2024年5月7日发(作者:泥卿)
维普资讯
l技术实用技术
}NeI rOI’k‘殳COIllP Llle r S ec Ll riIY
与3389端口相关的漏洞分析和解决方法
解放军信息工程大学电子技术学院 张立航潘正运
兰州大学信息科学与工程学院
摘要
贾雪梅
该文介绍了Windows系统存在的输入法隐患一与5589端口相关的漏洞及其缺陷,讨论了它的成因,如何
发现系统是否存在此漏洞,漏洞可利用的方式,在分析的基础下,对此漏洞提出了解决方案。
关键词5589端口输入法隐惠解决方案
地溢出Exploit,然后用FTP打开这个文件,就可将所有的东西
一
、
与3389端口相关的输入法漏洞介绍
下载下来。下载完之后我们就得到一个反向连接过来的Shell,
添加一个管理员账号,看有没有别的用户登录,如果有的话,
随着计算机技术,网络技术的飞速发展和普及应用,网络
安全已日渐成为人们关注的焦点问题之一,各种系统漏洞层出
不穷,攻击者能够利用这些漏洞攻击目标主机。输入法漏洞是
使用嗅探工具找到其他的密码,或者配合一些插件获取登录时
候的密码。对于除了开一些像TCP 21,80端口以外,其他端
几都被过滤掉,只有找一个已获取权限的账户做一个接力赛,
若有台80端口的服务器,做一个中转,先停掉WWW服务,然
后监听80和3333这2个端口,其中80端口是对刚才溢出的机
器把3389的数据重定向过来的,而3333是等待连接的端口。
如刚一运行就有访问Web(80)的数据,将监听工具上传到刚才
提好权限的机器上面,连接本地的3389端口和远程机器的80
端口一最好这两个程序同时运行,这时我们用终端客户服务端
连接到3333端口,中间通过若干数据转发,就可进行连接了,
再次扫描一下,3389的端口就可以访问了。
系统漏洞的一种,当安装系统时,其中有一项是超级终端服务,
该服务所开放的端口号为3389,3389是Windows的一个正常
的服务,只是没有打上11、丁而开的3389(终端服务)端口,它是
微软为了方便用_rLI远程管理而设,攻击者可以利用输入法漏洞
来入侵。中文Windows 2000存在有输入漏洞,其漏洞就是用
户在登录Windows 2000时,利用输入法的帮助文件可以获得
Administrators组权限。通过3389入侵系统,可以说是入侵者
的最爱,因为可以通过图形 而,就像操作本地计算机一样来
控制远程计算机。
(2)Windows2000 Professional的3389终端服务
二、对开3389端口的
输入法漏洞主机的发现和控制
1
.
Windows2000 Professional并不支持3389终端服务,只
有Windows2000 Server版以上才能安装终端服务,其实Win~
dows 2000的各个版本都使用了同样的程序、动态链接库,它
们之间最大的差别是在注册表中,Windows 2000三合一光盘
就证明了这一点。因此只要将Professional版的注册表中的相
通过扫描来获取开3389端口的输入法漏洞的主机
对某一公网IP段主机采用多线程方式进行扫描,可获取
远程操作系统的类型、版本、标准端口,收集所扫描主机是否
存在SQL-SERVER、SMTP-SERVER、FTP—SERVER、
POP3-SERVER、NT-SERVER弱口令,NT服务器NETBIOS
信息,NT服务器NETB10S信息、注册表信息等。
关项目改为Server及以上版本,就可以在Professional版中安
装终端服务了。对于Windows2000 Professional的主机,将
专业版的主机用转换工具转换后,对获得账户的主机Telnet上
后,查看已变为Server版,将如下的注册表键值导入肉鸡的注
册表中:
Windows Registry Editor Version 5.00
(1)论坛或有FTP服务的主机利用
对扫描结果,找一个容易突破的地方,或者是通过RPC
DC0M之类的漏洞,或通过往CGI论坛注入一些代码,从突
破的地方得到一个SheU。Server-U的问题也可以利用,先扫
描后,看看Windows2000系统的版本及开了那些服务,打了
那些补丁。对于存在的Server-U,FTP Server,可通过本地
提升权限进行溢出,写个小的文件到此主机,并让它下载到本
Ⅱ{I :1 0C MAa眦
“Enabled“=“0“
AI M0(匝\Wh OⅡErtV_日 t、 叫
时}q IOC越 MA m Mb( Whb T\O班m n 、Ⅵ 田
‘‘ShutdownWithoutlogon=“0“
K\ 1QC M 、 N {E d 、 c 献、 、
计算虮安呈2。。6・9 26
维普资讯
“EnableAdminTSRemote”=dword:00000001
[HKEWZ ̄)CAL ̄MACH1NE7 SYSTEM,CmTmtCmtmlEet\Setvkxs....TermDDJ
“Start”=dword:00000002
[HⅪ 1 0cAI MACIm岖、SYsT M、CⅢ日1tC[11hdS鱼 Oes、 1 1 玑 删
Start”=dword:00000002
[HKEY USER .DEFAUI T,Keyboard Layou Togg1e】
”Hotkey”=’’1”.
