windows系統(tǒng)服務(wù)中都存在哪些安全隱患?
發(fā)布時(shí)間:2021-01-06來源:admin
<span> 一、Application Layer Gateway Service(應(yīng)用層網(wǎng)關(guān)服務(wù))</span><br />
<span> 該服務(wù)提供因特網(wǎng)聯(lián)機(jī)共享和因特網(wǎng)聯(lián)機(jī)防火墻的第三方通訊協(xié)議插件的支持。但是會(huì)招致惡意攻擊。病毒感染XP系統(tǒng)的應(yīng)用層網(wǎng)關(guān)服務(wù)(Application Layer Gateway Service)導(dǎo)致XP系統(tǒng)用戶打不開網(wǎng)頁。在病毒感染之后,該服務(wù)會(huì)在每次系統(tǒng)啟動(dòng)時(shí)自動(dòng)啟動(dòng),并在后臺(tái)產(chǎn)生一個(gè)alg.exe的進(jìn)程,因此建議禁用該服務(wù)。</span><br />
<span> 二、WebClient(網(wǎng)絡(luò)客戶端)</span><br />
<span> 該服務(wù)是用來啟用Windows為主的程序來建立、存取,以及修改基于Internet的文件默認(rèn)啟動(dòng)類型為自動(dòng)。使用WebDav可將檔案或數(shù)據(jù)夾上傳到某個(gè)Web服務(wù),這個(gè)服務(wù)對(duì)于未來.NET意義更大。但是很容易招致黑客的惡意攻擊,建議設(shè)為禁用。</span><br />
<span> 三、Distributed Transaction Coordinator(分布式交易協(xié)調(diào)器)</span><br />
<span> 默認(rèn)啟動(dòng)類型為手動(dòng)。主要用來處理分布式交易。同一數(shù)據(jù)庫內(nèi)不同數(shù)據(jù)表間的交易,則不能稱作分布式交易。顯然對(duì)于需要同時(shí)處理多個(gè)數(shù)據(jù)庫或文件系統(tǒng)的用戶來說,這個(gè)服務(wù)意義重大,其實(shí)這個(gè)服務(wù)也容易受到黑客的遠(yuǎn)程拒絕服務(wù)攻擊。因此建議設(shè)為禁用。</span><br />
<span> 四、Messenger</span><br />
<span> 信使服務(wù)發(fā)送和接收系統(tǒng)管理員或“警報(bào)器”服務(wù)消息的服務(wù)。默認(rèn)啟動(dòng)類型為自動(dòng)。如果是在同一域中,只需要用NET SEND命令就可以輕易發(fā)送消息了。但是"信使服務(wù)"不僅會(huì)干擾工作,影響心情,而且還容易遭到"社會(huì)工程"攻擊,很多垃圾郵件發(fā)送者都利用這一功能向計(jì)算機(jī)用戶發(fā)送垃圾信息。建議設(shè)為禁用。</span><br />
<span> 五、Remote Registry Service</span><br />
<span> 該服務(wù)允許遠(yuǎn)程用戶通過簡(jiǎn)單的連接就能修改本地計(jì)算機(jī)上的注冊(cè)表設(shè)置。知道管理員賬號(hào)和密碼的人遠(yuǎn)程訪問注冊(cè)表是很容易的。打開注冊(cè)表編輯器,選擇“文件”菜單中的“連接網(wǎng)絡(luò)注冊(cè)表”選項(xiàng),在“選擇計(jì)算機(jī)”對(duì)話框里的“輸入要選擇的對(duì)象名稱”下的輸入框中輸入對(duì)方的IP地址,點(diǎn)擊“確定”按鈕便會(huì)出現(xiàn)一個(gè)“輸入網(wǎng)絡(luò)密碼”對(duì)話框,輸入管理員賬號(hào)和密碼,點(diǎn)擊“確定”按鈕后就可對(duì)目標(biāo)機(jī)器的注冊(cè)表進(jìn)行修改了。現(xiàn)在,不少木馬后門程序可以通過此服務(wù)來修改目標(biāo)機(jī)器的注冊(cè)表,強(qiáng)烈建議大家禁用該項(xiàng)服務(wù)。</span><br />
<span> 六、ClipBook</span><br />
<span> 這個(gè)服務(wù)允許任何已連接的網(wǎng)絡(luò)中的其他用戶查看本機(jī)的剪貼板。負(fù)責(zé)管理這項(xiàng)服務(wù)的是網(wǎng)絡(luò)DDE代理(Network DDE Agent),實(shí)際上網(wǎng)絡(luò)DDE代理會(huì)使機(jī)器非常容易遭受惡意攻擊而失去本機(jī)的管理員控制權(quán)。因此如果無需ClipBook共享這個(gè)特殊服務(wù),不妨禁用。</span><br />
<span> 七、Computer Browser</span><br />
<span> 該服務(wù)可以將當(dāng)前機(jī)器所使用網(wǎng)絡(luò)上的計(jì)算機(jī)列表提供給那些請(qǐng)求得到該列表的程序(很有可能是惡意程序),很多黑客可以通過這個(gè)列表得知當(dāng)前網(wǎng)絡(luò)中所有在線計(jì)算機(jī)的標(biāo)志并展開進(jìn)一步的攻擊。建議一般用戶禁用該服務(wù)。</span><br />
