子任務(wù)1-2-1 關(guān)閉不必要的端口

1.1任務(wù)概覽了解系統(tǒng)安全基礎(chǔ)知識掌握安全基本措施熟悉常見端口與服務(wù)及其對應(yīng)關(guān)系學(xué)習(xí)目標：知識目標技能目標態(tài)度目標會熟練完成系統(tǒng)安裝能完成系統(tǒng)基本加固工作，保證系統(tǒng)安全能關(guān)閉不必要的端口與服務(wù)，通過不同方式確保應(yīng)用安全能解決系統(tǒng)應(yīng)用過程中出現(xiàn)的問題有強烈的安全意識養(yǎng)成勤學(xué)、好問、獨立思考和細心檢查的學(xué)習(xí)習(xí)慣能與組員精誠合作，能正確面對他人的成功或失敗具有一定自學(xué)能力，分析問題、解決問題能力和創(chuàng)新的能力任務(wù)1-2關(guān)閉不必要的服務(wù)和端口端口和服務(wù)的作用是什么呢？一臺主機配置好IP地址后，可以提供諸如Web、FTP、SMTP等許多服務(wù)，這些服務(wù)完全可以通過1個IP地址來實現(xiàn)。那么，一臺主機一個IP地址怎樣能夠區(qū)分不同的網(wǎng)絡(luò)服務(wù)呢？實際上是通過“IP地址+端口號”來區(qū)分不同的服務(wù)，因為IP地址與網(wǎng)絡(luò)服務(wù)之間存在一對多的關(guān)系。2017年5月12日爆出的onion勒索病毒，通過校園網(wǎng)傳播，感染了很多同學(xué)的電腦。文檔被加密，壁紙遭到篡改，并且在桌面上出現(xiàn)窗口，強制學(xué)生支付等價300美元的比特幣到攻擊者賬戶上。北京郵電大學(xué)科學(xué)技術(shù)發(fā)展研究院發(fā)出通告：建議用戶關(guān)閉445端口；打上MS17-010補??；禁用“文件和打印機共享”相關(guān)規(guī)則；升級病毒防護軟件等措施。1.查看端口子任務(wù)1-2-1

關(guān)閉不必要的端口關(guān)閉端口意味著減少功能，在安全和功能上面需要做一些抉擇。如果服務(wù)器安裝在防火墻的后面，風(fēng)險就會少些。但是，也并不是可以高枕無憂?？梢杂枚丝趻呙杵鲯呙柘到y(tǒng)或者命令方式查看已開放的端口，確定系統(tǒng)開放的哪些服務(wù)可能引起黑客入侵，然后關(guān)閉這些端口。任務(wù)1-2關(guān)閉不必要的服務(wù)和端口查看端口的方式主要有兩種，一種是利用系統(tǒng)內(nèi)部的命令查看，另一種是使用第三方軟件查看。第三方軟件非常多，如PortReporter、Tcpview、網(wǎng)絡(luò)端口查看器、Scanport等，操作并不復(fù)雜，因此，本任務(wù)中主要介紹如何利用系統(tǒng)內(nèi)部命令查看端口信息，第二種方式就不贅述了。netstat工具可顯示有關(guān)統(tǒng)計信息和當前TCP/IP網(wǎng)絡(luò)連接的情況，通過該工具，用戶或網(wǎng)絡(luò)管理人員可以得到非常詳盡的統(tǒng)計結(jié)果。尤其是網(wǎng)絡(luò)中沒有安裝特殊的網(wǎng)管軟件，但要對整個網(wǎng)絡(luò)的使用狀況作詳細了解時，netstat就非常有用。(1)netstat用法它可以用來獲得系統(tǒng)網(wǎng)絡(luò)連接的信息（使用的端口和在使用的協(xié)議等）、收到和發(fā)出的數(shù)據(jù)、被連接的遠程系統(tǒng)的端口等。其語法格式是：netstat[-a][-e][-n][-s][-pprotocol][-r][interval]。各個參數(shù)解析如表1-2-1所示。表1-2-1netstat命令參數(shù)解析子任務(wù)1-2-1

