当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 由冲击波联想视窗网络安全对策

安全基础
IE浏览器防黑十大秘籍,黑客也没招
网络工程师讲解系统安全漏洞的形成和防治
清除导致XP系统反复重启的新网银木马
识破QQ欺骗网络地址的几种方法汇总
安全基础知识 细说暴库的原理与方法
排除无线突然中断故障实例
强搜天线 搜出WiFi世界的安全漏洞
网管应用技巧 内网安全十大策略说明
如何修改局域网内部打印机的IP地址
如何找出IIS中隐藏的网站
EFS加密技术的概念分析及一次解密经过
提高Windows XP系统安全性要关闭的10种服务
PHPBB 2.0.22 MOD版最新注入漏洞
修复Windows系统忘记密码的9个高招
用SockOnline软件轻松突破端口限制
安全基础知识 最强0到33600端口详解
执行文件方式加密FLASH文件的解密方法
网吧被入侵后的应对解决方法
网页“黑手”如何攻击你的Windows系统
不要让别人读了你的信 谈私密数据保护

安全基础 中的 由冲击波联想视窗网络安全对策


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 33 ::
收藏到网摘: n/a

由“冲击波”联想到的Windows系统网络安全防护若干问题及对策

这一阵子的MSBlaster蠕虫(即“冲击波”病毒)着实让全球网络管理员和用户忙了一阵子,大量的使用Windows 2000 Professional/Server/Advanced Server、Windows XP Home Edition/Professional的个人计算机或者网络服务器因此而出现循环的关机过程、扩展命令菜单的异常等问题。MSBlaster的破坏原理就是利用了基于Windows NT内核的操作系统的RPC DCOM漏洞,通过向漏洞计算机的TCP 135端口发送异常的数据包而达到让目标计算机RPC服务出错的目的。

这次蠕虫爆发来势如此凶猛,以致于让很多使用Windows平台服务器的管理员和NT架构操作系统的个人用户大乱阵脚,一时间各大论坛关于此蠕虫带来的操作系统故障的帖子纷至沓来,国内几个安全软件生产商的论坛人气更是急速上升。伴随这股浪潮而来的,就是反病毒软件和个人防火墙产品的销量大增,国内几大个人安全产品生产商均是以能够杀除或者抵御Worm_MSBlaster作为产品宣传的重点。那么,究竟是不是非得要因为如此一个蠕虫而去花一两百块钱采购新的安全产品?我的回答是NO!我们完全可以通过Windows系统自带的功能实现对此蠕虫的防御。下面我将具体叙述(注意:下文中假定读者的机器并未感染Worm_MSBlaster,如果业已感染,应该下载一个安全厂商提供的免费清除工具,断开网络连接并重新启动到安全模式对此病毒进行查杀后,再参照下文进行操作)

首先,我将针对Windows XP系列的防护进行叙述。Windows XP相比前几代的版本,除了操作界面的极大提升以外,安全性有了很大的提升,特别是提供了一个应用层防火墙ICF(Internet Connection Firewall),这就让担心网络攻击的用户拥有了一个无需付费的安全防护(当然,操作系统要钱)。这样一来,Worm_MSBlaster就容易防护了,只需要:1、到“控制面板”中打开“网络连接”;2、找到你所使用的那个连接,并用右键单击那个连接;3、选择“属性”,在弹出来的窗口中转到“高级”选项卡,将“通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络”前面的多选框选中;4、确定退出。这样就可以使用ICF来阻止Worm_Blaster或者其他大部分来自外界的攻击了。这里需要注意一点:使用QQ的用户可能会因为ICF而无法联机聊天了,因为ICF丢弃掉了来自服务器或者对方QQ向己方UDP 8000端口的数据包,这就需要特别配置一条ICF规则来使用QQ,具体方法是:在前述步骤的第3步中,选中那个复选框以后,单击窗口下部随后立即由不可用变为可用的“设置”按钮,随后将弹出“高级设置”窗口,在“服务”选项卡的下部单击“添加”按钮,将会弹出如图窗口

此时,在“服务描述”输入栏中填入你喜欢的任意文字描述,然后在“在您的网络上主持此服务的计算机名称或IP地址”输入框中填入你自己的IP地址或者计算机名称,如果你都不知道,就填入127.0.0.1就行了;接下来在“此服务的外部端口号”和“此服务的内部端口号”两个输入框中都填入8000(虽然QQ在操作系统中使用的外部端口是4000,但是都设定为8000并没有问题)将旁边的协议单选框选择为UDP,然后单击确定退出“高级设置”窗口。然后就是前面所述的第4步了。

这里需要特别注意一点:如果你的机器是作为ICS(Internet Connection Share)网关使用,那么就不能使用ICF,在作为ICS gateway的机器上启用ICF将会导致所有连接到此计算机上的客户机无法上网。这样就需要另寻途径解决问题,同样,从Windows 系统自带的解决方案入手,不求助第三方厂商,这个方法就是我第二步要叙述的Windows 2000和Windows XP通用的方法:利用Windows 2000/XP中的IP安全策略(IPSec)提供对端口的通讯控制,下面将详细叙述。(注意!如果没有使用ICS,还是要首选ICF)

先进行前期工作说明。调用方法:在Windows 2000 Professional/Server/Advanced Server和Windows XP Professional中,进入控制面板,选择管理工具,然后双击“本地安全策略”,进入本地安全策略窗口后,选择“IP安全策略”目录树;需要特别分开说明的是,Windows XP Home Edition这个版本的管理工具中没有“本地安全策略”一项,这并不意味着Windows XP Home Edition用户无法使用IPSec保护计算机,要调用IPSec控制台需要绕一些弯子:打开位于开始菜单的运行,输入“mmc”,并回车确定,将会打开一个全新的控制台。选择顶部的“文件”菜单,在弹出的下拉菜单中选择“添加/删除管理单元”菜单项,会弹出如图窗口

单击“添加”按钮,然后在随后弹出窗口的列表框中选择第二项“IP安全策略管理”,并且单击添加(只需要单击一次),然后按“关闭”返回“添加/删除管理单元”窗口,并单击确定关闭此窗口