<span> 八、Indexing Service</span><br />
<span> Indexing Service是一個(gè)搜索引擎。這個(gè)索引服務(wù)應(yīng)該算是多數(shù)IIS Web服務(wù)器上諸多安全弱點(diǎn)的根源。同時(shí),它也是很多蠕蟲病毒爆發(fā)的罪魁禍?zhǔn)祝缭餍幸粫r(shí)的紅色代碼就是利用IIS的緩沖區(qū)溢出漏洞和索引服務(wù)來進(jìn)行傳播的,而著名的藍(lán)色代碼和尼姆達(dá)則是分別利用IIS服務(wù)的IFRAMEExecCommand、Unicode漏洞來進(jìn)行傳播。因此,如果你不需要架設(shè)Web服務(wù)器,請(qǐng)一定要關(guān)閉該項(xiàng)服務(wù)。</span><br />
<span> 九、DNS Client</span><br />
<span> 該服務(wù)是用于查詢DNS緩存記錄的。可用于對(duì)某個(gè)已入侵的系統(tǒng)進(jìn)行DNS查詢,可加速DNS查詢的速度。攻擊者在取得用戶的Shell后,可以通過ipconfig/displaydns命令查看用戶的緩存內(nèi)容,獲知你所訪問過的網(wǎng)站。從而使用戶的信息外泄。</span><br />
<span> 十、Server </span><br />
<span> 該服務(wù)提供RPC支持以及文件、打印和命名管道共享。Server服務(wù)是作為文件系統(tǒng)驅(qū)動(dòng)器來實(shí)現(xiàn)的,可以處理I/O請(qǐng)求。如果用戶沒有提供適當(dāng)?shù)谋Wo(hù),會(huì)暴露系統(tǒng)文件和打印機(jī)資源。對(duì)于Windows 2000系統(tǒng)而言,這是一個(gè)高風(fēng)險(xiǎn)服務(wù)。Windows 2000中默認(rèn)共享的存在就是該服務(wù)的問題。如果不禁用該服務(wù),每次注銷系統(tǒng)或開機(jī)后,默認(rèn)共享就會(huì)打開,你的所有重要信息都將暴露出來。同時(shí),由于很多Windows 2000使用者為了使用方便把管理員密碼設(shè)置為空密碼或非常簡(jiǎn)單的密碼組合,這給了黑客可乘之機(jī)。</span><br />
<span> 十一、Workstation</span><br />
<span> 該服務(wù)以一個(gè)文件系統(tǒng)驅(qū)動(dòng)器的形式工作,并且可以允許用戶訪問位于Windows網(wǎng)絡(luò)上的資源。該服務(wù)應(yīng)當(dāng)只在位于某個(gè)內(nèi)部網(wǎng)絡(luò)中并受到某個(gè)防火墻保護(hù)的工作站和服務(wù)器上運(yùn)行。在任何可以連接到Internet的服務(wù)器上都應(yīng)該禁用這個(gè)服務(wù),避免信息外露。特別是一些獨(dú)立服務(wù)器(例如Web服務(wù)器)是不應(yīng)當(dāng)加入到某個(gè)Windows網(wǎng)絡(luò)中的。</span><br />
<span> 十二、TCP/IP NetBIOS Helper Service</span><br />
<span> 在Windows構(gòu)建的網(wǎng)絡(luò)中,每一臺(tái)主機(jī)的唯一標(biāo)志信息是它的NetBIOS名。系統(tǒng)可以利用WINS服務(wù)、廣播及Lmhost文件等多種模式將NetBIOS名解析為相應(yīng)IP地址,從而實(shí)現(xiàn)信息通訊。在這樣的網(wǎng)絡(luò)內(nèi)部,利用NetBIOS名實(shí)現(xiàn)信息通訊是非常方便、快捷的。但是在Internet上,它就和一個(gè)后門程序差不多了。它很有可能暴露出當(dāng)前系統(tǒng)中的NetBIOS安全性弱點(diǎn),例如大家所熟悉的139端口入侵就是利用了此服務(wù)。由于NetBIOS是基于局域網(wǎng)的,因此,只需要訪問Internet資源的一般用戶可以禁用它,除非你的系統(tǒng)處于局域網(wǎng)中。</span><br />
<span> 十三、Terminal Services</span><br />
<span> 該服務(wù)提供多會(huì)話環(huán)境,允許客戶端設(shè)備訪問虛擬的系統(tǒng)桌面會(huì)話以及運(yùn)行在服務(wù)器上的基于Windows的程序并打開默認(rèn)為3389的對(duì)外端口,允許外來IP的連接(著名的3389攻擊所依靠的服務(wù)就是它)。對(duì)于這個(gè)非常危險(xiǎn)的服務(wù),只有“禁用”。配置服務(wù)的方法:進(jìn)入“服務(wù)”窗口,右鍵點(diǎn)擊要配置的服務(wù),然后點(diǎn)擊“屬性”。可根據(jù)需要在“常規(guī)”選項(xiàng)卡中,點(diǎn)擊“自動(dòng)”、“手動(dòng)”或“已禁用”。</span>
聯(lián)系方式: 0755-84185494