關(guān)閉不必要的端口序號命令及其參數(shù)含義描述1Netstat-a用來顯示在本地機上的外部連接、遠程連接的系統(tǒng)，本地和遠程系統(tǒng)連接時使用和開放的端口，本地和遠程系統(tǒng)連接的狀態(tài)2Netstat-n是-a參數(shù)的數(shù)字形式，它是用數(shù)字的形式顯示信息。這個參數(shù)通常用于檢查自己的IP，也有些人則因為更喜歡用數(shù)字的形式顯示主機名而使用該參數(shù)。3Netstat-e顯示靜態(tài)以太網(wǎng)統(tǒng)計，該參數(shù)可以與-s選項結(jié)合使用4Netstat–pprotocol用來顯示特定的協(xié)議配置信息，它的格式為netstat-pxxx。其中xxx可以是UDP、IP、ICMP或TCP5Netstat-s顯示在默認情況下每個協(xié)議的配置統(tǒng)計，默認情況下包括TCP、IP、UDP、ICMP等協(xié)議6Netstat-r用來顯示路由分配表。7Netstatinterval每隔interval秒重復(fù)顯示所選協(xié)議的配置情況，直到按Ctrl+C組合鍵中斷。(2)netstat實例實例1：netstat–a通常用于獲得本地系統(tǒng)開放的端口，可檢查系統(tǒng)上有沒有被安裝木馬，運行結(jié)果如圖1-2-1所示。如果在機器上運行netstat時發(fā)現(xiàn)了諸如Port12345（TCP）Netbus、Port31337（UDP）BackOrifice之類的信息，則很有可能感染了木馬。子任務(wù)1-2-1

關(guān)閉不必要的端口圖1-2-1netstat–a參數(shù)使用情況實例2：netstat-e運行情況如圖1-2-2所示，可查看接口統(tǒng)計數(shù)據(jù)。子任務(wù)1-2-1

關(guān)閉不必要的端口圖1-2-2netstat–e參數(shù)使用情況實例3：netstat–p運行情況如圖1-2-3所示，可查看活動連接情況。圖1-2-3netstat–p參數(shù)使用情況(實例4：netstat–s運行情況如圖1-2-4所示，可查看接口、協(xié)議的統(tǒng)計信息。子任務(wù)1-2-1

關(guān)閉不必要的端口圖1-2-4netstat-e-s參數(shù)的綜合使用（3）高級應(yīng)用①需要查看系統(tǒng)端口狀態(tài)，列出系統(tǒng)正在開放的端口號及其狀態(tài)（見圖1-2-5），可使用netstat–na命令，-a、–n2個參數(shù)同時使用。子任務(wù)1-2-1

關(guān)閉不必要的端口圖1-2-5netstat-na參數(shù)的綜合使用②需要查看系統(tǒng)端口狀態(tài)，顯示每個連接是由哪些程序創(chuàng)建的（見圖1-2-6），可使用netstat–nab命令，-a、–n、–b3個參數(shù)同時使用。通過該命令可以查看是哪些程序使用了哪些端口，可以幫助發(fā)現(xiàn)可疑的程序應(yīng)用。子任務(wù)1-2-1

關(guān)閉不必要的端口圖1-2-6netstat-nab參數(shù)的綜合使用③檢測445端口狀態(tài)是否關(guān)閉，防止被“永恒之藍”相關(guān)病毒木馬勒索程序等入侵?？刹捎萌鐖D1-2-7所示的命令。從圖中發(fā)現(xiàn)，445端口是開啟的。為了安全起見，不是必要的情況下建議關(guān)閉該端口。子任務(wù)1-2-1

關(guān)閉不必要的端口圖1-2-7netstat-nao參數(shù)的綜合使用可使用圖1-2-8所示的命令查找含445端口的協(xié)議和進程號（PID）圖1-2-8查找445端口使用如圖1-2-9所示的命令，根據(jù)進程號查找是哪些程序使用了該端口。找到具體程序后使用taskkill/f/t/imServer-U.exe命令結(jié)束該程序，然后去關(guān)閉445端口。子任務(wù)1-2-1

關(guān)閉不必要的端口圖1-2-9查找哪些程序使用了445端口2.關(guān)閉端口子任務(wù)1-2-1

關(guān)閉不必要的端口任務(wù)2關(guān)閉不必要的服務(wù)和端口（1）通過Windows防火墻關(guān)閉端口在Windowsserver2008系統(tǒng)上，有兩種方式可以禁用本地端口，一種是通過Windows防火墻（比較簡單，設(shè)置方便），另一種是通過IP安全策略（比較復(fù)雜，功能強大，不依賴防火墻）。本任務(wù)中主要介紹通過Windows防火墻禁用端口。步驟1：單擊“開始→控制面板→Windows防火墻”，確保啟用了Windows防火墻，打開如圖1-2-10所示的“Windows防火墻”窗口。圖1-2-10“Windows防火墻”窗口步驟2：在左邊窗格中單擊“高級設(shè)置”，系統(tǒng)會自動彈出如圖1-2-11所示的“高級安全Windows防火墻”窗口，單擊“入站規(guī)則”。子任務(wù)1-2-1

