服務(wù)器安全配置(只針對WIN系統(tǒng))
一、
原則關(guān)掉所有不使用的服務(wù),不安裝所有與服務(wù)器無關(guān)的軟件,打好所有補(bǔ)丁
修改3389
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Terminal Server/Wds/Repwd/Tds/Tcp, 看到那個(gè)PortNumber沒有?0xd3d,這個(gè)是16進(jìn)制,就是3389啦,我改XXXX這個(gè)值是RDP(遠(yuǎn)程桌面協(xié)議)的默認(rèn)值,也就是說用來配置以后新建的RDP服務(wù)的,要改已經(jīng)建立的RDP服務(wù),我們?nèi)ハ乱粋€(gè)鍵值:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/TerminalServer/WinStations這里應(yīng)該有一個(gè)或多個(gè)類似RDP-TCP的子健(取決于你建立了多少個(gè)RDP服務(wù)),一樣改掉PortNumber。
修改系統(tǒng)日志保存地址
默認(rèn)位置為
應(yīng)用程序日志、安全日志、系統(tǒng)日志、DNS日志默認(rèn)位置:%systemroot%/system32/config,默認(rèn)文件大小512KB,管理員都會(huì)改變這個(gè)默認(rèn)大小。
安全日志文件:%systemroot%/system32/config/SecEvent.EVT
系統(tǒng)日志文件:%systemroot%/system32/config/SysEvent.EVT
應(yīng)用程序日志文件:%systemroot%/system32/config/AppEvent.EVT
Internet信息服務(wù)FTP日志默認(rèn)位置:%systemroot%/system32/logfiles/msftpsvc1/,默認(rèn)每天一個(gè)日志
Internet信息服務(wù)�WWW日志默認(rèn)位置:%systemroot%/system32/logfiles/w3svc1/,默認(rèn)每天一個(gè)日志�
Scheduler(任務(wù)計(jì)劃)服務(wù)日志默認(rèn)位置:%systemroot%/schedlgu.txt
應(yīng)用程序日志,安全日志,系統(tǒng)日志,DNS服務(wù)器日志,它們這些LOG文件在注冊表中的:
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Eventlog
Schedluler(任務(wù)計(jì)劃)服務(wù)日志在注冊表中
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/SchedulingAgent
SQL
刪掉或改名xplog70.dll
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000
// AutoShareWks 對pro版本
// AutoShareServer 對server版本
// 0 禁止管理共享admin$,c$,d$之類默認(rèn)共享
[HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LSA]
"restrictanonymous"=dword:00000001
//0x1 匿名用戶無法列舉本機(jī)用戶列表
//0x2 匿名用戶無法連接本機(jī)IPC$共享(可能sql server不能夠啟動(dòng))
本地安全策略
封TCP端口:21(FTP,換FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389
可封TCP端口:1080,3128,6588,8080(以上為代理端口).25(SMTP),161(SNMP),67(引導(dǎo))
封UDP端口:1434(這個(gè)就不用說了吧)
封所有ICMP,即封PING
以上是最常被掃的端口,有別的同樣也封,當(dāng)然因?yàn)?0是做WEB用的
審核策略為
審核策略更改:成功,失敗
審核登錄事件:成功,失敗
審核對象訪問:失敗
審核對象追蹤:成功,失敗
審核目錄服務(wù)訪問:失敗
審核特權(quán)使用:失敗
審核系統(tǒng)事件:成功,失敗
審核賬戶登錄事件:成功,失敗
審核賬戶管理:成功,失敗
密碼策略:啟用“密碼必須符合復(fù)雜性要求","密碼長度最小值"為6個(gè)字符,"強(qiáng)制密碼歷史"為5次,"密碼最長存留期"為30天.
在賬戶鎖定策略中設(shè)置:"復(fù)位賬戶鎖定計(jì)數(shù)器"為30分鐘之后,"賬戶鎖定時(shí)間"為30分鐘,"賬戶鎖定值"為30分鐘.
安全選項(xiàng)設(shè)置:本地安全策略==本地策略==安全選項(xiàng)==對匿名連接的額外限制,雙擊對其中有效策略進(jìn)行設(shè)置,選擇"不允許枚舉SAM賬號(hào)和共享",因?yàn)檫@個(gè)值是只允許非NULL用戶存取SAM賬號(hào)信息和共享信息,一般選擇此項(xiàng).
禁止登錄屏幕上顯示上次登錄的用戶名
控制面板==管理工具==本地安全策略==本地策略==安全選項(xiàng)
或改注冊表
HKEY_LOCAL_MACHINE/SOFTTWARE/Microsoft/WindowsNT/CurrentVesion/Winlogn項(xiàng)中的Don't Display Last User Name串,將其數(shù)據(jù)修改為1
禁TCP/IP中的禁用TCP/IP上的NetBIOS
修改默認(rèn)管理用戶名(這就不用說了吧),禁用Guest帳號(hào),除了ADMIN組的用戶可以遠(yuǎn)程登陸本機(jī)完,別的用戶的遠(yuǎn)程登陸都去掉
WEB目錄用戶權(quán)限設(shè)定...
依次做下面的工作:
選取整個(gè)硬盤:
system:完全控制
administrator:完全控制(允許將來自父系的可繼承性權(quán)限傳播給對象)
b./program files/common files:
everyone:讀取及運(yùn)行
列出文件目錄
讀取(允許將來自父系的可繼承性權(quán)限傳播給對象)
c./inetpub/wwwroot:�
iusr_machine:讀取及運(yùn)行
列出文件目錄
讀取 (允許將來自父系的可繼承性權(quán)限傳播給對象)
e./winnt/system32:
選擇除inetsrv和centsrv以外的所有目錄,
去除“允許將來自父系的可繼承性權(quán)限傳播給對象”選框,復(fù)制。
f./winnt:
選擇除了downloaded program files、help、iis temporary compressed files、
offline web pages、system32、tasks、temp、web以外的所有目錄
去除“允許將來自父系的可繼承性權(quán)限傳播給對象”選框,復(fù)制。
g./winnt:
everyone:讀取及運(yùn)行
列出文件目錄
讀取(允許將來自父系的可繼承性權(quán)限傳播給對象)
h./winnt/temp:(允許訪問數(shù)據(jù)庫并顯示在asp頁面上)
everyone:修改 (允許將來自父系的可繼承性權(quán)限傳播給對象)
(還是WIN2K3好一點(diǎn),默認(rèn)就設(shè)好了設(shè)限)
刪除默認(rèn)IIS目錄
刪除IIS中除ASA和ASP的所有解析,除非你要用到別的CGI程序(WIN2K3中去不掉的)
定期查看服務(wù)器中的日志logs文件
檢查ASP程序是否有SQL注入漏洞
解決方法:
在ASP程序中加入
dim listname
if not isnumeric(request("id")) then
response.write "參數(shù)錯(cuò)誤"
response.end
end if
//作用是檢查ID是否為INT數(shù)字型
如何讓asp腳本以system權(quán)限運(yùn)行?
修改你asp腳本所對應(yīng)的虛擬目錄,把"應(yīng)用程序保護(hù)"修改為"低"....
如何防止asp木馬?
基于FileSystemObject組件的asp木馬
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
regsvr32 scrrun.dll /u /s //刪除
還原:
cacls %systemroot%/system32/scrrun.dll /e /p guests:r
regsvr32 scrrun.dll
基于shell.application組件的asp木馬
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
regsvr32 shell32.dll /u /s //刪除
還原:
cacls %systemroot%/system32/shell32.dll /e /p guests:r
regsvr32 shell32.dll
可以看一下caclsr語法,f是完全控制,c是寫入
把ip2K.jpg另存為,改后綴名為RAR,2K和2K3下的安全策略,借用了REISTLIN的東西,3Q,上面有些東西太簡單了就沒寫全.如果你是用固定IP的話,可以在安全策略中加上允許訪問和你自己的IP
二、關(guān)閉Messenger,Remote Registry Service,Task Scheduler 服務(wù)及不需要的服務(wù)..
三、安裝過程
有選擇性地安裝組件
不要按Windows 2000的默認(rèn)安裝組件,本著“最少的服務(wù)+最小的權(quán)限=最大的安全”原則,只選擇安裝需要的服務(wù)即可。例如:不作為Web服務(wù)器或FTP服務(wù)器就不安裝IIS。常用Web服務(wù)器需要的最小組件是: Internet 服務(wù)管理器、�WWW服務(wù)器和與其有關(guān)的輔助服務(wù)。�
安裝完畢后加入網(wǎng)絡(luò)
在安裝完成Windows 2000操作系統(tǒng)后,不要立即把服務(wù)器加入網(wǎng)絡(luò),因?yàn)檫@時(shí)的服務(wù)器上的各種程序還沒有打上補(bǔ)丁,存在各種漏洞,非常容易感染病毒和被入侵。
應(yīng)該在所有應(yīng)用程序安裝完之后依次打上各種補(bǔ)丁,因?yàn)檠a(bǔ)丁程序是針對不同應(yīng)用程序而安裝的,往往要替換或修改某些系統(tǒng)文件,如果先安裝補(bǔ)丁再安裝應(yīng)用程序有可能導(dǎo)致補(bǔ)丁不能起到應(yīng)有的效果。例如IIS的HotFix要求每次更改IIS的配置時(shí)都需要重新安裝。
還有,如果怕IIS負(fù)荷過高導(dǎo)致服務(wù)器死機(jī),也可以在性能中打開CPU限制,如將IIS的最大CPU使用率限制在70%。
正確設(shè)置和管理賬戶
1、停止使用用Guest賬戶,并給Guest 加一個(gè)復(fù)雜的密碼。
2、賬戶要盡可能少,并且要經(jīng)常用一些掃描工具查看一下系統(tǒng)賬戶、賬戶權(quán)限及密碼。刪除停用的賬戶,常用的掃描軟件有:流光、HSCAN、X-SCAN、STAT SCANNER等。正確配置賬戶的權(quán)限,密碼至少應(yīng)不少于8位,且要數(shù)字、大小寫字母,以及數(shù)字的上檔鍵混用,這樣就較難破譯。
3、增加登錄的難度,在“賬戶策略→密碼策略”中設(shè)定:“密碼復(fù)雜性要求啟用”,“密碼長度最小值8位”,“強(qiáng)制密碼歷史5次”,“最長存留期 30天”;在“賬戶策略→賬戶鎖定策略”設(shè)定:“賬戶鎖定3次錯(cuò)誤登錄”,“鎖定時(shí)間20分鐘”,“復(fù)位鎖定計(jì)數(shù)20分鐘”等,增加了登錄的難度對系統(tǒng)的安全大有好處。
4、把系統(tǒng)Administrator賬號(hào)改名,名稱不要帶有Admin等字樣; 創(chuàng)建一個(gè)陷阱帳號(hào),如創(chuàng)建一個(gè)名為“Administrator”的本地帳戶,把權(quán)限設(shè)置成最低,什么事也干不了,并且加上一個(gè)超過10位的超級(jí)復(fù)雜密碼。這樣可以讓那些 Scripts忙上一段時(shí)間了,并且可以借此發(fā)現(xiàn)他們的入侵企圖。
5、不讓系統(tǒng)顯示上次登錄的用戶名,具體操作如下:
將注冊表中“Hkey/Software/Microsoft/ WindowsNT/ Current Version/Winlogon/Dont Display Last User Name”的鍵值改為1。
正確地設(shè)置目錄和文件權(quán)限
為了控制好服務(wù)器上用戶的權(quán)限,同時(shí)也為了預(yù)防以后可能的入侵和溢出,還必須非常小心地設(shè)置目錄和文件的訪問權(quán)限。Windows 2000的訪問權(quán)限分為:讀取、寫入、讀取及執(zhí)行、修改、列目錄、完全控制。在默認(rèn)的情況下,大多數(shù)的文件夾對所有用戶(Everyone這個(gè)組)是完全控制的(Full Control),您需要根據(jù)應(yīng)用的需要重新設(shè)置權(quán)限。在進(jìn)行權(quán)限控制時(shí),請記住以下幾個(gè)原則:
1、權(quán)限是累計(jì)的,如果一個(gè)用戶同時(shí)屬于兩個(gè)組,那么他就有了這兩個(gè)組所允許的所有權(quán)限。
