽時還需要～端口
　　
　　公開服務器絕對應該關閉這些端口
　　
　　在因特網上公開的服務器要另當別論公開服務器打開和端口是一件非常危險的事情就像本文開頭所說的那樣如果有Guest帳號而且沒有設置任何密碼時就能夠被人通過因特網輕松地盜看文件如果給該帳號設置了寫入權限甚至可以輕松地篡改文件也就是說在對外部公開的服務器中不應該打開這些端口通過因特網使用文件服務器就等同自殺行為因此一定要關閉和端口對於利用ADSL永久性接入因特網的客戶端機器可以說也是如此
　　
　　要關閉端口與和端口一樣可以選擇將NetBIOS over TCP/IP設置為無效而要想關閉端口則必須進行其他工作利用注冊表編輯器在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters中追加名為SMBDeviceEnabled的DWORD值並將其設置為然後重新起動機器
　　
　　NET中安全策略改變了嗎？
　　
　　就像在此之前所講的那樣直接在默認設置條件下使用現有的Windows將會出現各種各樣的危險這是因為Windows是為了讓初學者不需進行復雜設置就可以使用而開發的
　　
　　比如Windows Server在安裝該系統時會自動安裝IIS而且只需起動個人電腦IIS服務就會啟動雖然Windows NT Server可以選擇是否安裝IIS但在默認條件下該服務的復選框是有效的與一樣在起動電腦時IIS服務也會自動起動
　　
　　而Linux則在很多方面都采取的是完全不同的思路比如RedHat Linux 在安裝過程中必須讓用戶設置防火牆由於防火牆有高中低三種等級因此所攔截的信息包也各不相同如果選擇高將關閉（DNS）和（DHCP）以外的全部端口如果選擇中盡管會打開以上的端口但在一般人熟知的端口中打開的只有和三個
　　
　　安裝應用程序時的作法也不同RedHat Linux 在安裝時可選擇工作站服務器和桌面三種類型因此即使選擇服務器如果用戶不選擇構築兼容Windows的文件服務器Samba和Web服務器Apache等就不會進行安裝另外即便安裝以後也不會直接起動如果用戶明確地啟動必要的服務後沒有設置利用過濾軟件過濾信息包相應端口就不會打開
　　
　　如果只考慮方便性Windows要更好一些這是因為即便不進行復雜的設置系統也能夠自動起動各種服務但這樣一來就甚至極有可能起動用戶不希望起動的服務而且這些服務往往還是在用戶不知曉的情況下起動的可以這樣說如果希望安全地運行服務器或者希望保護自己的客戶端個人電腦免受危險那麼最好不要隨便安裝和設置
　　
　　美國微軟也提出了值得依賴的計算（Trustworthy Computing）的計劃並計劃利用定於年初開始上市的Windows NET Server實現默認安全與Windows 不同的是將不再標准安裝IIS服務即便增加了IIS組件OS起動時該服務也不會自動運行
　　
　　不過如果只要使用測試版和端口在默認條件下就是打開的另外從Windows XP開始導入的因特網連接防火牆（ICF）的使用在默認條件下也是無效的要想在默認設置下實現與Linux相同等級的高安全性可以說最穩妥的方法是將ICF設置為有效然後用戶再根據自己的需要選擇起動的服務
From:http://tw.wingwit.com/Article/os/xtgl/201311/9050.html