【IT168 专稿】经常在网上冲浪时,我们总会不可避免地遭遇到来自网络中的各种恶意攻击,一旦遭受到非法攻击时,轻则导致本地工作站不能正常上网或系统运行不正常,严重的话能导致本地网络发生瘫痪现象。为了保护本地网络或工作站的安全,相信多数网络管理人员都会寻求专业安全工具的保护;事实上,即使我们手头一时没有专业安全工具的“护驾”,也能赤手空拳地让本地网络远离安全威胁。这不,本文下面就从系统端口出发,来贡献几则通过管理服务端口的方法来实现保护本地网络安全的技巧,相信这些内容一定能帮助各位更好地保护好本地网络或工作站的安全。
着眼端口,禁止随意下载
当其他人借用自己的计算机时,我们肯定担心他会在自己的计算机中随意下载信息,从而有可能“招惹”病毒,以致于影响本地计算机或本地网络的安全。如果我们采用禁用网卡或拔掉网络连接线缆的方法,来阻止他人随意下载信息的话,那肯定容易得罪朋友,要是使用第三方网络控制程序来实现禁止下载目的的话,那也很容易被朋友看穿真相。面对如此两难进地,我们难道就没有很礼貌的拒绝方法了?其实借助Windows系统自带的端口控制功能,我们可以很轻松、很友善地禁止朋友在本地计算机中随意下载信息,而且这种拒绝方法会让朋友根本觉察不出是我们在故意“捣蛋”,下面就是该方法的具体实施步骤:
首先用鼠标右键单击本地系统桌面中的“网上邻居”图标,从弹出的快捷菜单中单击“属性”选项,打开本地的网络连接列表窗口,再在该窗口中右击“本地连接”图标,并执行右键菜单中的“属性”命令,进入到本地连接属性设置窗口;
 |
| 图1 |
单击该窗口中的“常规”标签,并在对应的标签页面中选中“Internet协议(TCP/IP)”项目,再单击“属性”按钮,然后在其后出现的TCP/IP属性设置窗口中单击“高级”按钮,打开TCP/IP的高级属性设置界面;
接下来单击“选项”标签,并选中对应标签页面中的“TCP/IP筛选”项目,再单击“属性”按钮,打开如图1所示的参数设置窗口。将该设置窗口中的“TCP端口”、“UDP端口”以及“IP协议”由“全部允许”统统修改为“只允许”,再单击“添加”按钮,指定“TCP端口”、“UDP端口”以及“IP协议”数值全部为“1”,最后单击“确定”按钮,并将本地计算机系统重新启动一下,这么一来当他人日后再次借用本地计算机时,他就无法上网浏览了,但是本地网络连接看上去很正常,仍然能够象往常一样接收和发送信息,朋友肯定不会想到是我们在暗中“捣鬼”。倘若日后我们自己需要上网下载信息时,可以将“TCP端口”、“UDP端口”以及“IP协议”恢复成“全部允许”,并重新启动一下计算机系统就可以了。
着眼端口,限制非法连接
为了方便管理服务器,不少网络管理人员会使用服务器默认开通的3389端口,来与服务器建立远程连接,以便实现随处管理服务器的目的;不过一旦开通了3389端口,黑客或者非法攻击者也能通过该端口来非法与服务器建立远程连接,那样的话服务器的安全性就会受到严重威胁。为了防止其他人随意与服务器建立远程连接,我们可以将默认的远程连接端口号码修改成其他不为人所知的号码,以后只有知道远程端口号码的人才能与服务器建立远程连接,这么一来服务器安全性就能得到有效保证了;要修改默认的远程连接端口号码,我们可以按照如下步骤来操作:
首先以超级管理员帐号登录进服务器系统,并在该系统桌面中单击“开始”按钮,从弹出的“开始”菜单中执行“运行”命令,打开本地服务器系统的运行对话框,在其中输入“Regedit”字符串命令,单击回车键后,打开系统的注册表编辑窗口;
在该编辑窗口的左侧显示区域,用鼠标双击“HKEY_LOCAL_MACHINE”项目,在其后弹出的注册表分支下面依次选中“SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp”选项,并在“tcp”选项所对应的右侧显示区域中,用鼠标双击“PortNumber”键值,在弹出的数值设置对话框中,我们会发现终端服务默认的端口号码为“3389”,此时我们不妨在“数值数据”框中直接输入新的端口号码,当新号码一定不能与服务器中已有的号码相同,不然服务器中的相关功能就无法正常运行。例如,倘若我们希望服务器的终端服务端口为“11111”时,那只要在如图2所示的文本框中直接输入数字“11111”,并单击“确定”按钮就可以了;
 |
| 图2 |
接下来返回到“HKEY_LOCAL_MACHINE”注册表分支下面,用鼠标依次选中注册表子键“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp”,在“RDP-Tcp”子键所对应的右侧显示窗口中,找到双字节值“PortNumber”并用鼠标双击之,在其后出现的数值设置对话框中输入“11111”,并单击一下“确定”按钮,再重新启动一下服务器系统,如此一来服务器的远程连接端口号码就被修改为了“11111”。