controlset、Control\Terminal server\Winstations\Rdp-
通过使用“rot.vbs”脚本
tcp\fEnableWinStation,将“fEnableWinStation”的值由0改
Script ROTS.vbs<目标IP><用户名><密码>[月艮务端
口】【自动重启选项】
重启后即可对此漏洞进行利用。
(3)Linux通过3389端口遥控Windows
在Linux中配置好终端服务的控制端,在“添加/删除
为l,点击“确定“就可远程登录主机了;或通过利用3389.
vbe,运行命令:cscript 3389.vbe}.}.}.}管理员账户
码” /fr;或上传3389.bat:
“密
:echo[Components]>c:\sql
echo TSEnable=on>>c:\sql
sysoclngr/i:C:\winntXinf\sysoc.inf/u:C:\sql/q,
Windows组件”窗口中选中“终端”服务后,将模式设置为
“远程管理模式”并予以安装。就可以让Linux通过终端命令
¥rdesktop U“账户名”、“IP地址”遥控Windows。
2
.
通过批处理文件建立长久的控制,如在telnet下直接建立批处
理文件即可,首先键入“copy con 3389.bat”,写完后,按
对开3389端口的输入法漏洞主机进行长期的控制
“ctrl+z”,则在1二作文件夹下生成一个批处理文件,隐藏它,就
可以长期有效,就可以远程连接了。
实现通过3389端口登录系统,切换输入法直至在左下角
对Win d O W S 2 0 0 0的终端客户服务端隐藏,用
终端客户服务端连接远程主机时,了解进程察看的
人会通过W i n d O W S任务管理器不时察看在用进
程,所以应做到对终端客户服务端的进程、文件进
行隐藏。在t el n e t上对方时,可使用上传的工具
将出现输入法状态条。用右键点击状态条上的徽标,弹出“帮
助“(如果发现“帮助”呈灰色,对方发现并已经不上了这个
漏洞),打开“帮助“一栏中的“操作指南”,在最上面的任务
栏点击右键,会弹出一个菜单,打开“跳至URL”。此时将出
现Windows2000的系统安装路径和要求我们添入的路径的空
白栏。比如,该系统安装在C盘上,就在空白栏中填入“C:
\winntXsystem32\”,然后按“确定”,于是我们就成功地绕过
了身份验证,进入了系统的system32目录。在该目录下找到
“
h X d e¨0 0对终端程序进行隐藏。或者对终端服务
的端口进行修改,打开注册表,找到类似的键值:
HKEY—LOCAL
MACHINE\System\CurrentControl
SetControl\TerminalServer\Wds\Repwd\TdsXTcp
看到P O r t n u m b e r,o x d 3 d是个1 6进制值,只要
选择十进制,就会看到3 3 8 9,把它改过来就可防 net.exe”,为“net.exe”创建一个快捷方式,右键点击该快捷
止远程主机用户检查任务管理器察看进程的T C P
连接端口发现连接到终端客户服务的3 3 89端口。并且
修改:H K E Y—L O C A L—M A C H I N E\S Y STEM\
CUrrentCOntrolSet\COntrol\TerminalServer\
方式,在“属性”一>“目标”一>“C:\winnt\system32Enet.