2、拒絕的權(quán)限要比允許的權(quán)限高(拒絕策略會(huì)先執(zhí)行)。如果一個(gè)用戶屬于一個(gè)被拒絕訪問某個(gè)資源的組,那么不管其他的權(quán)限設(shè)置給他開放了多少權(quán)限,他也一定不能訪問這個(gè)資源。
3、 文件權(quán)限比文件夾權(quán)限高。
4、 利用用戶組來進(jìn)行權(quán)限控制是一個(gè)成熟的系統(tǒng)管理員必須具有的優(yōu)良習(xí)慣。
5、 只給用戶真正需要的權(quán)限,權(quán)限的最小化原則是安全的重要保障。
6、 預(yù)防ICMP攻擊。ICMP的風(fēng)暴攻擊和碎片攻擊是NT主機(jī)比較頭疼的攻擊方法,而Windows 2000應(yīng)付的方法很簡單。Windows 2000自帶一個(gè)Routing & Remote Access工具,這個(gè)工具初具路由器的雛形。在這個(gè)工具中,我們可以輕易地定義輸入輸出包過濾器。如設(shè)定輸入ICMP代碼255丟棄就表示丟棄所有的外來ICMP報(bào)文。
網(wǎng)絡(luò)服務(wù)安全管理
1、關(guān)閉不需要的服務(wù)
只留必需的服務(wù),多一些服務(wù)可能會(huì)給系統(tǒng)帶來更多的安全因素。如Windows 2000的Terminal Services(終端服務(wù))、IIS(web服務(wù))、RAS(遠(yuǎn)程訪問服務(wù))等,這些都有產(chǎn)生漏洞的可能。
2、關(guān)閉不用的端口
只開放服務(wù)需要的端口與協(xié)議。
具體方法為:按順序打開“網(wǎng)上鄰居→屬性→本地連接→屬性→Internet 協(xié)議→屬性→高級(jí)→選項(xiàng)→TCP/IP篩選→屬性”,添加需要的TCP、UDP端口以及IP協(xié)議即可。根據(jù)服務(wù)開設(shè)口,常用的TCP口有:80口用于Web服務(wù);21用于FTP服務(wù);25口用于SMTP;23口用于Telnet服務(wù);110口用于POP3。常用的UDP端口有:53口-DNS域名解析服務(wù);161口-snmp簡單的網(wǎng)絡(luò)管理協(xié)議。8000、4000用于OICQ,服務(wù)器用8000來接收信息,客戶端用4000發(fā)送信息。
3、禁止建立空連接
默認(rèn)情況下,任何用戶可通過空連接連上服務(wù)器,枚舉賬號(hào)并猜測密碼。空連接用的端口是139,通過空連接,可以復(fù)制文件到遠(yuǎn)端服務(wù)器,計(jì)劃執(zhí)行一個(gè)任務(wù),這就是一個(gè)漏洞。可以通過以下兩種方法禁止建立空連接:
(1) 修改注冊表中 Local_Machine/System/
CurrentControlSet/Control/LSA-RestrictAnonymous 的值為1。
(2) 修改Windows 2000的本地安全策略。設(shè)置“本地安全策略→本地策略→選項(xiàng)”中的RestrictAnonymous(匿名連接的額外限制)為“不容許枚舉SAM賬號(hào)和共享”。
首先,Windows 2000的默認(rèn)安裝允許任何用戶通過空連接得到系統(tǒng)所有賬號(hào)和共享列表,這本來是為了方便局域網(wǎng)用戶共享資源和文件的,但是,同時(shí)任何一個(gè)遠(yuǎn)程用戶也可以通過同樣的方法得到您的用戶列表,并可能使用暴力法破解用戶密碼給整個(gè)網(wǎng)絡(luò)帶來破壞。很多人都只知道更改注冊表Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous = 1來禁止空用戶連接,實(shí)際上Windows 2000的本地安全策略里(如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略里)就有RestrictAnonymous選項(xiàng),其中有三個(gè)值:“0”這個(gè)值是系統(tǒng)默認(rèn)的,沒有任何限制,遠(yuǎn)程用戶可以知道您機(jī)器上所有的賬號(hào)、組信息、共享目錄、網(wǎng)絡(luò)傳輸列表(NetServerTransportEnum)等;“1”這個(gè)值是只允許非NULL用戶存取SAM賬號(hào)信息和共享信息;“2”這個(gè)值只有Windows 2000才支持,需要注意的是,如果使用了這個(gè)值,就不能再共享資源了,所以還是推薦把數(shù)值設(shè)為“1”比較好。
網(wǎng)絡(luò)服務(wù)安全配置
1、修改默認(rèn)端口。終端服務(wù)的默認(rèn)端口為3389,可考慮修改為別的端口。修改方法為:
服務(wù)器端:打開注冊表,在“HKLM/SYSTEM/Current ControlSet/Control/Terminal Server/Win Stations”處找到類似RDP-TCP的子鍵,修改PortNumber值。
客戶端:按正常步驟建一個(gè)客戶端連接,選中這個(gè)連接,在“文件”菜單中選擇導(dǎo)出,在指定位置會(huì)生成一個(gè)后綴為.cns的文件。打開該文件,修改“Server Port”值為與服務(wù)器端的PortNumber對應(yīng)的值。然后再導(dǎo)入該文件(方法:菜單→文件→導(dǎo)入),這樣客戶端就修改了端口。
2、安全配置Internet 服務(wù)管理器。對IIS服務(wù)安全配置如下:
(1)停止默認(rèn)的Web服務(wù),建立新的Web服務(wù),將其主目錄設(shè)為其他(非inetpub)目錄,最好不和主系統(tǒng)點(diǎn)用一個(gè)分區(qū)。如果使用系統(tǒng)默認(rèn)的Web服務(wù),那么通過較簡單的攻擊,就可以黑掉服務(wù)器。
(2) 刪除原默認(rèn)安裝的Inetpub目錄(在安裝系統(tǒng)的盤上)。
(3) 刪除系統(tǒng)盤下的虛擬目錄,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
3、不要設(shè)置Frontpage服務(wù)器擴(kuò)展服務(wù),如果開設(shè),那么就可以遠(yuǎn)程在Frontpage下打開您的主頁文件進(jìn)行修改。
4、刪除不必要的IIS擴(kuò)展名映射。方法是:右鍵單擊“默認(rèn)Web站點(diǎn)→屬性→主目錄→配置”,打開應(yīng)用程序窗口,去掉不必要的應(yīng)用程序映射。如不用到其他映射,只保留.asp、.asa兩映射即可。
安全的管理數(shù)據(jù)文件
1、常備份,要經(jīng)常把要數(shù)據(jù)備份到專用的備份服務(wù)器,備份完畢后,可將備份服務(wù)器與網(wǎng)絡(luò)隔離。
2、關(guān)閉默認(rèn)共享。Windows 2000安裝好以后,系統(tǒng)會(huì)創(chuàng)建一些隱藏的共享(如C$、D$等),在命令態(tài)下可用net share命令查看它們,這些共享要?jiǎng)h除。不過當(dāng)機(jī)器重新啟動(dòng)后,這些共享又會(huì)重新開啟,需每次啟動(dòng)后都刪除。
3、正確設(shè)置文件的共享權(quán)限 ,設(shè)置共享文件時(shí),要注意把共享文件的權(quán)限從“everyone”組改成“授權(quán)用戶”,包括打印共享,這樣即使連接上去看到也無法查閱。
4、防止文件名欺騙,用顯示所有文件名和文件夾以及顯示文件類型擴(kuò)展名來有效地防止文件名欺騙。如防止以.txt或.exe為擴(kuò)展名的惡意文件被顯示為.txt文件,大意打開該文件被攻,雙擊“我的電腦→工具→文件夾選項(xiàng)→查看”,選擇“顯示所有文件和文件夾”屬性設(shè)置,去掉“隱藏已知文件類型擴(kuò)展名”屬性設(shè)置。
5、啟用Terminal Service的安全日志,系統(tǒng)默認(rèn)是不啟用的。可以通過“Terminal Service Configration→權(quán)限→高級(jí)”中配置安全審核,記錄登錄、注銷事件就可以了。
啟用日志,利用軟件隨時(shí)檢測網(wǎng)絡(luò)流量
發(fā)現(xiàn)有異常隨時(shí)查看日志文件,是不是有人在攻擊。
四、Windows 服務(wù)的最佳化說明
Alerter
微軟: 通知選取的使用者及計(jì)算機(jī)系統(tǒng)管理警示。如果停止這個(gè)服務(wù),使用系統(tǒng)管理警示的程序?qū)⒉粫?huì)收到通知。如果停用這個(gè)服務(wù),所有依存于它的服務(wù)將無法啟動(dòng)。
補(bǔ)充: 一般家用計(jì)算機(jī)根本不需要傳送或接收計(jì)算機(jī)系統(tǒng)管理來的警示(Administrative Alerts),除非你的計(jì)算機(jī)用在局域網(wǎng)絡(luò)上
依存: Workstation
建議: 已停用
Application Layer Gateway Service
微軟: 提供因特網(wǎng)聯(lián)機(jī)共享和因特網(wǎng)聯(lián)機(jī)防火墻的第三方通訊協(xié)議插件的支持
補(bǔ)充: 如果你不使用因特網(wǎng)聯(lián)機(jī)共享 (ICS) 提供多臺(tái)計(jì)算機(jī)的因特網(wǎng)存取和因特網(wǎng)聯(lián)機(jī)防火墻 (ICF) 軟件你可以關(guān)掉
依存: Internt Connection Firewall (ICF) / Internet Connection Sharing (ICS)
建議: 已停用
Application Management (應(yīng)用程序管理)
微軟: 提供指派、發(fā)行、以及移除的軟件安裝服務(wù)。
補(bǔ)充: 如上說的軟件安裝變更的服務(wù)
建議: 手動(dòng)
Automatic Updates
微軟: 啟用重要 Windows 更新的下載及安裝。如果停用此服務(wù),可以手動(dòng)的從 Windows Update 網(wǎng)站上更新操作系統(tǒng)。
補(bǔ)充: 允許 Windows 于背景自動(dòng)聯(lián)機(jī)之下,到 Microsoft Servers 自動(dòng)檢查和下載更新修補(bǔ)程序
建議: 已停用
Background Intelligent Transfer Service
微軟: 使用閑置的網(wǎng)絡(luò)頻寬來傳輸數(shù)據(jù)。
補(bǔ)充: 經(jīng)由 Via HTTP1.1 在背景傳輸資料的?#124;西,例如 Windows Update 就是以此為工作之一
依存: Remote Procedure Call (RPC) 和 Workstation
建議: 已停用
ClipBook (剪貼簿)
微軟: 啟用剪貼簿檢視器以儲(chǔ)存信息并與遠(yuǎn)程計(jì)算機(jī)共享。如果這個(gè)服務(wù)被停止,剪貼簿檢視器將無法與遠(yuǎn)程計(jì)算機(jī)共享信息。如果這個(gè)服務(wù)被停用,任何明確依存于它的服務(wù)將無法啟動(dòng)。
補(bǔ)充: 把剪貼簿內(nèi)的信息和其它臺(tái)計(jì)算機(jī)分享,一般家用計(jì)算機(jī)根本用不到
依存: Network DDE
建議: 已停用
COM+ Event System (COM+ 事件系統(tǒng))
微軟: 支持「系統(tǒng)事件通知服務(wù) (SENS)」,它可讓事件自動(dòng)分散到訂閱的 COM 組件。如果服務(wù)被停止,SENS 會(huì)關(guān)閉,并無法提供登入及注銷通知。如果此服務(wù)被停用,任何明顯依存它的服務(wù)都無法啟動(dòng)。
補(bǔ)充: 有些程序可能用到 COM+ 組件,像 BootVis 的 optimize system 應(yīng)用,如事件檢視器內(nèi)顯示的 DCOM 沒有啟用
依存: Remote Procedure Call (RPC) 和 System Event Notification
建議: 手動(dòng)
COM+ System Application
微軟: 管理 COM+ 組件的設(shè)定及追蹤。如果停止此服務(wù),大部分的 COM+ 組件將無法適當(dāng)?#092;作。如果此服務(wù)被停用,任何明確依存它的服務(wù)將無法啟動(dòng)。
補(bǔ)充: 如果 COM+ Event System 是一臺(tái)車,那么 COM+ System Application 就是司機(jī),如事件檢視器內(nèi)顯示的 DCOM 沒有啟用
依存: Remote Procedure Call (RPC)
建議: 手動(dòng)
Computer Browser (計(jì)算機(jī)瀏覽器)
微軟: 維護(hù)網(wǎng)絡(luò)上更新的計(jì)算機(jī)清單,并將這個(gè)清單提供給做為瀏覽器的計(jì)算機(jī)。如果停止這個(gè)服務(wù),這個(gè)清單將不會(huì)被更新或維護(hù)。如果停用這個(gè)服務(wù),所有依存于它的服務(wù)將無法啟動(dòng)。
補(bǔ)充: 一般家庭用計(jì)算機(jī)不需要,除非你的計(jì)算機(jī)應(yīng)用在區(qū)網(wǎng)之上,不過在大型的區(qū)網(wǎng)上有必要開這個(gè)拖慢速度嗎?
