病毒木马:个人电脑中常见的安全风险与对策

摘要：本文简要地介绍了个人电脑中常见的安全风险，阐述了防火墙所有核心技术在个人电脑中的使用以及个人防火墙中的配置问题，讨论了为提高个人电脑的安全性需采用的技术和对策。

关键词：安全风险 防火墙 包过滤 应用代理 状态检查

 

 

随着网络技术的发展，因特网走上办公桌，走进千家万户，网上办公、网上支付、网上交易、网上娱乐逐步成为现实。但是，人们在一边享受网络带来的巨大好处，一边也在不知不觉中承受着随之而来的安全风险。病毒入侵，木马攻击，恶意的端口扫描，强力口令破解，轻则使电脑瘫痪，重则使数据泄密和丢失，造成难以弥补的损失或灾难性后果。但是，这些安全风险，并没有引起人们的高度重视，尤其是在个人电脑中。

 

一、             个人电脑中的安全风险

 

目前，绝大部分个人电脑使用的是WindowS 系列操作系统。WindowS 虽然是非常优秀的操作系统，在客户端的使用占有绝对优势，但配置不当，将会带来许多安全风险。WindowS 在默认条件下运行，许多端口处于开放状态，特别是WindowS 2000。这些开放端口，常常是黑客首选的攻击手段。例如，攻击者利用在80 端口运行的115 中存在的缓存区溢出漏洞，不仅严重影响客户机安全，而且几乎可以使整个网络瘫痪。通过因特网，浏览、窜改和删除客户机或服务器硬盘中的数据并非天方夜潭，更不用说来自内部网中的攻击了。很多人觉得只要不是有意公开硬盘中的内容，就不会出现这种情况，但实际上，远非如此。

在个人电脑中，存在的安全风险很多。病毒人侵造成系统瘫痪，通过防毒杀毒能得到部分解决，但另一类常被人们忽视的安全风险，那就是由于默认开放端口所造成的危害。WindowS 在默认条件下开放的端口共5 个，即135 、137 、138 、139 和445 端口。其中，135 、137 、138 和139 端口几乎在所有的WindowS 中均出于开放状态。在Windows 2000 、XP 和．net

中，还开放445 端口。135 端口2002 年7 月SecurityFriday 在因特网上公布了一种验证135 端口危险性的工具，即IE ' en ，呼吁用户加强安全设置。IE ' en 是一种远程操作IE 浏览器的软件，利用它可以得到运行中的IE 浏览器的窗口一览表、各窗口所显示的URL 、Cookie 以及输人的检索关键词等信息。最为可怕的是利用该工具还可看到本应受到SSL 加密协议保护的数据，甚至能够直接看到在网络银行中输人的银行现金卡密码信息。IE , en 使用的是WindowS 中的分布式对象模型DCOM 。DCOM 模型利用HPC ( Remote Procedure Call ）协议来调用另外一台机器中的远程函数。RPC 使用的正是135 端口。

DCOM 利用RPC 协议进行通信时，会向对端的135 端口询问，以便协商可以使用哪个端口进行实际的通信，如果对端的135 端口是开放的，就会告知可以用来实际通讯的端口号。因此，利用DCOM 开发的应用程序，都可以像上述攻击IE 浏览器那样实施攻击。比如，攻击正在网上运行Excel 的个人电脑，获取其单元格中输人的值，或者对这个值进行编辑操作等，危险性可想而知。

不过，想利用该方法通过因特网操纵他人电脑进行攻击的可能性较小，而危险性很高的是内部网络环境，尤其是客户端。因为在大多数情况下，在内部网中，不仅可以轻而易举地得到他人的IP 地址和用户名，甚至能得到那些管理不严的密码。

回避这种危险的最好办法是关闭RPC 服务。不过，关闭RPC 服务后，会给WindowS 的运行带来许多不利的影响，比如WindowS XP Professional ，从登录到显示桌面，就要等待相当长的时间。Windows 的很多服务都依赖于RPC ，而这些服务在RPC 设置为无效后都无法正常启动。因此，一般来说，不能轻易关闭RPC 服务但在因特网上的服务器基本上不使用RPC ，就应该坚决关闭135 端口。比如只是将WindowS 作为Web 、邮件或DNS 服务器，尤其是客户机使用的话，即便关闭135 端口，也不会出现任何问题。但是如果需要通过因特网来使用DCOM 应用程序时，就不能关闭该端口，而需要采取严格管理密码的措施。

