众所周知系统的安全性是非常重要的,为了避免黑客的攻击我们经常要在本地计算机上安装防火墙,杀毒软件并随时查看注册表中的启动项是否有非法程序。其实还有一个非常重要的环节被我们忽略了,那就是系统服务。如果我们没有配置合理的系统服务,服务将成为黑客及病毒入侵的大门,如果我们合理配置了服务的启动则可以为本地计算机添加一堵天然的防火墙。本文中笔者将从七个方面讨论如何通过设置服务启动信息提高本地系统的安全。
罪过一:DHCP服务故障源于服务 笔者曾经遇到一个DHCP客户端的问题,具体现象如下。设置为自动获得IP地址的计算机却发现IP地址均为零。(如图1)怀疑是没有正确获得DHCP分配的IP地址等网络信息,查询了DHCP服务器没有任何问题。在客户端命令行模式下执行ipconfig /renew更新所有网络信息却出现故障提示,显示一个内部错误,只能通过重新连接网卡和重新启动计算机来解决。(如图2)笔者检查了网卡,网线没有问题,重新启动后故障依旧。 图1 图2 最后才发现原来是服务惹的祸。通过任务栏的“开始->运行->输入services.msc”进入服务设置窗口,发现名为“DHCP Client”的服务没有启动。(如图3)双击该服务名称,然后点“启动”按钮。接着在启动类型处将其修改为“自动”。完成设置后确定即可。这时候就可以正常获得DHCP服务器提供的网络参数信息了。(如图4) 图3 图4
罪过二:信使惹恼我 从Windows2000系统开始微软为我们提供了一个方便计算机之间通讯的服务,称之为messenger服务。通过这个服务我们可以将自己要表达的文字信息发送到网络中任何一台计算机上。不过该服务也被很多无聊做广告的人所利用,经常在小区发布群发信使信息,骚扰我们。(如图5) 图5 遇到这种情况我们还是通过设置服务启动类型来解决。通过任务栏的“开始->运行->输入services.msc”进入服务设置窗口,发现名为“messenger”的服务已经启动。双击该服务名称,然后点“停止”按钮。接着在启动类型处将其修改为“禁止”。完成设置后确定即可。(如图6) 图6 修改完毕我们就不会收到无聊人的骚扰信息了,网络从此变得清净很多。
罪过三:和打印病毒说BYE BYE 有点经验的用户都会知道很多病毒都是通过打印共享传播的,不是借助别人的打印机传播到你的计算机中,就是以你的打印机为载体传播病毒到网络。另外很多病毒还会将自己伪装成类似打印机的图标,欺骗你点击。其实我们同样可以使用服务管理禁止该种病毒的入侵。 通过任务栏的“开始->运行->输入services.msc”进入服务设置窗口,发现名为“Print Spooler”的服务已经启动。双击该服务名称,然后点“停止”按钮。接着在启动类型处将其修改为“禁止”。完成设置后确定即可。(如图7)从而最简单有效的防止打印类病毒的传播。 图7
小提示: 在我们使用打印机时经常会遇到打印作业无响应的现象,这时也可以尝试停止Print Spooler服务,然后在启动之。这样打印机任务中的作业就会被清楚的一干二净。再也不用我们反复重新启动计算机清空作业列表了。
罪过四:定时加载别找我 一般黑客都是通过命令行或指令来入侵的,能够直接通过图形化管理被入侵的计算机的情况很少。如何从命令行过渡到图形化呢?黑客最常用的手法就是将木马或远程控制工具通过FTP等文件传输工具传到被控计算机上,然后通过计划任务与AT指令相结合的手段让木马及远程控制程序自动加载。加载完毕后就可以为所欲为被入侵的计算机了。 为了避免类似事情的发生或者尽可能将被入侵的损失降到最低我们可以停止“计划任务”服务。方法是通过任务栏的“开始->运行->输入services.msc”进入服务设置窗口,发现名为“Task Scheduler”的服务已经启动。双击该服务名称,然后点“停止”按钮。接着在启动类型处将其修改为“禁止”。完成设置后确定即可。(如图8) 图8 修改Task Scheduler服务的启动状况后黑客再想通过计划任务运行木马程序就会收到拒绝安装的提示了。