依存: Server 和 Workstation
建議: 已停用
Cryptographic Services
微軟: 提供三個(gè)管理服務(wù): 確認(rèn) Windows 檔案簽章的 [類別目錄數(shù)據(jù)庫服務(wù)]; 從這個(gè)計(jì)算機(jī)新增及移除受信任根憑證授權(quán)憑證的 [受保護(hù)的根目錄服務(wù)]; 以及協(xié)助注冊這個(gè)計(jì)算機(jī)以取得憑證的 [金鑰服務(wù)]。如果這個(gè)服務(wù)被停止,這些管理服務(wù)將無法正確工作。如果這個(gè)服務(wù)被停用,任何明確依存于它的服務(wù)將無法啟動(dòng)。
補(bǔ)充: 簡單的說就是 Windows Hardware Quality Lab (WHQL)微軟的一種認(rèn)證,如果你有使用 Automatic Updates ,那你可能需要這個(gè)
依存: Remote Procedure Call (RPC)
建議: 手動(dòng)
DHCP Client (DHCP 客戶端)
微軟: 透過登錄及更新 IP 地址和 DNS 名稱來管理網(wǎng)絡(luò)設(shè)定。
補(bǔ)充: 使用 DSL/Cable 、ICS 和 IPSEC 的人都需要這個(gè)來指定動(dòng)態(tài) IP
依存: AFD 網(wǎng)絡(luò)支持環(huán)境、NetBT、SYMTDI、TCP/IP Protocol Driver 和 NetBios over TCP/IP
建議: 手動(dòng)
Distributed Link Tracking Client (分布式連結(jié)追蹤客戶端)
微軟: 維護(hù)計(jì)算機(jī)中或網(wǎng)絡(luò)網(wǎng)域不同計(jì)算機(jī)中 NTFS 檔案間的連結(jié)。
補(bǔ)充: 維護(hù)區(qū)網(wǎng)內(nèi)不同計(jì)算機(jī)之間的檔案連結(jié)
依存: Remote Procedure Call (RPC)
建議: 已停用
Distributed Transaction Coordinator (分布式交易協(xié)調(diào)器)
微軟: 協(xié)調(diào)跨越多個(gè)資源管理員的交易,比如數(shù)據(jù)庫、訊息隊(duì)列及檔案系統(tǒng)。如果此服務(wù)被停止,這些交易將不會(huì)發(fā)生。如果服務(wù)被停用,任何明顯依存它的服務(wù)將無法啟動(dòng)。
補(bǔ)充: 如上所說的,一般家庭用計(jì)算機(jī)用不太到,除非你啟用的 Message Queuing
依存: Remote Procedure Call (RPC) 和 Security Accounts Manager
建議: 已停用
DNS Client (DNS 客戶端)
微軟: 解析并快取這臺(tái)計(jì)算機(jī)的網(wǎng)域名稱系統(tǒng) (DNS) 名稱。如果停止這個(gè)服務(wù),這臺(tái)計(jì)算機(jī)將無法解析 DNS 名稱并尋找 Active Directory 網(wǎng)域控制站的位置。如果停用這個(gè)服務(wù),所有依存于它的服務(wù)將無法啟動(dòng)。
補(bǔ)充: 如上所說的,另外 IPSEC 需要用到
依存: TCP/IP Protocol Driver
建議: 手動(dòng)
Error Reporting Service
微軟: 允許對執(zhí)行于非標(biāo)準(zhǔn)環(huán)境中的服務(wù)和應(yīng)用程序的錯(cuò)誤報(bào)告。
補(bǔ)充: 微軟的應(yīng)用程序錯(cuò)誤報(bào)告
依存: Remote Procedure Call (RPC)
建議: 已停用
Event Log (事件記錄文件)
微軟: 啟用 Windows 為主的程序和組件所發(fā)出的事件訊息可以在事件檢視器中檢視。這個(gè)服務(wù)不能被停止。
補(bǔ)充: 允許事件訊息顯示在事件檢視器之上
依存: Windows Management Instrumentation
建議: 自動(dòng)
Fast User Switching Compatibility
微軟: 在多使用者環(huán)境下提供應(yīng)用程序管理。
補(bǔ)充: 另外像是注銷畫面中的切換使用者功能
依存: Terminal Services
建議: 手動(dòng)
Help and Support
微軟: 讓說明及支持中心能夠在這臺(tái)計(jì)算機(jī)上執(zhí)行。如果這個(gè)服務(wù)停止,將無法使用說明及支持中心。如果這個(gè)服務(wù)被停用,它的所有依存服務(wù)將無法啟動(dòng)。
補(bǔ)充: 如果不使用就關(guān)了吧
依存: Remote Procedure Call (RPC)
建議: 已停用
Human Interface Device Access
微軟: 啟用對人性化接口裝置 (HID) 的通用輸入存取,HID 裝置啟動(dòng)并維護(hù)對這個(gè)鍵盤、遠(yuǎn)程控制、以及其它多媒體裝置上事先定義的快捷紐的使用。如果這個(gè)服務(wù)被停止,這個(gè)服務(wù)控制的快捷紐將不再起作用。如果這個(gè)服務(wù)被停用,任何明確依存于它的服務(wù)將無法啟動(dòng)。
補(bǔ)充: 如上所提到的
依存: Remote Procedure Call (RPC)
建議: 已停用
IMAPI CD-Burning COM Service
微軟: 使用 Image Mastering Applications Programming Interface (IMAPI) 來管理光盤錄制。如果這個(gè)服務(wù)被停止,這個(gè)計(jì)算機(jī)將無法錄制光盤。如果這個(gè)服務(wù)被停用,任何明確地依賴它的服務(wù)將無法啟動(dòng)。
補(bǔ)充: XP 整合的 CD-R 和 CD-RW 光驅(qū)上拖放的燒錄功能,可惜比不上燒錄軟件,關(guān)掉還可以加快 Nero 的開啟速度
建議: 已停用
Indexing Service (索引服務(wù))
微軟: 本機(jī)和遠(yuǎn)程計(jì)算機(jī)的索引內(nèi)容和檔案屬性; 透過彈性的查詢語言提供快速檔案存取。
補(bǔ)充: 簡單的說可以讓你加快搜查速度,不過我想應(yīng)該很少人和遠(yuǎn)程計(jì)算機(jī)作搜尋吧
依存: Remote Procedure Call (RPC)
建議: 已停用
Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
微軟: 為您的家用網(wǎng)絡(luò)或小型辦公室網(wǎng)絡(luò)提供網(wǎng)絡(luò)地址轉(zhuǎn)譯、尋址及名稱解析服務(wù)和/或防止干擾的服務(wù)。
補(bǔ)充: 如果你不使用因特網(wǎng)聯(lián)機(jī)共享(ICS)或是 XP 內(nèi)含的因特網(wǎng)聯(lián)機(jī)防火墻(ICF)你可以關(guān)掉
依存: Application Layer Gateway Service、Network Connections、Network Location Awareness(NLA)、Remote Access Connection Manager
建議: 已停用
IPSEC Services (IP 安全性服務(wù))
微軟: 管理 IP 安全性原則并啟動(dòng) ISAKMP/Oakley (IKE) 及 IP 安全性驅(qū)動(dòng)程序。
補(bǔ)充: 協(xié)助保護(hù)經(jīng)由網(wǎng)絡(luò)傳送的數(shù)據(jù)。IPSec 為一重要環(huán)節(jié),為虛擬私人網(wǎng)絡(luò) (VPN) 中提供安全性,而 VPN 允許組織經(jīng)由因特網(wǎng)安全地傳輸數(shù)據(jù)。在某些網(wǎng)域上也許需要,但是一般使用者大部分是不太需要的
依存: IPSEC driver、Remote Procedure Call (RPC)、TCP/IP Protocol Driver
建議: 手動(dòng)
Logical Disk Manager (邏輯磁盤管理員)
微軟: 偵測及監(jiān)視新硬盤磁盤,以及傳送磁盤區(qū)信息到邏輯磁盤管理系統(tǒng)管理服務(wù)以供設(shè)定。如果這個(gè)服務(wù)被停止,動(dòng)態(tài)磁盤狀態(tài)和設(shè)定信息可能會(huì)過時(shí)。如果這個(gè)服務(wù)被停用,任何明確依存于它的服務(wù)將無法啟動(dòng)。
補(bǔ)充: 磁盤管理員用來動(dòng)態(tài)管理磁盤,如顯示磁盤可用空間等和使用 Microsoft Management Console(MMC)主控臺(tái)的功能
依存: Plug and Play、Remote Procedure Call (RPC)、Logical Disk Manager Administrative Service
建議: 自動(dòng)
Logical Disk Manager Administrative Service (邏輯磁盤管理員系統(tǒng)管理服務(wù))
微軟: 設(shè)定硬盤磁盤及磁盤區(qū),服務(wù)只執(zhí)行設(shè)定程序然后就停止。
補(bǔ)充: 使用 Microsoft Management Console(MMC)主控臺(tái)的功能時(shí)才用到
依存: Plug and Play、Remote Procedure Call (RPC)、Logical Disk Manager
建議: 手動(dòng)
Messenger (信差)
微軟: 在客戶端及服務(wù)器之間傳輸網(wǎng)絡(luò)傳送及 [Alerter] 服務(wù)訊息。這個(gè)服務(wù)與 Windows Messenger 無關(guān)。如果停止這個(gè)服務(wù),Alerter 訊息將不會(huì)被傳輸。如果停用這個(gè)服務(wù),所有依存于它的服務(wù)將無法啟動(dòng)。
補(bǔ)充: 允許網(wǎng)絡(luò)之間互相傳送提示訊息的功能,如 net send 功能,如不想被騷擾話可關(guān)了
依存: NetBIOS Interface、Plug and Play、Remote Procedure Call (RPC)、Workstation
建議: 已停用
MS Software Shadow Copy Provider
微軟: 管理磁盤區(qū)陰影復(fù)制服務(wù)所取得的以軟件為主的磁盤區(qū)陰影復(fù)制。如果停止這個(gè)服務(wù),就無法管理以軟件為主的磁盤區(qū)陰影復(fù)制。如果停用這個(gè)服務(wù),任何明確依存于它的服務(wù)將無法啟動(dòng)。