137 端口

通过137 端口除了可以得到开放此端口的计算机名和注册用户以外，还可以确定该机是否为主域控制器，是否作为文件服务器在使用以及115 、SMB 服务是否正在运行等信息。这种情况，不只是发生在内部网络，在因特网上同样存在。对于攻击者来说，可以很容易地了解目标电脑的作用及网络结构。攻击者根本不需要特意地通过端口扫描来寻找可以下手入侵的端LJ 。另外，如果捕捉到正在利用137 端口进行通信的信息包，还有可能得到目标主机的启动和关闭时间。这是因为WindowS 启动或关闭时会由137 端口发送特定的信息包。如果掌握了目标主机的启动时间，就可以使用IE ' en 等软件通过135 端口操作对方的DCOM 。

可以用两种方法使用137 端口。一种方法是，位于同一组中的电脑之间利用广播功能进行计算机名管理。电脑在起动或者连接网络时，会向位于同组中的所有电脑询问有没有正在使用与自己相同的Net - BIOS 名。每台收到询问的电脑如果使用了与自己相同的NetBIOS 名，就会发送通知信息包。另一种方法是利用WINS 服务管理计算机名，被称为WINS 服务器的电脑有一个IP 地址和NetBIOS 名的对照表。WINS 客户端在系统起动或连接网络时会将自己的NetBIOS 名与IP 地址发送给WINS 服务器。与其他计算机通信时，又向WINS 服务器发送对端机器的NetBIOS 名，询问其IP 地址，以便完成通讯。

为了得到通信对象的IP 地址，双方要通过137 端口*交换很多信息包。如果使用NetBIOS 名，就会在用户没有查觉的情况下，向外部散布许多机器信息，留下安全隐患。

138 端口

138 端口除了会泄漏WindowS 的版本信息外，也提供NetBIOS 的浏览功能。后者用于显示网络中的电脑列表。比如，在WindowS 2000 中，由“网络邻居”中选择“整个网络”后，就会完整地显示出正在联网的电脑。NetBIOS 服务使用了137 和138 端口向外部发送信息。通常这种服务在因特网上是不需要的，应该关闭它。如果是WindowS 2000 或其以上的版本，不使用NetBIOS 也能够管理计算机名。因此全部由WindowS 2000 或其以上的个人电脑构筑而成的网络，就可以停止NetBIOS 。要想停止NetBIOS 服务，首先在控制面板中选择目前正在使用的网络连接，在属性窗口中查看" Internet 协议（TcP / IP ) ”的属

性。在“常规”标签中单击“高级”按钮，按“WINS ”标签选择“禁用TCP 月P 上的NetBIOS ”即可。这样，就可以关闭137 、138 以及后面将要讲到的139 端口。

139 和445 端口

在WindowS 中，139 和科5 端口主要通过SMB 协议实现文件和打印机共享。WindowS 20 （刃以前的版本使用NetBIOS 协议解决计算机名和IP 地址的映射。而后续版本则利用DNS 解决这个问题。在SMB 通信中，首先使用上述的计算机名解释功能，取得通信对象的IP 地址，然后向通信对象发出开始通信的请求。如果对方充许进行通信，就建立会话，并使用它向对方发送用户名和密码信息，进行认证。若认证成功，就可以访问对方的共享文件。在这些一连串的通信中使用的是139 端口。WindowS 2000 和XP ，除使用139 端口外，还使用 445 端口。文件共享本身与139 端口相同，但该端口使用的是与SMB 不同的协议，而是CIFS （通用因特网文件系统）协议。因此，在使用WindowS 作为文件服务器和打印服务器的内部网中，无法关闭139 和445 端口。但客户端如果不允许共享文件和打印机，完全可以关闭这两个端口。不使用Window 作为文件服务器和打印服务器的，绝对应该关闭这两个端口，打开是非常危险的。例如，如果有Guest 帐号，而且没有设置任何密码时，就能够被人通过因特网利用Windows 中的net 命令盗看文件。如果给该帐号设置了写入权限，甚至可以轻松地篡改和删除文件，形同自杀。对于利用拨号上网和ADSL 永久性接人因特网的客户端机器更是如此。

关闭139 端口的方法和137 、138 端口一样，可以选择“将NetBIOS over TCP / IP 设置为无效”。想关闭445 端口要利用注册表编辑器在" HKEY _ LOCAL - - MACHINE / SYSTEM / CurrentControl Set / Seoices / NetB 叭ParameterS ”键中追加名为“SMB - DeviceEnahled ”的DWORD 值，并将其设置为0 ，然后重新起动机器生效即可。既然上面讨论的5 个端口存在安全隐患，在许多情况下又不能关闭，要彻底解决这个问题，就必须利用防火墙技术。防火墙常常是内部网接入因特网的第一道关口，几乎成了网络建设中的标准配置，但安装在内

部网出口中的防火墙，只能防止来自因特网上的攻击，而不能解决来自内部网中的安全威胁。要防止来自内部的威胁，在个人电脑中就有必要安装个人防火墙。