exe”后面空一格,填入“user guest/active:yes”点“确定”。
这一步的目的在于用“net.exe”激活被禁用的Guest账户,当
然也可以利用“user用户名密码/add”,创建一个新账户,
但容易引起怀疑,但Guest自己已被激活。然后再修改该快捷
WinScati0n\RDP—Tcp下的PortNumber值,默认是3389,我
们改成任何其他十进制数据。然后重启远主机即可。
终端客户服务端连接成功后,为做到长期的控制,可上传
一
方式,填入“user guest密码”,运行,于是Guest便有了密
码。最后,再次修改,填入“localgroup administrators guest
/add”,将Guest变成系统管理员。
个处理过的木马服务端,运行后,将一个不常使用的服务程
序改为木马的服务端程序,通过木马控制远程主机。
对于曾入侵过的远程主机,为了避免被跟踪,采用一些工
具清除日志或者使用以下的方法:通过IPC¥连接或是telnet
到对方上,上传Win2000自带的工具到对方\¥admin目录下,
将我们建立的批处理文件:包含停止w3svc服务,停止进程
event.1og,删除根目录中logfiles下的文件及日志文件,然后上
传到对方的根目录下。最后到事件察看器中重删除所有的日
三 与3389端口相关的
输入法漏洞的解决方案
统计发现,经过精心配置的Windows 2000 ̄务器可以防
止90%以上的入侵和渗透,但是,系统安全是一个整体,是一
个连续的过程,随着新漏洞的出现和服务器应用的变化,系统
27 I计算觚安呈2006.9
维普资讯
技术实用技术
Ne【、 O rk&Con1Pulel‘Sec Ll rily
的安全状况也在不断变化着。3389为终端客户服务的端gl,此
问题的解决依赖于管理和技术两个方面,可通过屏蔽端口,设
他主机的相同的应用程序进行通信。
对于telnet服务:允许远程用户登录到系统并且使用命令
行运行控制台程序。 置防火端,安装杀毒软件,代理上网,及停止不必要的多余系
统服务等措施。
1
、
Terminal Service服务:提供多会话环境,允许客户端设
备访问虚拟的Windows2000Pro-
及时升级输入法,对系统及时打补丁
为了自己的主机安全,我们通常都下载最新的输入法版
本,虽然这 是万全之策,但也算对系统作了必要的维护。
对于初安装的系统,应当尽可能全地打上各种补丁,像
Windows 2000 SP4,Windows XP SP2等。防止此漏洞被攻
击者利用。
2
、
Fessional桌面绘画,以及运行于其上面的Windows
程序。
Task Scheduler服务:允许程序在指定时间运行。
Workstation服务:提供网络链接和通讯。
对以上四种服务,均可以停止,点击“开始一设置一控制
端口封锁
面板一管理工具一服务”对某项服务双击依次在“常规”的启
动类型中,选择“已禁用”,在“登录“中选择“禁用”后点击
“确定”即可。
在W.I]dows2000/XP中,在管理工具中的本地安全策略
中进入一个集中管理控制台“本地安全设置”主界面。通过菜
单栏上的命令设置各种安全策略,进行导出列表及导入策略等
5、取消默认共享
WindOws2000中加入了一些默认共享,这些共享是
操作。它主要包括账户策略,本地策略、公钥策略和IP安全
策略四大类。设置筛选器列表。在本地安全策略中的IP安全
策略从管理IP筛选器列表和筛选器操作添加IP筛选器。在管
理IP筛选器列表,分别填入名称和描述,接着对IP筛选器向
导设置原地址和目标地址。进入指定IP原地址后,在原地址
adnli n¥,i PC¥,C¥,d¥等,其中a dnlin¥是指目录C:
"
,
,
winnt\system32,最直接的方法就是删除这些默认共享,方法
就是修改注册表:
}Ⅱ =Y I OCAI.MAa姗、S、 ⅡM\
中的任何IP地址下,在IP通讯目标中选择我的IP地址。在IP
协议类型中的选择协议类型下,选择TCP,进入IP协议端口
l a n m a n s e r v e r\p a r a nl e t e r s下添加一双字节键
AutoShareWks=0就可以了。不过,也可建立一个批处理文
件。
Net stop schedule/Y
Net stop remoteregistry/Y
net stop lanmanserver
框,因为大多数IP网络协议都建立在常用的IP端口上,所
以我们现在可以对这些端口进行设置。在筛选器向导的设
置IP协议端口里第一栏为任意端口,第二栏为到此端口并