罪过五:默认共享靠边站 自动Windows2000系统开始默认开启了很多共享,例如c$,d$,ipc$,admin$等。网上关于关闭这些共享的方法也有很多,例如通过启动加载批处理程序关闭法,修改注册表法等等。但就笔者经验来说最有效的还是停止服务法。因为只要停止一个名为server的服务就可以将所有默认共享彻底关闭了。 方法是通过任务栏的“开始->运行->输入services.msc”进入服务设置窗口,发现名为“server”的服务已经启动。双击该服务名称,然后点“停止”按钮。接着在启动类型处将其修改为“禁止”。完成设置后确定即可。当然在停止server服务时需要先停止“computer browser”服务,因为两者有关联关系。(如图9) 图9 停止server服务后我们再通过命令行模式输入“net share”查看共享就会发现什么也没有了,全部默认共享都被关闭了。(如图10) 图10
罪过六:telnet我要拒绝你 早期要想执行网络中另一台计算机上的某某程序是通过telnet来完成的,虽然在目前的操作系统中telnet已经被远程桌面访问所代替。但该服务仍然存在于系统中。如果不小心将该服务打开则任何知道了该计算机帐户和密码的人都可以通过网络远程执行本地程序,安全性也大大降低。我们要将该服务彻底关闭。 方法是通过任务栏的“开始->运行->输入services.msc”进入服务设置窗口,发现名为“Telnet”的服务已经启动。双击该服务名称,然后点“停止”按钮。接着在启动类型处将其修改为“禁止”。完成设置后确定即可。这样任何人都不会通过telnet访问你的计算机了即使他获得了你的帐户和密码也将无济于事。(如图11) 图11
罪过七:注册表修改我说了算 最后这一宗罪是最危险的一个,我们先来看一个简单的实验。 第一步:通过任务栏的“开始->运行->输入regedit”打开注册表编辑器。 第二步:通过菜单上的“注册表->连接网络注册表”。(如图12) 图12 第三步:在弹出的窗口中输入要通过网络连接的计算机名或IP地址,然后确定开始连接。(如图13) 图13
小提示:在连接网络上任何一台计算机的注册表时需要将自己的计算机帐户与密码修改的和远程那台计算机上的帐户密码一样,这样才能成功连接。否则会出现你无权访问的提示。当然对方计算机必须开启了Remote Registry Service服务。 第四步:如果帐户密码正确,对方计算机没有开启防火墙的话我们就可以连接到他的注册表了,可以任意修改和添加键值。(如图14) 图14 看了这个例子后我们是不是感觉非常可怕呢?那么赶紧把这个安全隐患弥补上吧。方法是通过任务栏的“开始->运行->输入services.msc”进入服务设置窗口,发现名为“Remote Registry Service”的服务已经启动。双击该服务名称,然后点“停止”按钮。接着在启动类型处将其修改为“禁止”。完成设置后确定即可。这样任何人都不能通过连接网络注册表入侵你的计算机了。
总结: 系统默认服务涉及安全的就以上七项,当然在我们随着我们使用计算机时间的延长,会不断向系统添加应用程序关联的服务,所以我们应该养成定期查看服务设置的好习惯,在服务中发现不明项马上禁止他的使用。一方面可以有效的释放系统资源,不要让无用的服务占用我们的CPU和内存,另一方面减少木马通过服务加载自身程序的机率,要知道随着注册表run值越来越被人所熟知,木马和病毒更多的是采取通过服务运行的方法来加载。
[1] [2]
(出处:http://www.sheup.com)
[1] [2]