關(guān)閉不必要的端口圖1-2-11“高級安全Windows防火墻”窗口步驟3：在最右邊窗格中單擊“新建規(guī)則…”，打開如圖1-2-12所示的“新建入站規(guī)則向?qū)?規(guī)則類型”對話框，在向?qū)Т翱谥羞x擇要創(chuàng)建的規(guī)則類型，這里選“端口”單選項。子任務(wù)1-2-1

關(guān)閉不必要的端口圖1-2-12“新建入站規(guī)則向?qū)?規(guī)則類型”對話框步驟4：單擊“下一步”按鈕，打開如圖1-2-13所示的“新建入站規(guī)則向?qū)?協(xié)議和端口”對話框，選擇對應(yīng)的協(xié)議和端口單選項。本任務(wù)中從前面的端口查看情況可發(fā)現(xiàn)是TCP的135和445端口，因此在本任務(wù)中選中TCP協(xié)議，在“特定本地端口”寫入需禁用的端口，例如“445”。子任務(wù)1-2-1

關(guān)閉不必要的端口圖1-2-13“新建入站規(guī)則向?qū)?協(xié)議和端口”對話框步驟5：單擊“下一步”按鈕，打開如圖1-2-14所示的“新建入站規(guī)則向?qū)?操作”對話框，選擇需進行的操作類型，在本任務(wù)中選中“阻止連接”。子任務(wù)1-2-1

關(guān)閉不必要的端口圖1-2-14“新建入站規(guī)則向?qū)?操作”對話框步驟6：單擊“下一步”按鈕，打開如圖1-2-15所示的“新建入站規(guī)則向?qū)?配置文件”對話框，根據(jù)需要選擇何時應(yīng)用該規(guī)則復(fù)選項，本任務(wù)中選中“公用”復(fù)選框。子任務(wù)1-2-1

關(guān)閉不必要的端口圖1-2-15“新建入站規(guī)則向?qū)?配置文件”對話框步驟7：單擊“下一步”按鈕，打開如圖1-2-16所示的“新建入站規(guī)則向?qū)?名稱”對話框，在右側(cè)窗格中的“名稱”下指定該規(guī)則的名稱，為了更清楚可在“描述”下添加相應(yīng)信息。子任務(wù)1-2-1

關(guān)閉不必要的端口圖1-2-16“新建入站規(guī)則向?qū)?名稱”對話框步驟8：單擊“完成”按鈕，回到如圖1-2-17所示的“高級安全Windows防火墻”窗口，在中間窗格中已經(jīng)添加“關(guān)閉445端口”入站規(guī)則，默認情況下新建的規(guī)則會直接啟用。在該任務(wù)中可看到在“關(guān)閉445端口”左側(cè)為紅色的禁用標識；選中該規(guī)則，鼠標右鍵，在彈出的菜單中只有“禁用規(guī)則”，說明已啟用。子任務(wù)1-2-1

關(guān)閉不必要的端口圖1-2-17“高級安全Windows防火墻”窗口如果需要對規(guī)則進行其他設(shè)置或更改，可選中該規(guī)則，鼠標右鍵，在彈出的菜單中單擊“屬性”，打開如圖1-2-18所示的“關(guān)閉445端口屬性”對話框，對該規(guī)則進行相應(yīng)設(shè)置。子任務(wù)1-2-1

關(guān)閉不必要的端口圖1-2-18“關(guān)閉445端口屬性”對話框于是重新啟動計算機后，上述網(wǎng)絡(luò)端口就被關(guān)閉了，病毒和黑客再也不能連上這些端口，從而保護了計算機的安全。子任務(wù)1-2-1