添上“3389”。进行上述设置后。IP筛选器列表下多了一个
策略。进行筛选器操作。在管理筛选操作选项卡中的筛选操
作向导里添上禁用3389连接,并选择阻止,这样3389就被
禁用了。
3
、
保存为delshare.bat,放到启动项里,每次开机自动删
除,如果需要开启可以直接使用命令:net share ipc¥打开
即可。
对系统账户的处理
这一个漏洞的存在,严重地破坏了Windows操作系统的
安全性,本文介绍了解决此漏洞的一些方法。但随着网络技术
的发展,新的漏洞将会不断出现,以上所提出的解决方法对新
系统账号很可能被人利用,Windows 2000支持很多服务,
而且很多服务在安装完成后会有默认的账号,这些账号大部分
都是Guest组的,虽说如此,但是现在,已经有很多漏洞可以
利用它。以提升自己本地机的权限,像debug,net dde等,所
以,开启着Guest组的账号仍然是很危险的。(其危险在于这
些guest账号在默认情况下密码都是为空)。因此,我们要禁用
不使用的账号和全部的Guest账号,如果需要外部人员访问服
务器的话,那么可以适当的开启Guest账号,但是一定要加上
密码。
4
、
出现漏洞的解决也提供了很好的解决方法。
参考文献
f1】Iceyes.菜鸟先飞.黑客x档案2003--2004年舍订刊(中卷):
412-41 6.
【2】(美)科默(Comer,D.E.)著,赵刚译。用TCP/IP进行网
际互联。第1卷,客户~服务器编程与应用:Linux/POSIX套接
停用不必要的服务
字版/一北京:电子工业出版社,2001.4.
在Windows2000中,系统把所有的应用程序都注册为一
【5J曹国钧等编。Windows98/2000注册表应用460例。北京:科
学出版社,2002.
个服务,所以可以说每个应用程序部拥有一个自己的套接字,
拥有自己的套接字就说明了该应用程序可以独立地在网络与其 【4】Sinic.教育网内玩hack.黑客防线2004年第11期.
计算南n安至
2006.9 il 28
2024年5月7日发(作者:泥卿)
维普资讯
l技术实用技术
}NeI rOI’k‘殳COIllP Llle r S ec Ll riIY
与3389端口相关的漏洞分析和解决方法
解放军信息工程大学电子技术学院 张立航潘正运
兰州大学信息科学与工程学院
摘要
贾雪梅
该文介绍了Windows系统存在的输入法隐患一与5589端口相关的漏洞及其缺陷,讨论了它的成因,如何
发现系统是否存在此漏洞,漏洞可利用的方式,在分析的基础下,对此漏洞提出了解决方案。
关键词5589端口输入法隐惠解决方案
地溢出Exploit,然后用FTP打开这个文件,就可将所有的东西
一
、
与3389端口相关的输入法漏洞介绍
下载下来。下载完之后我们就得到一个反向连接过来的Shell,
添加一个管理员账号,看有没有别的用户登录,如果有的话,
随着计算机技术,网络技术的飞速发展和普及应用,网络
安全已日渐成为人们关注的焦点问题之一,各种系统漏洞层出
不穷,攻击者能够利用这些漏洞攻击目标主机。输入法漏洞是
使用嗅探工具找到其他的密码,或者配合一些插件获取登录时
候的密码。对于除了开一些像TCP 21,80端口以外,其他端
几都被过滤掉,只有找一个已获取权限的账户做一个接力赛,
若有台80端口的服务器,做一个中转,先停掉WWW服务,然
后监听80和3333这2个端口,其中80端口是对刚才溢出的机
器把3389的数据重定向过来的,而3333是等待连接的端口。
如刚一运行就有访问Web(80)的数据,将监听工具上传到刚才
提好权限的机器上面,连接本地的3389端口和远程机器的80
端口一最好这两个程序同时运行,这时我们用终端客户服务端
连接到3333端口,中间通过若干数据转发,就可进行连接了,
再次扫描一下,3389的端口就可以访问了。
系统漏洞的一种,当安装系统时,其中有一项是超级终端服务,
该服务所开放的端口号为3389,3389是Windows的一个正常
的服务,只是没有打上11、丁而开的3389(终端服务)端口,它是
微软为了方便用_rLI远程管理而设,攻击者可以利用输入法漏洞
来入侵。中文Windows 2000存在有输入漏洞,其漏洞就是用
户在登录Windows 2000时,利用输入法的帮助文件可以获得
Administrators组权限。通过3389入侵系统,可以说是入侵者
的最爱,因为可以通过图形 而,就像操作本地计算机一样来
控制远程计算机。
(2)Windows2000 Professional的3389终端服务
二、对开3389端口的
输入法漏洞主机的发现和控制
1
.