補(bǔ)充: 如上所說的,用來備份的?#124;西,如 MS Backup 程序就需要這個(gè)服務(wù)
依存: Remote Procedure Call (RPC)
建議: 已停用
Net Logon
微軟: 支持網(wǎng)域上計(jì)算機(jī)的賬戶登入事件的 pass-through 驗(yàn)證。
補(bǔ)充: 一般家用計(jì)算機(jī)不太可能去用到登入網(wǎng)域?qū)彶檫@個(gè)服務(wù)
依存: Workstation
建議: 已停用
NetMeeting Remote Desktop Sharing (NetMeeting 遠(yuǎn)程桌面共享)
微軟: 讓經(jīng)過授權(quán)的使用者可以使用 NetMeeting 透過公司近端內(nèi)部網(wǎng)絡(luò),由遠(yuǎn)程訪問這部計(jì)算機(jī)。如果這項(xiàng)服務(wù)停止的話,遠(yuǎn)程桌面共享功能將無法使用。如果服務(wù)停用的話,任何依賴它的服務(wù)將無法啟動(dòng)。
補(bǔ)充: 如上說的,讓使用者可以將計(jì)算機(jī)的控制權(quán)分享予網(wǎng)絡(luò)上或因特網(wǎng)上的其它使用者,如果你重視安全性不想多開后門,就關(guān)了吧
建議: 已停用
Network Connections (網(wǎng)絡(luò)聯(lián)機(jī))
微軟: 管理在網(wǎng)絡(luò)和撥號(hào)聯(lián)機(jī)數(shù)據(jù)夾中的對象,您可以在此數(shù)據(jù)夾中檢視局域網(wǎng)絡(luò)和遠(yuǎn)程聯(lián)機(jī)。
補(bǔ)充: 控制你的網(wǎng)絡(luò)聯(lián)機(jī)
依存: Remote Procedure Call (RPC)、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
建議: 手動(dòng)
Network DDE (網(wǎng)絡(luò) DDE)
微軟: 為動(dòng)態(tài)數(shù)據(jù)交換 (DDE) 對在相同或不同計(jì)算機(jī)上執(zhí)行的程序提供網(wǎng)絡(luò)傳輸和安全性。如果這個(gè)服務(wù)被停止,DDE 傳輸和安全性將無法使用。如果這個(gè)服務(wù)被停用,任何明確依存于它的服務(wù)將無法啟動(dòng)。
補(bǔ)充: 一般人好像用不到
依存: Network DDE DSDM、ClipBook
建議: 已停用
Network DDE DSDM (網(wǎng)絡(luò) DDE DSDM)
微軟: 訊息動(dòng)態(tài)數(shù)據(jù)交換 (DDE) 網(wǎng)絡(luò)共享。如果這個(gè)服務(wù)被停止,DDE 網(wǎng)絡(luò)共享將無法使用。如果這個(gè)服務(wù)被停用,任何明確依存于它的服務(wù)將無法啟動(dòng)。
補(bǔ)充: 一般人好像用不到
依存: Network DDE
建議: 已停用
Network Location Awareness (NLA)
微軟: 收集并存放網(wǎng)絡(luò)設(shè)定和位置信息,并且在這個(gè)信息變更時(shí)通知應(yīng)用程序。
補(bǔ)充: 如果不使用 ICF 和 ICS 可以關(guān)了它
依存: AFD網(wǎng)絡(luò)支持環(huán)境、TCP/IP Procotol Driver、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
建議: 已停用
NT LM Security Support Provider (NTLM 安全性支持提供者)
微軟: 為沒有使用命名管道傳輸?shù)倪h(yuǎn)程過程調(diào)用 (RPC) 程序提供安全性。
補(bǔ)充: 如果不使用 Message Queuing 或是 Telnet Server 那就關(guān)了它
依存: Telnet
建議: 已停用
Performance Logs and Alerts (效能記錄文件及警示)
微軟: 基于事先設(shè)定的排程參數(shù),從本機(jī)或遠(yuǎn)程計(jì)算機(jī)收集效能數(shù)據(jù),然后將數(shù)據(jù)寫入記錄或?#124;發(fā)警訊。如果這個(gè)服務(wù)被停止,將不會(huì)收集效能信息。如果這個(gè)服務(wù)被停用,任何明確依存于它的服務(wù)將無法啟動(dòng)。
補(bǔ)充: 沒什么價(jià)值的服務(wù)
建議: 已停用
Plug and Play
微軟: 啟用計(jì)算機(jī)以使用者沒有或很少的輸入來識(shí)別及適應(yīng)硬件變更,停止或停用這個(gè)服務(wù)將導(dǎo)致系統(tǒng)不穩(wěn)定。
補(bǔ)充: 顧名思義就是 PNP 環(huán)境
依存: Logical Disk Manager、Logical Disk Manager Administrative Service、Messenger、Smart Card、Telephony、Windows Audio
建議: 自動(dòng)
Portable Media Serial Number
微軟: Retrieves the serial number of any portable music player connected to your computer
補(bǔ)充: 透過聯(lián)機(jī)計(jì)算機(jī)重新取得任何音樂撥放序號(hào)?沒什么價(jià)值的服務(wù)
建議: 已停用
Print Spooler (打印多任務(wù)緩沖處理器)
微軟: 將檔案加載內(nèi)存中以待稍后打印。
補(bǔ)充: 如果沒有打印機(jī),可以關(guān)了
依存: Remote Procedure Call (RPC)
建議: 已停用
Protected Storage (受保護(hù)的存放裝置)
微軟: 提供受保護(hù)的存放區(qū),來儲(chǔ)存私密金鑰這類敏感數(shù)據(jù),防止未授權(quán)的服務(wù)、處理、或使用者進(jìn)行存取。
補(bǔ)充: 用來儲(chǔ)存你計(jì)算機(jī)上密碼的服務(wù),像 Outlook、撥號(hào)程序、其它應(yīng)用程序、主從架構(gòu)等等
依存: Remote Procedure Call (RPC)
建議: 自動(dòng)
QoS RSVP (QoS 許可控制,RSVP)
微軟: 提供網(wǎng)絡(luò)訊號(hào)及區(qū)域流量控制安裝功能給可識(shí)別 QoS 的程序和控制小程序項(xiàng)。
補(bǔ)充: 用來保留 20% 頻寬的服務(wù),如果你的網(wǎng)絡(luò)卡不支持 802.1p 或在你計(jì)算機(jī)的網(wǎng)域上沒有 ACS server ,那么不用多說,關(guān)了它
依存: AFD網(wǎng)絡(luò)支持環(huán)境、TCP/IP Procotol Driver、Remote Procedure Call (RPC)
建議: 已停用
Remote Access Auto Connection Manager (遠(yuǎn)程訪問自動(dòng)聯(lián)機(jī)管理員)
微軟: 當(dāng)程序參照到遠(yuǎn)程 DNS 或 NetBIOS 名稱或地址時(shí),建立遠(yuǎn)程網(wǎng)絡(luò)的聯(lián)機(jī)。
補(bǔ)充: 有些 DSL/Cable 提供者,可能需要用此來處理登入程序
依存: Remote Access Connection Manager、Telephony
建議: 手動(dòng)
Remote Access Connection Manager (遠(yuǎn)程訪問聯(lián)機(jī)管理員)
微軟: 建立網(wǎng)絡(luò)聯(lián)機(jī)。
補(bǔ)充: 網(wǎng)絡(luò)聯(lián)機(jī)用
依存: Telephony、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)、Remote Access Auto Connection Manager
建議: 手動(dòng)
Remote Desktop Help Session Manager
微軟: 管理并控制遠(yuǎn)程協(xié)助。如果此服務(wù)停止的話,遠(yuǎn)程協(xié)助將無法使用。停止此服務(wù)之前,請先參閱內(nèi)容對話框中的 [依存性]標(biāo)簽。
補(bǔ)充: 如上說的管理和控制遠(yuǎn)程協(xié)助,如果不使用可以關(guān)了
依存: Remote Procedure Call (RPC)
建議: Disable
Remote Procedure Call (RPC) (遠(yuǎn)程過程調(diào)用,RPC)
微軟: 提供結(jié)束點(diǎn)對應(yīng)程序以及其它 RPC 服務(wù)。
補(bǔ)充: 一些裝置都依存它,別去動(dòng)它
依存: 太多了,自己去看看
建議: 自動(dòng)
Remote Procedure Call (RPC) Locator (遠(yuǎn)程過程調(diào)用定位程序)
微軟: 管理 RPC 名稱服務(wù)數(shù)據(jù)庫。
補(bǔ)充: 如上說的,一般計(jì)算機(jī)上很少用到,可以嘗試關(guān)了
依存: Workstation
建議: Disable
Remote Registry (遠(yuǎn)程登錄服務(wù))
微軟: 啟用遠(yuǎn)程使用者修改這個(gè)計(jì)算機(jī)上的登錄設(shè)定。如果這個(gè)服務(wù)被停止,登錄只能由這個(gè)計(jì)算機(jī)上的使用者修改。如果這個(gè)服務(wù)被停用,任何明確依存于它的服務(wù)將無法啟動(dòng)。
補(bǔ)充: 基于安全性的理由,如果沒有特別的需求,建議最好關(guān)了它,除非你需要遠(yuǎn)程協(xié)助修改你的登錄設(shè)定
依存: Remote Procedure Call (RPC)
建議: 已停用
Removable Storage (卸除式存放裝置)
微軟: None
補(bǔ)充: 除非你有 Zip 磁盤驅(qū)動(dòng)器或是 USB 之類可攜式的硬件或是 Tape 備份裝置,不然可以嘗試關(guān)了
依存: Remote Procedure Call (RPC)
建議: Disable
Routing and Remote Access (路由和遠(yuǎn)程訪問)
微軟: 提供連到局域網(wǎng)絡(luò)及廣域網(wǎng)絡(luò)的公司的路由服務(wù)。
補(bǔ)充: 如上說的,提供撥號(hào)聯(lián)機(jī)到區(qū)網(wǎng)或是 VPN 服務(wù),一般用戶用不到
依存: Remote Procedure Call (RPC)、NetBIOSGroup