關(guān)閉不必要的端口135端口：RPC在處理通過TCP/IP交換的消息時有一個漏洞。該漏洞是由于錯誤地處理格式不正確的消息造成的，會影響到RPC與DCOM之間的一個接口，該接口偵聽的端口就是135。139端口：開啟139端口雖然可以提供共享服務(wù)，但是常常會被攻擊者因素發(fā)起攻擊。比如使用流光、SuperScan等端口掃描工具，可以掃描目標計算機的139端口，如果發(fā)現(xiàn)有漏洞，則會嘗試獲取用戶名和密碼。445端口：開啟445端口可以使用戶在局域網(wǎng)中輕松訪問各種共享文件夾或共享打印機，但黑客也能通過該端口偷偷共享硬盤，甚至?xí)谇臒o聲息中將硬盤格式化。（2）通過設(shè)備管理器關(guān)閉端口步驟1：單擊“開始”→“控制面板”→“系統(tǒng)”，打開如圖1-2-19所示的“設(shè)備管理器”窗口。子任務(wù)1-2-1

關(guān)閉不必要的端口圖1-2-19“設(shè)備管理器”窗口步驟2：單擊菜單欄中的“查看”選項卡，在打開的菜單中選中“顯示隱藏的設(shè)備（W）”項，展開“非即插即用驅(qū)動程序”，如圖1-2-20所示。子任務(wù)1-2-1

關(guān)閉不必要的端口圖1-2-20“設(shè)備管理器-非即插即用驅(qū)動程序”項步驟3：在圖1-2-20中找到NETBT（對應(yīng)445端口），鼠標右鍵單擊“屬性”，打開“NETBT屬性”對話框，如圖1-2-21所示。將啟動類型設(shè)置為“已禁用”則可。子任務(wù)1-2-1

關(guān)閉不必要的端口圖1-2-21“NetBiosoverTcpip屬性”對話框（3）通過IP安全策略關(guān)閉端口步驟1：單擊“開始→運行”，在運行文本框中輸入“gpedit.msc”，單擊“確定”按鈕，打開如圖1-2-22所示的“本地組策略編輯器”窗口。子任務(wù)1-2-1

關(guān)閉不必要的端口圖1-2-21“NetBiosoverTcpip屬性”對話框步驟2：單擊“Windows設(shè)置”左側(cè)的“+”，在展開項中單擊“安全設(shè)置”左側(cè)的“+”，選中“IP安全策略，在本地計算機”，右鍵。如圖1-2-23所示。子任務(wù)1-2-1

關(guān)閉不必要的端口圖1-2-23“IP安全策略，在本地計算機”選項步驟3：單擊“創(chuàng)建IP安全策略（C）…”，打開“IP安全策略向?qū)А?，單擊“下一步”，打開如圖1-2-24所示的“IP安全策略向?qū)?IP安全策略名稱”對話框，在“名稱”下的文本框中輸入策略名稱。子任務(wù)1-2-1

關(guān)閉不必要的端口圖1-2-24“IP安全策略向?qū)?IP安全策略名稱”對話框步驟4：單擊“下一步”按鈕，打開如圖1-2-25所示“IP安全策略向?qū)?安全通訊請求”對話框。子任務(wù)1-2-1

關(guān)閉不必要的端口圖1-2-25“IP安全策略向?qū)?安全通訊請求”對話框步驟5：單擊“下一步”按鈕，打開如圖1-2-26所示的“IP安全策略向?qū)?正在完成IP安全策略向?qū)А贝翱?。子任?wù)1-2-1

關(guān)閉不必要的端口圖1-2-26“IP安全策略向?qū)?正在完成IP安全策略向?qū)А贝翱诓襟E6：單擊“完成”按鈕，打開如圖1-2-27所示的“close445屬性”窗口。子任務(wù)1-2-1

關(guān)閉不必要的端口圖1-2-27“close445屬性”窗口步驟10：單擊“添加”按鈕，打開如圖1-2-32所示的“新增安全方法”對話框。子任務(wù)1-2-1

關(guān)閉不必要的端口圖1-2-32“新增安全方法”對話框步驟11：選中“完整性和加密”單選項，然后單擊“確定”按鈕，返回如圖1-2-33所示的“close445屬性”對話框，可以看到添加了一個新篩選器，可對其進行“編輯”和“刪除”操作。子任務(wù)1-2-1

關(guān)閉不必要的端口圖1-2-33“close445屬性”對話框步驟12：如無需更改，則單擊“確定”按鈕，則在“本地組策略編輯器”中添加了“close445”策略。如圖1-2-34所示。選中“close445”，用鼠標右鍵單擊新添加的IP安全策略，然后選擇“分配”，該策略右下角出現(xiàn)綠色標識