Windows2000 Professional并不支持3389终端服务,只
有Windows2000 Server版以上才能安装终端服务,其实Win~
dows 2000的各个版本都使用了同样的程序、动态链接库,它
们之间最大的差别是在注册表中,Windows 2000三合一光盘
就证明了这一点。因此只要将Professional版的注册表中的相
通过扫描来获取开3389端口的输入法漏洞的主机
对某一公网IP段主机采用多线程方式进行扫描,可获取
远程操作系统的类型、版本、标准端口,收集所扫描主机是否
存在SQL-SERVER、SMTP-SERVER、FTP—SERVER、
POP3-SERVER、NT-SERVER弱口令,NT服务器NETBIOS
信息,NT服务器NETB10S信息、注册表信息等。
关项目改为Server及以上版本,就可以在Professional版中安
装终端服务了。对于Windows2000 Professional的主机,将
专业版的主机用转换工具转换后,对获得账户的主机Telnet上
后,查看已变为Server版,将如下的注册表键值导入肉鸡的注
册表中:
Windows Registry Editor Version 5.00
(1)论坛或有FTP服务的主机利用
对扫描结果,找一个容易突破的地方,或者是通过RPC
DC0M之类的漏洞,或通过往CGI论坛注入一些代码,从突
破的地方得到一个SheU。Server-U的问题也可以利用,先扫
描后,看看Windows2000系统的版本及开了那些服务,打了
那些补丁。对于存在的Server-U,FTP Server,可通过本地
提升权限进行溢出,写个小的文件到此主机,并让它下载到本
Ⅱ{I :1 0C MAa眦
“Enabled“=“0“
AI M0(匝\Wh OⅡErtV_日 t、 叫
时}q IOC越 MA m Mb( Whb T\O班m n 、Ⅵ 田
‘‘ShutdownWithoutlogon=“0“
K\ 1QC M 、 N {E d 、 c 献、 、
计算虮安呈2。。6・9 26
维普资讯
“EnableAdminTSRemote”=dword:00000001
[HKEWZ ̄)CAL ̄MACH1NE7 SYSTEM,CmTmtCmtmlEet\Setvkxs....TermDDJ
“Start”=dword:00000002
[HⅪ 1 0cAI MACIm岖、SYsT M、CⅢ日1tC[11hdS鱼 Oes、 1 1 玑 删
Start”=dword:00000002
[HKEY USER .DEFAUI T,Keyboard Layou Togg1e】
”Hotkey”=’’1”.
controlset、Control\Terminal server\Winstations\Rdp-
通过使用“rot.vbs”脚本
tcp\fEnableWinStation,将“fEnableWinStation”的值由0改
Script ROTS.vbs<目标IP><用户名><密码>[月艮务端
口】【自动重启选项】
重启后即可对此漏洞进行利用。
(3)Linux通过3389端口遥控Windows
在Linux中配置好终端服务的控制端,在“添加/删除
为l,点击“确定“就可远程登录主机了;或通过利用3389.
vbe,运行命令:cscript 3389.vbe}.}.}.}管理员账户
码” /fr;或上传3389.bat:
“密
:echo[Components]>c:\sql
echo TSEnable=on>>c:\sql
sysoclngr/i:C:\winntXinf\sysoc.inf/u:C:\sql/q,
Windows组件”窗口中选中“终端”服务后,将模式设置为
“远程管理模式”并予以安装。就可以让Linux通过终端命令
¥rdesktop U“账户名”、“IP地址”遥控Windows。
2
.