建議: 已停用
Secondary Logon
微軟: 啟用在其它認(rèn)證下的起始程序。如果這個(gè)服務(wù)被停止,這類的登入存取將無法使用。如果這個(gè)服務(wù)被停用,任何明確依存于它的服務(wù)將無法啟動(dòng)。
補(bǔ)充: 允許多個(gè)使用者處理程序,執(zhí)行分身等
建議: 自動(dòng)
Security Accounts Manager (安全性賬戶管理員)
微軟: 儲(chǔ)存本機(jī)賬戶的安全性信息。
補(bǔ)充: 管理賬號(hào)和群組原則(gpedit.msc)應(yīng)用
依存: Remote Procedure Call (RPC)、Distributed Transaction Coordinator
建議: 自動(dòng)
Server (服務(wù)器)
微軟: 透過網(wǎng)絡(luò)為這臺(tái)計(jì)算機(jī)提供檔案、打印、及命名管道的共享。如果停止這個(gè)服務(wù),將無法使用這些功能。如果停用這個(gè)服務(wù),所有依存于它的服務(wù)將無法啟動(dòng)。
補(bǔ)充: 簡單的說就是檔案和打印的分享,除非你有和其它計(jì)算機(jī)分享,不然就關(guān)了
依存: Computer Browser
建議: 已停用
Shell Hardware Detection
微軟: 為自動(dòng)播放硬件事件提供通知。
補(bǔ)充: 一般使用在記憶卡或是CD裝置、DVD裝置上
依存: Remote Procedure Call (RPC)
建議: 自動(dòng)
Smart Card (智慧卡)
微軟: 管理這個(gè)計(jì)算機(jī)所讀取智能卡的存取。如果這個(gè)服務(wù)被停止,這個(gè)計(jì)算機(jī)將無法讀取智能卡。如果這個(gè)服務(wù)被停用,任何明確依存于它的服務(wù)將無法啟動(dòng)。
補(bǔ)充: 如果你不使用 Smart Card ,那就可以關(guān)了
依存: Plug and Play
建議: 已停用
Smart Card Helper (智能卡協(xié)助程序)
微軟: 啟用對這個(gè)計(jì)算機(jī)使用的舊版非隨插即用智能卡讀取頭的支持。如果這個(gè)服務(wù)被停止,這個(gè)計(jì)算機(jī)將不支持舊版讀取頭。如果這個(gè)服務(wù)被停用,任何明確依存于它的服務(wù)將無法啟動(dòng)。
補(bǔ)充: 如果你不使用 Smart Card ,那就可以關(guān)了
建議: 已停用
SSDP Discovery Service
微軟: 在您的家用網(wǎng)絡(luò)上啟用通用隨插即用裝置的搜索。
補(bǔ)充: 如上說的,通用隨插即用服務(wù) (Universal Plug and Play, UPnP) 讓計(jì)算機(jī)可以找到并使用網(wǎng)絡(luò)上的裝置,經(jīng)由網(wǎng)絡(luò)聯(lián)機(jī)透過 TCP/IP 來搜索裝置,像網(wǎng)絡(luò)上的掃瞄器、數(shù)字相機(jī)或是打印機(jī),亦即使用 UPnP 的功能,基于安全性沒用到的大可關(guān)了
依存: Universal Plug and Play Device Host
建議: 已停用
System Event Notification (系統(tǒng)事件通知)
微軟: 追蹤諸如 Windows 登入、網(wǎng)絡(luò)、和電源事件的系統(tǒng)事件。通知這些事件的 COM+ 事件系統(tǒng)訂閱者。
補(bǔ)充: 如上所說的
依存: COM+ Event System
建議: 自動(dòng)
System Restore Service
微軟: 執(zhí)行系統(tǒng)還原功能。若要停止服務(wù),從我的計(jì)算機(jī)->內(nèi)容,[系統(tǒng)還原] 中關(guān)閉系統(tǒng)還原
補(bǔ)充: 將計(jì)算機(jī)回復(fù)至先前的狀態(tài),不使用就關(guān)了
依存: Remote Procedure Call (RPC)
建議: 已停用
Task Scheduler (工作排程器)
微軟: 讓使用者能夠在這個(gè)計(jì)算機(jī)上設(shè)定和排定自動(dòng)的工作。如果停止這個(gè)服務(wù),這些工作在它們排定的時(shí)間時(shí)將不會(huì)執(zhí)行。如果停用這個(gè)服務(wù),任何明確依存于它的服務(wù)將無法啟動(dòng)。
補(bǔ)充: 設(shè)定排定自動(dòng)的工作,像一些定時(shí)磁盤掃瞄、病毒定時(shí)掃瞄、更新等等
依存: Remote Procedure Call (RPC)
建議: 自動(dòng)
TCP/IP NetBIOS Helper (TCP/IP NetBIOS 協(xié)助程序)
微軟: 啟用 [NetBIOS over TCP/IP (NetBT)] 服務(wù)及 NetBIOS 名稱解析的支持。
補(bǔ)充: 如果你的網(wǎng)絡(luò)不使用 NetBios 或是 WINS ,你大可關(guān)閉
依存: AFD 網(wǎng)絡(luò)支持環(huán)境、NetBt
建議: 已停用
Telephony (電話語音)
微軟: 為本機(jī)計(jì)算機(jī)上及經(jīng)由局域網(wǎng)絡(luò)連接到正在執(zhí)行此服務(wù)的服務(wù)器上,控制電話語音裝置和 IP 為主語音聯(lián)機(jī)的程序,提供電話語音 API (TAPI) 支持。
補(bǔ)充: 一般的撥號(hào)調(diào)制解調(diào)器或是一些 DSL/Cable 可能用到
依存: Plug and Play、Remote Procedure Call (RPC)、Remote Access Connection Manager、Remote Access Auto Connection Manager
建議: 手動(dòng)
Telnet
微軟: 啟用一個(gè)遠(yuǎn)程使用者來登入到這臺(tái)計(jì)算機(jī)和執(zhí)行應(yīng)用程序,以及支持各種 TCP/IP Telnet 客戶端,包含以 UNIX 為基本和以 Windows 為基本的計(jì)算機(jī)。如果服務(wù)停止了,遠(yuǎn)程使用者可能無法存取應(yīng)用程序。如果服務(wù)停用了,任何明確地依存于這項(xiàng)服務(wù)的其它服務(wù)將會(huì)啟動(dòng)失敗。
補(bǔ)充: 允許遠(yuǎn)程使用者用 Telnet 登入本計(jì)算機(jī),一般人會(huì)誤解關(guān)了就無法使用BBS,這其實(shí)和BBS無關(guān),基于安全性的理由,如果沒有特別的需求,建議最好關(guān)了
依存: NT LM Security Support Provider、Remote Procedure Call (RPC)、TCP/IP Protocol Driver
建議: 已停用
Terminal Services (終端機(jī)服務(wù))
微軟: 允許多位使用者互動(dòng)連接到同一部計(jì)算機(jī)、桌面的顯示器及到遠(yuǎn)程計(jì)算機(jī)的應(yīng)用程序。遠(yuǎn)程桌面的加強(qiáng) (包含系統(tǒng)管理員的 RD)、快速切換使用者、遠(yuǎn)程協(xié)助和終端機(jī)服務(wù)器。
補(bǔ)充: 遠(yuǎn)程桌面或是遠(yuǎn)程協(xié)助的功能,不需要就關(guān)了
依存: Remote Procedure Call (RPC)、Fast User Switching Compatibility、InteractiveLogon
建議: 已停用
Themes
微軟: 提供使用者經(jīng)驗(yàn)主題管理。
補(bǔ)充: 很多人使用布景主題,不過如果沒有使用的人,那就可以關(guān)閉
建議: 自動(dòng)
Uninterruptible Power Supply (不斷電供電系統(tǒng))
微軟: 管理連接到這臺(tái)計(jì)算機(jī)的不斷電電源供應(yīng) (UPS)。
補(bǔ)充: 不斷電電源供應(yīng) (UPS)一般人有用到嗎?除非你的電源供應(yīng)器有具備此功能,不然就關(guān)了
建議: 已停用
Universal Plug and Play Device Host
微軟: 提供主機(jī)通用隨插即用裝置的支持。
補(bǔ)充: 用來偵測安裝通用隨插即用服務(wù) (Universal Plug and Play, UPnP)裝置,像是數(shù)字相機(jī)或打印機(jī)
依存: SSDP Discovery Service
建議: 已停用
Volume Shadow Copy
微軟: 管理及執(zhí)行用于備份和其它目的的磁盤區(qū)卷影復(fù)制。如果這個(gè)服務(wù)被停止,卷影復(fù)制將無法用于備份,備份可能會(huì)失敗。如果這個(gè)服務(wù)被停用,任何明確依存于它的服務(wù)將無法啟動(dòng)。
補(bǔ)充: 如上所說的,用來備份的?#124;西,如 MS Backup 程序就需要這個(gè)服務(wù)
依存: Remote Procedure Call (RPC)
建議: 已停用
WebClient
微軟: 啟用 Windows 為主的程序來建立、存取,以及修改因特網(wǎng)為主的檔案。如果停止這個(gè)服務(wù),這些功能將無法使用。如果停用這個(gè)服務(wù),任何明確依存于它的服務(wù)將無法啟動(dòng)。
補(bǔ)充: 使用 WebDAV 將檔案或數(shù)據(jù)夾上載到所有的 Web 服務(wù),基于安全性的理由,你可以嘗試關(guān)閉
依存: WebDav Client Redirector
Windows Audio
微軟: 管理用于 Windows 為主程序的音訊裝置。如果這個(gè)服務(wù)被停止,音訊裝置和效果將無法正常?#092;作。如果這個(gè)服務(wù)被停用,任何明確依存于它的服務(wù)將無法啟動(dòng)。
補(bǔ)充: 如果你沒有聲卡可以關(guān)了他
依存: Plug and Play、Remote Procedure Call (RPC)
建議: 自動(dòng)
Windows Image Acquisition (WIA) (Windows影像取得程序)
微軟: 為掃描儀和數(shù)字相機(jī)提供影像擷取服務(wù)。
補(bǔ)充: 如果掃描儀和數(shù)字相機(jī)內(nèi)部具有支持WIA功能的話,那就可以直接看到圖檔,不需要其它的驅(qū)動(dòng)程序,所以沒有掃描儀和數(shù)字相機(jī)的使用者大可關(guān)了
依存: Remote Procedure Call (RPC)
建議: 已停用
Windows Installer (Windows 安裝程序)