一旦将服务器中的终端服务端口号码修改成“11111”后,我们日后企图与服务器建立远程桌面连接时,必须在工作站端及时修改一下终端服务使用的端口号码。在调整工作站端的远程桌面连接端口号码时,我们可以依次单击“开始”/“运行”命令,在弹出的系统运行框中输入远程桌面连接命令“mstsc.exe”,再单击其后界面中的“选项”按钮,进入到如图3所示的设置窗口。在该设置窗口的各个标签页面中,对远程桌面连接的各项参数进行合适设置,当然我们也可以直接使用默认的设置,设置好所有参数后再单击“常规”标签页面中的“另存为”按钮,以便将所有的远程桌面连接参数保存成rdp类型的远程连接配置文件;
接下来进入到系统资源管理器窗口,找到前面保存好的远程连接配置文件,并用记事本之类的应用程序将该文件打开,在其后弹出的文本编辑界面中,插入一行“server port:i:11111”,之后依次单击文本编辑窗口中的“文件”/“另存为”菜单命令,将该远程连接配置文件进行换名保存。
紧接着,重新回到如图3所示的“常规”标签页面中,单击其中的“打开”按钮,将前面新创建的远程桌面连接配置文件导入进来,再单击“连接”按钮,这样一来我们才能使用“11111”端口与服务器建立远程桌面连接。如果其他人不知道新的远程桌面连接端口号码时,那么他们在尝试与服务器建立远程桌面连接时就会失败,从这个意义上来说服务器的安全就能得到保证了。
着眼端口,谨防帐号被偷
相信不少人都听说过,服务器中具有超级管理员权限的帐号被一些黑客或非法攻击者偷盗使用的事情,那么黑客或非法攻击者是如何偷盗到服务器中的一些超级管理员帐号的呢?其实各种权限帐号的失窃,主要还是因为服务器随意开通了3389端口,黑客或非法攻击者正是通过这个端口来偷盗服务器的各种权限帐号信息的,如果我们能想办法将3389端口暂时停用掉,那么服务器中各种帐号失窃的现象就不大容易发生了。要停用3389端口其实很简单,我们可以按照如下步骤来操作:
对于Windows XP系统来说,我们可以按照这样的操作来暂时停用3389端口:首先用鼠标右键单击系统桌面中的“我的电脑”图标,从弹出的快捷菜单中单击“属性”命令,选中其后属性界面中的“远程”标签,然后在对应的标签页面中,取消“允许用户远程连接到这台计算机”和“允许从这台计算机发送远程协助邀请”项目的选中状态,如图4所示,再单击“确定”按钮,如此一来Windows XP系统中的3389端口就能被暂时停止使用了。
 |
| 图3 |
对于Windows 2000或Windows 2003服务器系统来说,我们只要简单地将服务器中的“Terminal Services”服务停止运行,就能实现暂时停用3389端口的目的了。在停止运行“Terminal Services”服务时,我们可以用鼠标右键单击系统桌面中的“我的电脑”图标,并执行快捷菜单中的“管理”命令,打开本地服务器系统的计算机管理窗口;在该管理窗口的左侧显示区域,依次展开“服务和应用程序”选项,在对应“服务”选项的右侧显示窗格中,用鼠标双击“Terminal Services”项目,并在其后弹出的服务属性界面中,单击“停止”按钮,并将该服务的启动类型设置为“已禁用”,最后单击“确定”按钮,这样的话就能实现暂时停止运行“Terminal Services”服务的目的了。
着眼端口,封杀恶意攻击
在网上进行冲浪时,时常有恶意程序偷偷地攻击本地工作站,由于这些恶意攻击多会在本地系统中留下“痕迹”,通过这个“痕迹”,我们一般能够“揪”出究竟是什么程序在攻击本地计算机。为了防止这些恶意程序下次继续攻击本地工作站,不少人都想知道恶意程序是通过哪个端口攻击系统的,以后只要借助防火墙将危险端口过滤掉,就能实现封杀恶意攻击的目的了。那么我们究竟该怎样才能找出恶意程序使用的端口号码呢?其实通过下面的操作方法,我们能很快地找到恶意程序:
当发现有恶意程序在攻击本地计算机时,我们可以打开本地计算机的系统运行框,在其中执行字符串命令“cmd”,将系统屏幕切换到MS-DOS窗口,并在该窗口的DOS命令行中执行字符串命令“netstat -ano >111.txt”,那样的话netstat命令就能自动把本地工作站正在侦听的端口信息导出到“111.txt”文件中了;
 |
| 图4 |
接着在DOS命令行中再次执行“tasklist >222.txt”字符串命令,这样一来tasklist程序就会把本地计算机中当前运行的应用程序和这些程序的进程标识信息导出到“222.txt”文件中了;
接下来用记事本之类的应用程序,依次打开前面生成的“111.txt”、“222.txt”文本文件,并对这些文件中的内容进行仔细分析,我们就能从“222.txt”文本文件中找到恶意程序所用的,然后根据目标进程标识号在“111.txt”文件中就能找到恶意程序所用的端口号码了。一旦找到目标攻击端口号码后,我们只需要将该端口号码加入到防火墙中,让防火墙自动对来自恶意端口的信息进行“过滤”,那样一来本地工作站的安全性能就容易得到保证了。