通过批处理文件建立长久的控制,如在telnet下直接建立批处
理文件即可,首先键入“copy con 3389.bat”,写完后,按
对开3389端口的输入法漏洞主机进行长期的控制
“ctrl+z”,则在1二作文件夹下生成一个批处理文件,隐藏它,就
可以长期有效,就可以远程连接了。
实现通过3389端口登录系统,切换输入法直至在左下角
对Win d O W S 2 0 0 0的终端客户服务端隐藏,用
终端客户服务端连接远程主机时,了解进程察看的
人会通过W i n d O W S任务管理器不时察看在用进
程,所以应做到对终端客户服务端的进程、文件进
行隐藏。在t el n e t上对方时,可使用上传的工具
将出现输入法状态条。用右键点击状态条上的徽标,弹出“帮
助“(如果发现“帮助”呈灰色,对方发现并已经不上了这个
漏洞),打开“帮助“一栏中的“操作指南”,在最上面的任务
栏点击右键,会弹出一个菜单,打开“跳至URL”。此时将出
现Windows2000的系统安装路径和要求我们添入的路径的空
白栏。比如,该系统安装在C盘上,就在空白栏中填入“C:
\winntXsystem32\”,然后按“确定”,于是我们就成功地绕过
了身份验证,进入了系统的system32目录。在该目录下找到
“
h X d e¨0 0对终端程序进行隐藏。或者对终端服务
的端口进行修改,打开注册表,找到类似的键值:
HKEY—LOCAL
MACHINE\System\CurrentControl
SetControl\TerminalServer\Wds\Repwd\TdsXTcp
看到P O r t n u m b e r,o x d 3 d是个1 6进制值,只要
选择十进制,就会看到3 3 8 9,把它改过来就可防 net.exe”,为“net.exe”创建一个快捷方式,右键点击该快捷
止远程主机用户检查任务管理器察看进程的T C P
连接端口发现连接到终端客户服务的3 3 89端口。并且
修改:H K E Y—L O C A L—M A C H I N E\S Y STEM\
CUrrentCOntrolSet\COntrol\TerminalServer\
方式,在“属性”一>“目标”一>“C:\winnt\system32Enet.
exe”后面空一格,填入“user guest/active:yes”点“确定”。
这一步的目的在于用“net.exe”激活被禁用的Guest账户,当
然也可以利用“user用户名密码/add”,创建一个新账户,
但容易引起怀疑,但Guest自己已被激活。然后再修改该快捷
WinScati0n\RDP—Tcp下的PortNumber值,默认是3389,我
们改成任何其他十进制数据。然后重启远主机即可。
终端客户服务端连接成功后,为做到长期的控制,可上传
一
方式,填入“user guest密码”,运行,于是Guest便有了密
码。最后,再次修改,填入“localgroup administrators guest
/add”,将Guest变成系统管理员。
个处理过的木马服务端,运行后,将一个不常使用的服务程
序改为木马的服务端程序,通过木马控制远程主机。
对于曾入侵过的远程主机,为了避免被跟踪,采用一些工
具清除日志或者使用以下的方法:通过IPC¥连接或是telnet
到对方上,上传Win2000自带的工具到对方\¥admin目录下,
将我们建立的批处理文件:包含停止w3svc服务,停止进程
event.1og,删除根目录中logfiles下的文件及日志文件,然后上
传到对方的根目录下。最后到事件察看器中重删除所有的日
三 与3389端口相关的
输入法漏洞的解决方案
统计发现,经过精心配置的Windows 2000 ̄务器可以防
止90%以上的入侵和渗透,但是,系统安全是一个整体,是一
个连续的过程,随着新漏洞的出现和服务器应用的变化,系统
27 I计算觚安呈2006.9
维普资讯
技术实用技术
Ne【、 O rk&Con1Pulel‘Sec Ll rily
的安全状况也在不断变化着。3389为终端客户服务的端gl,此
问题的解决依赖于管理和技术两个方面,可通过屏蔽端口,设
他主机的相同的应用程序进行通信。
对于telnet服务:允许远程用户登录到系统并且使用命令
行运行控制台程序。 置防火端,安装杀毒软件,代理上网,及停止不必要的多余系
统服务等措施。
1
、
Terminal Service服务:提供多会话环境,允许客户端设
