扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在我们搞网络安全的角度出发,保护网络安全,而已从三个方面出发。一是企业内网与外网之间的连接安全;二是企业内部传输安全;三是操作系统本身的安全。这篇文章,笔者试图总结一下,在操作系统本身的设置上,我们该如何保护系统本身的安全,从而提高网络整体的安全性。
一、 关闭不必要的端口
其实电脑操作系统,就好象是一套房子。你门越多,外面的非法入侵者进入就越容易。若你整套房子只有一个门,那你只要守住这一个门就可以了。俗话说,无孔不入,你多开一个门,就多给人家一个入侵的机会。所以,我们在操作系统访问上,要把一些平时不用的门都关了,让病毒、木马没门可入。
要关闭不必要的端口,你首先当然是要了解端口的用途,不然的话,你不管三七二十一,把所有的端口的关闭了。那最后的结果是,你正常的功能都无法进行。
下面,笔者列出常见的可能被攻击的端口,一般情况下,要把这些端口屏蔽掉。
一是23端口。若这个端口开着非常的危险,这个端口主要用做TELNET登录。Telnet服务给我们的最直接的感受就是它可以使得我们忘掉电脑与电脑之间的距离。也就是说,利用23端口的Telnet我们可以象访问本机那样访问远程的计算机。起初专家发门这个协议,是用来帮助我们对于计算机实现远程管理与维护,以提高我们的工作效率。但是,现在的话,反而成为了一个黑客攻击最常利用的一个端口。我想,那些专家可能也不会想到会有今天这种事情发生。若不怀好心的人利用Telnet服务登陆到23端口,就可以任意在对方电脑上上传与下载数据,包括上传木马与病毒等等。
二是21端口。这个端口主要用来运行FTP服务。糟糕的是,这个端口,若管理不善的话,是可以用户进行匿名登陆的。居心不良的人,还可以利用这个端口远程登陆并运行远程命令,这也就是说,可以在远程上传木马等工具并在远程控制其运行。同时, 有时候,还可以利用FTP服务了解到攻击所需要的基本信息,如用的是什么操作系统等等;如果运气好的话,还可以获知可用的帐号,等等。一般情况下,特别是在企业中,没有必要开启21号端口。
三是135端口。通过135端口入侵实际上就是在利用操作系统的RPC漏洞。一般情况下,135端口主要用来实现远程过程调用。通过RPC可以保证在一台计算机上运行的程序可以顺利地 执行远程计算机上的代码。利用这个漏洞,我们最主要的是,可以通过这个端口得到电脑上的“主机”文件。得到这个文件后,我们再利用一定的工具,就可以知道该电脑上可用的计算机用户名与密码,甚至是管理员的用户名与密码。得到这个用户名之后,他们就可以为所欲为了。如可以上传木马工具,把你的电脑当做肉鸡;也可以随意的查看你电脑的文件,等等。简单的说,你的电脑现在已经赤裸裸的放在他面前,基本上已经没有任何的隐私了。
以上我只是列举了比较常见的一些端口。除了以上这些端口外,还有很多端口也会被人所利用。其实,这些端口我们平时都可以关掉,或者为各个相关服务设置比较强大的密码,并禁止匿名登陆等等。不过,我还是建议大家,把端口直接关闭掉好了。到需要的时候,再去打开。
另外,你若对哪些端口需要关闭不清楚的话,还有一个偷懒的方法,就是利用端口扫描软件。还有一些杀毒软件,也可以帮助你扫描端口,然后给你提供建议,让你关闭哪些端口。当然他们给出的只是一些建议,具体要不要关闭,还是要看你网络具体执行的服务。
最后,关闭端口的方法也有很多,不过我建议的话,还是利用组策略来关闭。因为组策略可以复制,那么只需要在一台电脑上配置好以后,把组策略更新到其他电脑上即可。而且,若你公司的网络采取域控制器的话,那更加理想。可以在域控制器上,管理公司内网内各台电脑的端口。这就不需要管理员一台一台电脑去配置。
还有一点我们要注意的是,这些端口关闭之后,并不是意外着我们可以高枕无忧了。要知道,这些端口还可以被人远程的打开。所以,我们还是需要不定时的查看端口的状态。看看有没有端口被别人打开过。这我们可以通过端口扫描工具,都可以了解公司网络上的主机,都打开了哪些端口。所以,我们管理起来,还是比较方便的。主要是,我们要不怕麻烦,要有这个观念。
二、 补丁升级
其实现在很多病毒导致网络瘫痪的事故,很多都是因为没有及时打上补丁所造成的。若我们能够操作系统及时打上补丁,就好象窗户破了,马上给修好。在病毒还没有利用这个漏洞之前,把其补好。如此,就不用害怕这个漏洞了。前车之鉴,我们还是需要借鉴借鉴的。发生在别人身上血粼粼事件,为什么还要在我们身上重演呢?
