知道哪些系统服务会使你身处险境吗(4)

微软原来想干嘛:这回微软想的终于和人们实际用的差不多，很多人都在使用共享服务来完成局域网中的文件共享。
黑客是怎么干的:先登录IPC，然后用“net use”命令把被害者电脑中的盘符给映射到本地，然后像平时复制文件的方式一样，把木马病毒之类的东西塞到不幸的人的硬盘里。
安全建议:如果你平时就不在局域网里传什么文件，就把它“禁用”。

计划着怎么整你的恐怖服务
涉及服务:Task Scheduler 危害:降低入侵难度
刚才说到，一旦你沦为肉鸡，被别人往硬盘里塞文件时，你的系统差不多已经被完全攻陷了。不过如果你的运气好，入侵你的正好是个菜鸟，那就给他设一道难以逾越的障碍吧！将Task Scheduler服务禁用能够防止黑客利用此服务远程执行传送到本地机上的恶意程序文件。
微软原来想干嘛:仅仅是让本地和远程的人决定系统在什么时间应该干什么罢了。
黑客是怎么干的:先像上文说的那样，把病毒往受害者硬盘里塞，然后用“net time”查一下对方的系统时间，再用AT命令(需要依赖Task Scheduler服务)建立一个执行病毒文件的计划任务。
安全建议:如果你没有什么自动执行的正常计划，那就把它设为“禁用”。

3389不是暗号，是入侵
涉及服务:Terminal Services 危害:给黑客多留的一道门
用过远程桌面吗？能控制远程电脑的桌面，就像在操作自己的桌面似的。好玩吧？但如果被玩的是你，你就不会这么觉得了。在入侵时，系统中点滴的不严密都可能成为导火索。黑客可以很容易地通过执行一些脚本文件，来达到开启“远程桌面”的效果(见图8)，如果替换了相关的系统DLL文件，还能让你的登录状态不受影响，黑客只是用另一个账户登录到你的系统中，隐蔽性很强。

微软原来想干嘛:留下后门，却偏偏说是帮助远程用户管理系统。
黑客是怎么干的:系统已经占领了，替换系统文件，让Windows XP也能实现多用户同时登录，上传个脚本，开启“远程桌面”，然后登录你的3389端口，远程玩你的系统。
安全建议:没啥说的，禁用之。但这样做有个副作用，在“任务管理器”的进程中看不到用户名了。

小提示
3389是远程桌面的默认端口号，可以通过修改注册表来实现默认端口的修改。

最后的重要提示，手动≠禁用
别以为把服务设为“手动”就行了，你可能会想:只要我自己不启动它，谁还能动它？其实大错特错，在得到IPC管理共享后，要手工开启服务也就1条命令而已，比如说要启用地址为192.168.0.2的电脑上的Task Scheduler服务，只需要在命令提示符下运行下面的命令就行了:
sc \\192.168.0.2 Start Schedule
其中Start是指启动服务，而Schedule则是Task Scheduler的“服务名称”，它和显示名称不一样，在服务属性里能找到。但如果将启动类型设为“禁用”，那么远程执行此命令就会收到错误信息。