备访问虚拟的Windows2000Pro-
及时升级输入法,对系统及时打补丁
为了自己的主机安全,我们通常都下载最新的输入法版
本,虽然这 是万全之策,但也算对系统作了必要的维护。
对于初安装的系统,应当尽可能全地打上各种补丁,像
Windows 2000 SP4,Windows XP SP2等。防止此漏洞被攻
击者利用。
2
、
Fessional桌面绘画,以及运行于其上面的Windows
程序。
Task Scheduler服务:允许程序在指定时间运行。
Workstation服务:提供网络链接和通讯。
对以上四种服务,均可以停止,点击“开始一设置一控制
端口封锁
面板一管理工具一服务”对某项服务双击依次在“常规”的启
动类型中,选择“已禁用”,在“登录“中选择“禁用”后点击
“确定”即可。
在W.I]dows2000/XP中,在管理工具中的本地安全策略
中进入一个集中管理控制台“本地安全设置”主界面。通过菜
单栏上的命令设置各种安全策略,进行导出列表及导入策略等
5、取消默认共享
WindOws2000中加入了一些默认共享,这些共享是
操作。它主要包括账户策略,本地策略、公钥策略和IP安全
策略四大类。设置筛选器列表。在本地安全策略中的IP安全
策略从管理IP筛选器列表和筛选器操作添加IP筛选器。在管
理IP筛选器列表,分别填入名称和描述,接着对IP筛选器向
导设置原地址和目标地址。进入指定IP原地址后,在原地址
adnli n¥,i PC¥,C¥,d¥等,其中a dnlin¥是指目录C:
"
,
,
winnt\system32,最直接的方法就是删除这些默认共享,方法
就是修改注册表:
}Ⅱ =Y I OCAI.MAa姗、S、 ⅡM\
中的任何IP地址下,在IP通讯目标中选择我的IP地址。在IP
协议类型中的选择协议类型下,选择TCP,进入IP协议端口
l a n m a n s e r v e r\p a r a nl e t e r s下添加一双字节键
AutoShareWks=0就可以了。不过,也可建立一个批处理文
件。
Net stop schedule/Y
Net stop remoteregistry/Y
net stop lanmanserver
框,因为大多数IP网络协议都建立在常用的IP端口上,所
以我们现在可以对这些端口进行设置。在筛选器向导的设
置IP协议端口里第一栏为任意端口,第二栏为到此端口并
添上“3389”。进行上述设置后。IP筛选器列表下多了一个
策略。进行筛选器操作。在管理筛选操作选项卡中的筛选操
作向导里添上禁用3389连接,并选择阻止,这样3389就被
禁用了。
3
、
保存为delshare.bat,放到启动项里,每次开机自动删
除,如果需要开启可以直接使用命令:net share ipc¥打开
即可。
对系统账户的处理
这一个漏洞的存在,严重地破坏了Windows操作系统的
安全性,本文介绍了解决此漏洞的一些方法。但随着网络技术
的发展,新的漏洞将会不断出现,以上所提出的解决方法对新
系统账号很可能被人利用,Windows 2000支持很多服务,
而且很多服务在安装完成后会有默认的账号,这些账号大部分
都是Guest组的,虽说如此,但是现在,已经有很多漏洞可以
利用它。以提升自己本地机的权限,像debug,net dde等,所
以,开启着Guest组的账号仍然是很危险的。(其危险在于这
些guest账号在默认情况下密码都是为空)。因此,我们要禁用
不使用的账号和全部的Guest账号,如果需要外部人员访问服
务器的话,那么可以适当的开启Guest账号,但是一定要加上
密码。
4
、
出现漏洞的解决也提供了很好的解决方法。
参考文献
f1】Iceyes.菜鸟先飞.黑客x档案2003--2004年舍订刊(中卷):
412-41 6.
【2】(美)科默(Comer,D.E.)著,赵刚译。用TCP/IP进行网
际互联。第1卷,客户~服务器编程与应用:Linux/POSIX套接
停用不必要的服务
字版/一北京:电子工业出版社,2001.4.
在Windows2000中,系统把所有的应用程序都注册为一
【5J曹国钧等编。Windows98/2000注册表应用460例。北京:科
学出版社,2002.
个服务,所以可以说每个应用程序部拥有一个自己的套接字,
拥有自己的套接字就说明了该应用程序可以独立地在网络与其 【4】Sinic.教育网内玩hack.黑客防线2004年第11期.
计算南n安至
2006.9 il 28