如前不久出现的MSN相片蠕虫变种D(Worm.Win32.MSNPhoto.d)”病毒。据专家介绍,它是一个能在WIN9X/NT/2000/XP系统上运行的木马病毒。该病毒会通过MSN自动发送一个名为“myphotos2007.zip”的压缩文件,用户接收运行后就会中毒,中毒电脑可被黑客远程控制。而这个病毒的话,我们只需要及时给系统打上补丁的话,则就可以很好的防止这个病毒。
在补丁升级的过程中,我们要注意一些问题。
一是要知道我们要升级的补丁到底是用来解决什么问题的?一般来说,补丁可以分为两类,一类是功能性的补丁,也就是应用上的缺陷,一般不会被病毒所利用;还有一类是安全漏洞,容易被病毒、木马等利用。所以,我们要对补丁能够进行区分。在正常情况下,功能性补丁只要现有的功能能够满足员工的需要,我们没有必要急着去升级。而对于安全漏洞型的补丁,我们则要迅速给员工打补丁。等到用户电脑瘫痪了,再给其打补丁,已经晚了。同时,我们还要知道,什么补丁是用来解决什么病毒的。如此的话,在某个特定病毒泛滥的时候,我们就要有针对性的去检测企业内部的电脑,看看这些补丁是否打上,以防止有漏网之鱼。
二是在打补丁之前,我们还是有必要测试一下,补丁的兼容性问题。说实话,我现在对微软操作系统的补丁实在不放心。有好几次,我都吃了哑巴亏。补丁装上去以后,发现原有的软件,不能用了,或者运行起来特别的慢。所以,我建议用户,在打任何补丁之前,最好先在一台电脑上进行测试。若跟现有软件没有冲突的情况下,再在所有电脑上打补丁。这虽然有点麻烦,但是,至少比打上补丁后电脑瘫痪比较好。
三是补丁安装策略。我一般是不建议用户自己安装补丁的。因为这些补丁我没有测试过,我不知道是否跟本机的软件有否冲突。所以,我现在是把各个用户的电脑,微软自动升级功能都是禁用掉的。我采取的是统一的补丁部署策略。微软提供了一个很好的补丁发布工具,利用他,我可以用一台电脑作为模板,在上面先部署好补丁,测试无误后,然后,再自动更新到其他电脑上。如此,即省力又省心。当然还有其他的一些方法。我有个朋友研究发现,利用360安全卫士也可以批量的给本地电脑快速打系统补丁。利用360度安全卫士可以部分实现微软提供的补丁管理工具的功能,不过唯一的缺憾就是要一台电脑一台电脑的打补丁,操作起来比较麻烦一点。
四是最好把补丁跟系统安装盘结合在一起。要知道,若重新安装系统,再打补丁的话,那可能打补丁的时间可能不装操作系统的时间还要长。更懊恼的是,在打补丁的过程中,可能还需要不断的重启。所以,以前打补丁的过程,是非常让人气愤的。现在我有一个干净的操作系统,每次打好补丁后,我就会制作一张安装的GHOST盘。如此的话,每次安装完系统后,就不用进行这痛苦的补丁过程了。所以,我建议用户,最好在公司里准备一台操作系统干净的电脑,每次为其打完补丁后,都要根据这个操作系统,制作GHOST安装镜象,以节省以后安装操作系统时补丁升级的烦恼。
最后要提醒用户的就是,在补丁升级的过程之前,一定要先进行测试。千万不能够想当然而,微软的补丁不会有问题的。其实呢,因为补丁的问题,导致软件之间的冲突,甚至系统的崩溃,也不在少数。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。