微軟: 根據(jù)包含在 .MSI 檔案內(nèi)的指示來安裝,修復(fù)以及移除軟件。
補(bǔ)充: 是一個(gè)系統(tǒng)服務(wù),協(xié)助使用者正確地安裝、設(shè)定、追蹤、升級(jí)和移除軟件程序,可管理應(yīng)用程序建立和安裝的標(biāo)準(zhǔn)格式,并且追蹤例如檔案群組、登錄項(xiàng)目及快捷方式等組件
依存: Remote Procedure Call (RPC)
建議: 手動(dòng)
Windows Management Instrumentation (WMI)
微軟: 提供公用接口及對象模型,以存取有關(guān)操作系統(tǒng)、裝置、應(yīng)用程序及服務(wù)的管理信息。如果這個(gè)服務(wù)已停止,大多數(shù)的 Windows 軟件將無法正常?#092;作。如果這個(gè)服務(wù)已停用,所有依存于它的服務(wù)都將無法啟動(dòng)。
補(bǔ)充: 如上說的,是一種提供一個(gè)標(biāo)準(zhǔn)的基礎(chǔ)結(jié)構(gòu)來監(jiān)視和管理系統(tǒng)資源的服務(wù),由不得你動(dòng)他
依存: Event Log、Remote Procedure Call (RPC)
建議: 自動(dòng)
Windows Management Instrumentation Driver Extensions (Windows Management Instrumentation 驅(qū)動(dòng)程序延伸)
微軟: 提供系統(tǒng)管理信息給予/取自驅(qū)動(dòng)程序。
補(bǔ)充: Windows Management Instrumentation 的延伸,提供信息用的
建議: 手動(dòng)
Windows Time (Windows 時(shí)間設(shè)定)
微軟: 維護(hù)在網(wǎng)絡(luò)上所有客戶端及服務(wù)器的數(shù)據(jù)及時(shí)間同步處理。如果這個(gè)服務(wù)停止,將無法進(jìn)行日期及時(shí)間同步處理。如果這個(gè)服務(wù)被停用,所有依存的服務(wù)都會(huì)停止。
補(bǔ)充: 網(wǎng)絡(luò)對時(shí)校準(zhǔn)用的,沒必要就關(guān)了
建議: 已停用
Wireless Zero Configuration
微軟: 為 802.11 適配卡提供自動(dòng)設(shè)定
補(bǔ)充: 自動(dòng)配置無線網(wǎng)絡(luò)裝置,言下之意就是說,除非你有在使用無線網(wǎng)絡(luò)適配卡裝置,那么你才有必要使用這個(gè)網(wǎng)絡(luò)零管理服務(wù)
依存: NDIS Usermode I/O Protocol、Remote Procedure Call (RPC)
建議: 已停用
WMI Performance Adapter
微軟: 提供來自 WMIHiPerf 提供者的效能鏈接庫信息。
補(bǔ)充: 如上所提
依存: Remote Procedure Call (RPC)
建議: 已停用l
Workstation (工作站)
微軟: 建立并維護(hù)到遠(yuǎn)程服務(wù)器的客戶端網(wǎng)絡(luò)聯(lián)機(jī)。如果停止這個(gè)服務(wù),這些聯(lián)機(jī)將無法使用。如果停用這個(gè)服務(wù),所有依存于它的服務(wù)將無法啟動(dòng)。
補(bǔ)充: 因特網(wǎng)聯(lián)機(jī)中所必要的一些功能
依存: Alerter、Background Intelligent Transfer Service、Computer Browser、Messenger、Net Logon、Remote Procedure Call (RPC) Locator
建議: 自動(dòng)
“Clipbook Server”(文件夾服務(wù)器):這個(gè)服務(wù)允許你們網(wǎng)絡(luò)上的其他用戶看到你的文件夾。在這里我要強(qiáng)烈建議你把它改為手動(dòng)啟動(dòng),然后再使用其他程序在你的網(wǎng)絡(luò)上發(fā)布信息。
“Messenger”(消息):在網(wǎng)絡(luò)上發(fā)送和接收信息。如果你關(guān)閉了Alerter,你可以安全地把它改為手動(dòng)啟動(dòng)。
“Printer Spooler”(打印后臺(tái)處理程序):如果你沒有配置打印機(jī),建議改為手動(dòng)啟動(dòng)或干脆關(guān)閉它。
“Error Reporting Service”(錯(cuò)誤報(bào)告):服務(wù)和應(yīng)用程序在非標(biāo)準(zhǔn)環(huán)境下運(yùn)行時(shí)提供錯(cuò)誤報(bào)告。建議改為手動(dòng)啟動(dòng)。
“Fast User Switching Compatibility”(快速用戶切換兼容性):建議改為手動(dòng)啟動(dòng)。
“Automatic Updates”(自動(dòng)更新):這個(gè)功能前面已經(jīng)講過了,在這里可以改為手動(dòng)啟動(dòng)。
“Net Logon”(網(wǎng)絡(luò)注冊):處理象注冊信息那樣的網(wǎng)絡(luò)安全功能。你可以把它設(shè)改為手動(dòng)啟動(dòng)。
“Network DDE和Network DDE DSDM”(動(dòng)態(tài)數(shù)據(jù)交換):除非你準(zhǔn)備在網(wǎng)上共享你的Office,否則你應(yīng)該把它改為手動(dòng)啟動(dòng)。注:這和在通常的商務(wù)設(shè)定中使用Office不同(如果你需要DDE,你就會(huì)知道)。
“NT LM Security Support”(NT LM安全支持提供商):在網(wǎng)絡(luò)應(yīng)用中提供安全保護(hù)。建議你把它改為手動(dòng)啟動(dòng)。
“Remote Desktop Help Session Manager”(遠(yuǎn)程桌面幫助會(huì)話管理器):建議改為手動(dòng)啟動(dòng)。
“Remote Registry”(遠(yuǎn)程注冊表):使遠(yuǎn)程用戶能修改此計(jì)算機(jī)上的注冊表設(shè)置。建議改為手動(dòng)啟動(dòng)。
“Task Scheduler”(任務(wù)調(diào)度程序):使用戶能在此計(jì)算機(jī)上配置和制定自動(dòng)任務(wù)的日程,它計(jì)劃每星期的碎片整理等。 除非你實(shí)在太懶了,連在電腦上開一下都不想,建議改為手動(dòng)啟動(dòng)。
“Uninterruptible Power Supply”(不間斷電源):它管理你的UPS。如果你沒有的話,把它改為手動(dòng)啟動(dòng)或干脆關(guān)閉它。
“Windows Image Acquisition (WIA)”(Windows 圖像獲取 (WIA)):為掃描儀和照相機(jī)提供圖像捕獲,如果你沒有這些設(shè)備,建議改為手動(dòng)啟動(dòng)或干脆關(guān)閉它。
五、安裝好一臺(tái)服務(wù)器后,推薦使用掃描工具先掃描本機(jī)有哪些漏洞,然后按照需要開啟或者關(guān)閉某些端口, win2000安裝SP4以上補(bǔ)丁,winXP安裝sp2補(bǔ)丁
掃描工具推薦是用X-SCAN
經(jīng)常 開始--運(yùn)行--Windows Update 是個(gè)良好的習(xí)慣
六、win2000下關(guān)閉無用端口
每一項(xiàng)服務(wù)都對應(yīng)相應(yīng)的端口,比如眾如周知的�WWW服務(wù)的端口是80,smtp是25,ftp是21,win2000安裝中默認(rèn)的都是這些服務(wù)開啟的。對于個(gè)人用戶來說確實(shí)沒有必要,關(guān)掉端口也就是關(guān)閉無用的服務(wù)。�
“控制面板”的“管理工具”中的“服務(wù)”中來配置。
1、關(guān)閉7.9等等端口:關(guān)閉Simple TCP/IP Service,支持以下 TCP/IP 服務(wù):Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
2、關(guān)閉80口:關(guān)掉�WWW服務(wù)。在“服務(wù)”中顯示名稱為"World Wide Web Publishing Service",通過 Internet 信息服務(wù)的管理單元提供 Web 連接和管理。
3、關(guān)掉25端口:關(guān)閉Simple Mail Transport Protocol (SMTP)服務(wù),它提供的功能是跨網(wǎng)傳送電子郵件。
4、關(guān)掉21端口:關(guān)閉FTP Publishing Service,它提供的服務(wù)是通過 Internet 信息服務(wù)的管理單元提供 FTP 連接和管理。
5、關(guān)掉23端口:關(guān)閉Telnet服務(wù),它允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺(tái)程序。
6、還有一個(gè)很重要的就是關(guān)閉server服務(wù),此服務(wù)提供 RPC 支持、文件、打印以及命名管道共享。關(guān)掉它就關(guān)掉了win2k的默認(rèn)共享,比如ipc$、c$、admin$等等,此服務(wù)關(guān)閉不影響您的共他操作。
7、還有一個(gè)就是139端口,139端口是NetBIOS Session端口,用來文件和打印共享,注意的是運(yùn)行samba的unix機(jī)器也開放了139端口,功能一樣。以前流光2000用來判斷對方主機(jī)類型不太準(zhǔn)確,估計(jì)就是139端口開放既認(rèn)為是NT機(jī),現(xiàn)在好了。
關(guān)閉139口聽方法是在“網(wǎng)絡(luò)和撥號(hào)連接”中“本地連接”中選取“Internet協(xié)議(TCP/IP)”屬性,進(jìn)入“高級(jí)TCP/IP設(shè)置”“WINS設(shè)置”里面有一項(xiàng)“禁用TCP/IP的NETBIOS”,打勾就關(guān)閉了139端口。
對于個(gè)人用戶來說,可以在各項(xiàng)服務(wù)屬性設(shè)置中設(shè)為“禁用”,以免下次重啟服務(wù)也重新啟動(dòng),端口也開放了。
七、Win2000 Server的安全配置,經(jīng)過精心配置的Win2000服務(wù)器可以防御90%以上的入侵和滲透,但是,就象上一章結(jié)束時(shí)我所提到的:系統(tǒng)安全是一個(gè)連續(xù)的過程,隨著新漏洞的出現(xiàn)和服務(wù)器應(yīng)用的變化,系統(tǒng)的安全狀況也在不斷變化著;同時(shí)由于攻防是矛盾的統(tǒng)一體,道消魔長和魔消道長也在不斷的轉(zhuǎn)換中,因此,再高明的系統(tǒng)管理員也不能保證一臺(tái)正在提供服務(wù)的服務(wù)器長時(shí)間絕對不被入侵。
所以,安全配置服務(wù)器并不是安全工作的結(jié)束,相反卻是漫長乏味的安全工作的開始,本文我們將初步探討Win2000服務(wù)器入侵檢測的初步技巧,希望能幫助您長期維護(hù)服務(wù)器的安全。
本文中所說的入侵檢測指的是利用Win2000 Server自身的功能及系統(tǒng)管理員自己編寫的軟件/腳本進(jìn)行的檢測,使用防火墻(Firewall)或入侵監(jiān)測系統(tǒng)(IDS)的技巧并不在本文的討論范圍之內(nèi)。
現(xiàn)在假定:我們有一臺(tái)Win2000 Server的服務(wù)器,并且經(jīng)過了初步的安全配置(關(guān)于安全配置的詳情可以參閱Win2000 Server安全配置入門<一>),在這種情況下,大部分的入侵者將被拒之門外。(哈哈,我管理員可以回家睡大覺去了)慢著,我說的是大部分,不是全部,經(jīng)過初步安全配置的服務(wù)器雖然可以防御絕大多數(shù)的Script kid(腳本族-只會(huì)用別人寫的程序入侵服務(wù)器的人),遇到了真正的高手,還是不堪一擊的。雖然說真正的高手不會(huì)隨便進(jìn)入別人的服務(wù)器,但是也難保有幾個(gè)品行不端的邪派高手看上了你的服務(wù)器。(我真的這么衰么?)而且,在漏洞的發(fā)現(xiàn)與補(bǔ)丁的發(fā)布之間往往有一段時(shí)間的真空,任何知道漏洞資料的人都可以乘虛而入,這時(shí),入侵檢測技術(shù)就顯得非常的重要。
入侵的檢測主要還是根據(jù)應(yīng)用來進(jìn)行,提供了相應(yīng)的服務(wù)就應(yīng)該有相應(yīng)的檢測分析系統(tǒng)來進(jìn)行保護(hù),對于一般的主機(jī)來說,主要應(yīng)該注意以下幾個(gè)方面:
1、 基于80端口入侵的檢測
�WWW服務(wù)大概是最常見的服務(wù)之一了,而且由于這個(gè)服務(wù)面對廣大用戶,服務(wù)的流量和復(fù)雜度都很高,所以針對這個(gè)服務(wù)的漏洞和入侵技巧也最多。對于NT來說,IIS一直是系統(tǒng)管理員比較頭疼的一部分(恨不得關(guān)了80端口),不過好在IIS自帶的日志功能從某種程度上可以成為入侵檢測的得力幫手。IIS自帶的日志文件默認(rèn)存放在System32/LogFiles目錄下,一般是按24小時(shí)滾動(dòng)的,在IIS管理器中可以對它進(jìn)行詳細(xì)的配置。(具體怎么配我不管你,不過你要是不詳細(xì)記錄,回頭查不到入侵者的IP可不要哭)�
現(xiàn)在我們再假設(shè)(怎么老是假設(shè)呀,煩不煩?)別急呀,我不能為了寫這篇文章真的去黑掉一臺(tái)主機(jī),所以只好假設(shè)了,我們假設(shè)一臺(tái)WEB服務(wù)器,開放了�WWW服務(wù),你是這臺(tái)服務(wù)器的系統(tǒng)管理員,已經(jīng)小心地配置了IIS,使用W3C擴(kuò)展的日志格式,并至少記錄了時(shí)間(Time)、客戶端IP(Client IP)、方法(Method)、URI資源(URI Stem)、URI查詢(URI Query),協(xié)議狀態(tài)(Protocol Status),我們用最近比較流行的Unicode漏洞來進(jìn)行分析:打開IE的窗口,在地址欄輸入:127.0.0.1/scripts/..%c1% 1c../winnt/system32/cmd.exe?/c+dir 默認(rèn)的情況下你可以看到目錄列表(什么?你已經(jīng)做過安全配置了,看不到?恢復(fù)默認(rèn)安裝,我們要做個(gè)實(shí)驗(yàn)),讓我們來看看IIS的日志都記錄了些什么,打開Ex010318.log(Ex代表W3C擴(kuò)展格式,后面的一串?dāng)?shù)字代表日志的記錄日期):07:42:58 127.0.0.1 GET /scripts/../../winnt/system32/cmd.exe /c+dir 200上面這行日志表示在格林威治時(shí)間07:42:58(就是北京時(shí)間23:42:58),有一個(gè)家伙(入侵者)從127.0.0.1的IP在你的機(jī)器上利用Unicode漏洞(%c1%1c被解碼為"/",實(shí)際的情況會(huì)因?yàn)閃indows語言版本的不同而有略微的差別)運(yùn)行了cmd.exe,參數(shù)是/c dir,運(yùn)行結(jié)果成功(�HTTP 200代表正確返回)。(哇,記錄得可真夠全的,以后不敢隨便亂玩Unicode了)
大多數(shù)情況下,IIS的日志會(huì)忠實(shí)地記錄它接收到的任何請求(也有特殊的不被IIS記錄的攻擊,這個(gè)我們以后再討論),所以,一個(gè)優(yōu)秀的系統(tǒng)管理員應(yīng)該擅長利用這點(diǎn)來發(fā)現(xiàn)入侵的企圖,從而保護(hù)自己的系統(tǒng)。但是,IIS的日志動(dòng)輒數(shù)十兆、流量大的網(wǎng)站甚至數(shù)十G,人工檢查幾乎沒有可能,唯一的選擇就是使用日志分析軟件,用任何語言編寫一個(gè)日志分析軟件(其實(shí)就是文本過濾器)都非常簡單,不過考慮到一些實(shí)際情況(比如管理員不會(huì)寫程序,或者服務(wù)器上一時(shí)找不到日志分析軟件),我可以告訴大家一個(gè)簡單的方法,比方說你想知道有沒有人從80端口上試圖取得你的Global.asa文件,可以使用以下的CMD命令:find "Global.asa" ex010318.log /i這個(gè)命令使用的是NT自帶的find.exe工具(所以不怕緊急情況找不著),可以輕松的從文本文件中找到你想過濾的字符串,"Global.asa"是需要查詢的字符串,ex010318.log是待過濾的文本文件,/i代表忽略大小寫。因?yàn)槲覠o意把這篇文章寫成微軟的Help文檔,所以關(guān)于這個(gè)命令的其他參數(shù)以及它的增強(qiáng)版FindStr.exe的用法請去查看Win2000的幫助文件。
無論是基于日志分析軟件或者是Find命令,你都可以建立一張敏感字符串列表,包含已有的IIS漏洞(比如"+.htr")以及未來將要出現(xiàn)的漏洞可能會(huì)調(diào)用的資源(比如Global.asa或者cmd.exe),通過過濾這張不斷更新的字符串表,一定可以盡早了解入侵者的行動(dòng)。
需要提醒的是,使用任何日志分析軟件都會(huì)占用一定的系統(tǒng)資源,因此,對于IIS日志分析這樣低優(yōu)先級(jí)的任務(wù),放在夜里空閑時(shí)自動(dòng)執(zhí)行會(huì)比較合適,如果再寫一段腳本把過濾后的可疑文本發(fā)送給系統(tǒng)管理員,那就更加完美了。同時(shí),如果敏感字符串表較大,過濾策略復(fù)雜,我建議還是用C寫一個(gè)專用程序會(huì)比較合算。
2、 基于安全日志的檢測
通過基于IIS日志的入侵監(jiān)測,我們能提前知道窺伺者的行蹤(如果你處理失當(dāng),窺伺者隨時(shí)會(huì)變成入侵者),但是IIS日志不是萬能的,它在某種情況下甚至不能記錄來自80端口的入侵,根據(jù)我對IIS日志系統(tǒng)的分析,IIS只有在一個(gè)請求完成后才會(huì)寫入日志,換言之,如果一個(gè)請求中途失敗,日志文件中是不會(huì)有它的蹤影的(這里的中途失敗并不是指發(fā)生�HTTP400錯(cuò)誤這樣的情況,而是從TCP層上沒有完成HTTP請求,例如在POST大量數(shù)據(jù)時(shí)異常中斷),對于入侵者來說,就有可能繞過日志系統(tǒng)完成大量的活動(dòng)。�
而且,對于非80 Only的主機(jī),入侵者也可以從其它的服務(wù)進(jìn)入服務(wù)器,因此,建立一套完整的安全監(jiān)測系統(tǒng)是非常必要的。
Win2000自帶了相當(dāng)強(qiáng)大的安全日志系統(tǒng),從用戶登錄到特權(quán)的使用都有非常詳細(xì)的記錄,可惜的是,默認(rèn)安裝下安全審核是關(guān)閉的,以至于一些主機(jī)被黑后根本沒法追蹤入侵者。所以,我們要做的第一步是在管理工具-本地安全策略-本地策略-審核策略中打開必要的審核,一般來說,登錄事件與賬戶管理是我們最關(guān)心的事件,同時(shí)打開成功和失敗審核非常必要,其他的審核也要打開失敗審核,這樣可以使得入侵者步步維艱,一不小心就會(huì)露出馬腳。僅僅打開安全審核并沒有完全解決問題,如果沒有很好的配置安全日志的大小及覆蓋方式,一個(gè)老練的入侵者就能夠通過洪水般的偽造入侵請求覆蓋掉他真正的行蹤。通常情況下,將安全日志的大小指定為50MB并且只允許覆蓋7天前的日志可以避免上述情況的出現(xiàn)。
設(shè)置了安全日志卻不去檢查跟沒有設(shè)置安全日志幾乎一樣糟糕(唯一的優(yōu)點(diǎn)是被黑了以后可以追查入侵者),所以,制定一個(gè)安全日志的檢查機(jī)制也是非常重要的,作為安全日志,推薦的檢查時(shí)間是每天上午,這是因?yàn)椋肭终呦矚g夜間行動(dòng)(速度快呀,要不你入侵到一半的時(shí)候連不上了,那可是哭都哭不出來)上午上班第一件事正好看看日志有沒有異常,然后就可以放心去做其他的事了。如果你喜歡,也可以編寫腳本每天把安全日志作為郵件發(fā)送給你(別太相信這個(gè)了,要是哪個(gè)高手上去改了你的腳本,每天發(fā)送"平安無事"……)
除了安全日志,系統(tǒng)日志和應(yīng)用程序日志也是非常好的輔助監(jiān)測工具,一般來說,入侵者除了在安全日志中留下痕跡(如果他拿到了Admin權(quán)限,那么他一定會(huì)去清除痕跡的),在系統(tǒng)和應(yīng)用程序日志中也會(huì)留下蛛絲馬跡,作為系統(tǒng)管理員,要有不放過任何異常的態(tài)度,這樣入侵者就很難隱藏他們的行蹤。
3、 文件訪問日志與關(guān)鍵文件保護(hù)
除了系統(tǒng)默認(rèn)的安全審核外,對于關(guān)鍵的文件,我們還要加設(shè)文件訪問日志,記錄對他們的訪問。
文件訪問有很多的選項(xiàng):訪問、修改、執(zhí)行、新建、屬性更改......一般來說,關(guān)注訪問和修改就能起到很大的監(jiān)視作用。
例如,如果我們監(jiān)視了系統(tǒng)目錄的修改、創(chuàng)建,甚至部分重要文件的訪問(例如cmd.exe,net.exe,system32目錄),那么,入侵者就很難安放后門而不引起我們的注意,要注意的是,監(jiān)視的關(guān)鍵文件和項(xiàng)目不能太多,否則不僅增加系統(tǒng)負(fù)擔(dān),還會(huì)擾亂日常的日志監(jiān)測工作
(哪個(gè)系統(tǒng)管理員有耐心每天看四、五千條垃圾日志?)
關(guān)鍵文件不僅僅指的是系統(tǒng)文件,還包括有可能對系統(tǒng)管理員/其他用戶構(gòu)成危害的任何文件,例如系統(tǒng)管理員的配置、桌面文件等等,這些都是有可能用來竊取系統(tǒng)管理員資料/密碼的。
4、 進(jìn)程監(jiān)控
進(jìn)程監(jiān)控技術(shù)是追蹤木馬后門的另一個(gè)有力武器,90%以上的木馬和后門是以進(jìn)程的形式存在的(也有以其他形式存在的木馬,參見《揭開木馬的神秘面紗三》),作為系統(tǒng)管理員,了解服務(wù)器上運(yùn)行的每個(gè)進(jìn)程是職責(zé)之一(否則不要說安全,連系統(tǒng)優(yōu)化都沒有辦法做),做一份每臺(tái)服務(wù)器運(yùn)行進(jìn)程的列表非常必要,能幫助管理員一眼就發(fā)現(xiàn)入侵進(jìn)程,異常的用戶進(jìn)程或者異常的資源占用都有可能是非法進(jìn)程。除了進(jìn)程外,DLL也是危險(xiǎn)的東西,例如把原本是exe類型的木馬改寫為dll后,使用rundll32運(yùn)行就比較具有迷惑性。
5、 注冊表校驗(yàn)
一般來說,木馬或者后門都會(huì)利用注冊表來再次運(yùn)行自己,所以,校驗(yàn)注冊表來發(fā)現(xiàn)入侵也是常用的手法之一。一般來說,如果一個(gè)入侵者只懂得使用流行的木馬,那么由于普通木馬只能寫入特定的幾個(gè)鍵值(比如Run、Runonce等等),查找起來是相對容易的,但是對于可以自己編寫/改寫木馬的人來說,注冊表的任何地方都可以藏身,靠手工查找就沒有可能了。(注冊表藏身千變?nèi)f化,例如需要特別提出來的FakeGina技術(shù),這種利用WINNT外嵌登錄DLL(Ginadll)來獲得用戶密碼的方法最近比較流行,一旦中招,登錄用戶的密碼就會(huì)被記錄無遺,具體的預(yù)防方法我這里就不介紹了。)應(yīng)對的方法是監(jiān)控注冊表的任何改動(dòng),這樣改寫注冊表的木馬就沒有辦法遁形了。監(jiān)控注冊表的軟件非常多,很多追查木馬的軟件都帶有這樣的功能,一個(gè)監(jiān)控軟件加上定期對注冊表進(jìn)行備份,萬一注冊表被非授權(quán)修改,系統(tǒng)管理員也能在最短的時(shí)間內(nèi)恢復(fù)。
6、端口監(jiān)控
雖然說不使用端口的木馬已經(jīng)出現(xiàn),但是大部分的后門和木馬還是使用TCP連接的,監(jiān)控端口的狀況對于由于種種原因不能封鎖端口的主機(jī)來說就是非常重要的了,我們這里不談使用NDIS網(wǎng)卡高級(jí)編程的IDS系統(tǒng),對于系統(tǒng)管理員來說,了解自己服務(wù)器上開放的端口甚至比對進(jìn)程的監(jiān)控更加重要,常常使用netstat查看服務(wù)器的端口狀況是一個(gè)良好的習(xí)慣,但是并不能24小時(shí)這樣做,而且NT的安全日志有一個(gè)壞習(xí)慣,喜歡記錄機(jī)器名而不是IP(不知道比爾蓋子怎么想的),如果你既沒有防火墻又沒有入侵檢測軟件,倒是可以用腳本來進(jìn)行IP日志記錄的,看著這個(gè)命令:
netstat -n -p tcp 10>>Netstat.log,這個(gè)命令每10秒鐘自動(dòng)查看一次TCP的連接狀況,基于這個(gè)命令我們做一個(gè)Netlog.bat文件:
time /t>>Netstat.log
Netstat -n -p tcp 10>>Netstat.log
這個(gè)腳本將會(huì)自動(dòng)記錄時(shí)間和TCP連接狀態(tài),需要注意的是:如果網(wǎng)站訪問量比較大,這樣的操作是需要消耗一定的CPU時(shí)間的,而且日志文件將越來越大,所以請慎之又慎。(要是做個(gè)腳本就完美無缺,誰去買防火墻?:)
一旦發(fā)現(xiàn)異常的端口,可以使用特殊的程序來關(guān)聯(lián)端口、可執(zhí)行文件和進(jìn)程(如inzider就有這樣的功能,它可以發(fā)現(xiàn)服務(wù)器監(jiān)聽的端口并找出與該端口關(guān)聯(lián)的文件,inzider可以從�http://www.nttoolbox.com下載到),這樣無論是使用TCP還是UDP的木馬都無處藏身。�
7、終端服務(wù)的日志監(jiān)控
單獨(dú)將終端服務(wù)(Terminal Service)的日志監(jiān)控分列出來是有原因的,微軟Win2000服務(wù)器版中自帶的終端服務(wù)Terminal Service是一個(gè)基于遠(yuǎn)程桌面協(xié)議(RDP)的工具,它的速度非常快,也很穩(wěn)定,可以成為一個(gè)很好的遠(yuǎn)程管理軟件,但是因?yàn)檫@個(gè)軟件功能強(qiáng)大而且只受到密碼的保護(hù),所以也非常的危險(xiǎn),一旦入侵者擁有了管理員密碼,就能夠象本機(jī)一樣操作遠(yuǎn)程服務(wù)器(不需要高深的NT命令行技巧,不需要編寫特殊的腳本和程序,只要會(huì)用鼠標(biāo)就能進(jìn)行一切系統(tǒng)管理操作,實(shí)在是太方便、也實(shí)在是太可怕了)。雖然很多人都在使用終端服務(wù)來進(jìn)行遠(yuǎn)程管理,但是,并不是人人都知道如何對終端服務(wù)進(jìn)行審核,大多數(shù)的終端服務(wù)器上并沒有打開終端登錄的日志,其實(shí)打開日志審核是很容易的,在管理工具中打開遠(yuǎn)程控制服務(wù)配置(Terminal Service Configration),點(diǎn)擊"連接",右擊你想配置的RDP服務(wù)(比如 RDP-TCP(Microsoft RDP 5.0),選中書簽"權(quán)限",點(diǎn)擊左下角的"高級(jí)",看見上面那個(gè)"審核"了么?我們來加入一個(gè)Everyone組,這代表所有的用戶,然后審核他的"連接"、"斷開"、"注銷"的成功和"登錄"的成功和失敗就足夠了,審核太多了反而不好,這個(gè)審核是記錄在安全日志中的,可以從"管理工具"->"日志查看器"中查看。現(xiàn)在什么人什么時(shí)候登錄我都一清二楚了,可是美中不足的是:這個(gè)破爛玩藝居然不記錄客戶端的IP(只能查看在線用戶的IP),而是華而不實(shí)的記錄什么機(jī)器名,倒!要是別人起個(gè)PIG的機(jī)器名你只好受他的嘲弄了,不知道微軟是怎么想的,看來還是不能完全依賴微軟呀,我們自己來吧?寫個(gè)程序,一切搞定,你會(huì)C么?不會(huì)?VB呢?也不會(huì)?Delphi?……什么?你什么編程語言都不會(huì)?我倒,畢竟系統(tǒng)管理員不是程序員呀,別急別急,我給你想辦法,我們來建立一個(gè)bat文件,叫做TSLog.bat,這個(gè)文件用來記錄登錄者的IP,內(nèi)容如下:
time /t >>TSLog.log
netstat -n -p tcp | find ":3389">>TSLog.log
start Explorer
我來解釋一下這個(gè)文件的含義:
第一行是記錄用戶登錄的時(shí)間,time /t的意思是直接返回系統(tǒng)時(shí)間(如果不加/t,系統(tǒng)會(huì)等待你輸入新的時(shí)間),然后我們用追加符號(hào)">>"把這個(gè)時(shí)間記入TSLog.log作為日志的時(shí)間字段;
第二行是記錄用戶的IP地址,netstat是用來顯示當(dāng)前網(wǎng)絡(luò)連接狀況的命令,-n表示顯示IP和端口而不是域名、協(xié)議,-ptcp是只顯示tcp協(xié)議,然后我們用管道符號(hào)"|"把這個(gè)命令的結(jié)果輸出給find命令,從輸出結(jié)果中查找包含":3389"的行(這就是我們要的客戶的IP所在的行,如果你更改了終端服務(wù)的端口,這個(gè)數(shù)值也要作相應(yīng)的更改),最后我們同樣把這個(gè)結(jié)果重定向到日志文件TSLog.log中去,于是在SLog.log文件中,記錄格式如下:
22:40
TCP 192.168.12.28:3389 192.168.10.123:4903 ESTABLISHED
22:54
TCP 192.168.12.28:3389 192.168.12.29:1039 ESTABLISHED
也就是說只要這個(gè)TSLog.bat文件一運(yùn)行,所有連在3389端口上的IP都會(huì)被記錄,那么如何讓這個(gè)批處理文件自動(dòng)運(yùn)行呢?我們知道,終端服務(wù)允許我們?yōu)橛脩糇远x起始的程序,在終端服務(wù)配置中,我們覆蓋用戶的登錄腳本設(shè)置并指定TSLog.bat為用戶登錄時(shí)需要打開的腳本,這樣每個(gè)用戶登錄后都必須執(zhí)行這個(gè)腳本,因?yàn)槟J(rèn)的腳本(相當(dāng)于shell環(huán)境)是Explorer(資源管理器),所以我在TSLog.bat的最后一行加上了啟動(dòng)Explorer的命令startExplorer,如果不加這一行命令,用戶是沒有辦法進(jìn)入桌面的!當(dāng)然,如果你只需要給用戶特定的Shell:
例如cmd.exe或者word.exe你也可以把start Explorer替換成任意的shell。這個(gè)腳本也可以有其他的寫法,作為系統(tǒng)管理員,你完全可以自由發(fā)揮你的想象力、自由利用自己的資源,例如寫一個(gè)腳本把每個(gè)登錄用戶的IP發(fā)送到自己的信箱對于重要的服務(wù)器也是一個(gè)很好的方法。正常情況下一般的用戶沒有查看終端服務(wù)設(shè)置的權(quán)限,所以他不會(huì)知道你對登錄進(jìn)行了IP審核,只要把TSLog.bat文件和TSLog.log文件放在比較隱蔽的目錄里就足夠了,不過需要注意的是這只是一個(gè)簡單的終端服務(wù)日志策略,并沒有太多的安全保障措施和權(quán)限機(jī)制,如果服務(wù)器有更高的安全要求,那還是需要通過編程或購買入侵監(jiān)測軟件來完成的。
8、陷阱技術(shù)
早期的陷阱技術(shù)只是一個(gè)偽裝的端口服務(wù)用來監(jiān)測掃描,隨著矛和盾的不斷升級(jí),現(xiàn)在的陷阱服務(wù)或者陷阱主機(jī)已經(jīng)越來越完善,越來越象真正的服務(wù),不僅能截獲半開式掃描,還能偽裝服務(wù)的回應(yīng)并記錄入侵者的行為,從而幫助判斷入侵者的身份。
我本人對于陷阱技術(shù)并不是非常感興趣,一來從技術(shù)人員角度來說,低調(diào)行事更符合安全的原則;二來陷阱主機(jī)反而成為入侵者跳板的情況并不僅僅出現(xiàn)在小說中,在現(xiàn)實(shí)生活中也屢見不鮮,如果架設(shè)了陷阱反而被用來入侵,那真是偷雞不成了。
記得CoolFire說過一句話,可以用來作為對陷阱技術(shù)介紹的一個(gè)結(jié)束:在不了解情況時(shí),不要隨便進(jìn)入別人的系統(tǒng),因?yàn)槟阌肋h(yuǎn)不能事先知道系統(tǒng)管理員是真的白癡或者偽裝成白癡的天才......
入侵監(jiān)測的初步介紹就到這里,在實(shí)際運(yùn)用中,系統(tǒng)管理員對基礎(chǔ)知識(shí)掌握的情況直接關(guān)系到他的安全敏感度,只有身經(jīng)百戰(zhàn)而又知識(shí)豐富、仔細(xì)小心的系統(tǒng)管理員才能從一點(diǎn)點(diǎn)的蛛絲馬跡中發(fā)現(xiàn)入侵者的影子,未雨綢繆,扼殺入侵的行動(dòng)
