揪出系统中的内鬼

作者：李骏杰    来源：家用电脑    投递者：      [2007-12-29 18:44]      阅读：人

• 
  
  
  顶一下
• 你高枕无忧在享受系统吗？你知道他们心底的秘密吗？把这些内鬼揪出来或许才是安全之本!

危险服务三：Remote Registry Service
    
危险等级：★★★☆
    
服务简介：远程用户能修改此计算机上的注册表设置。
    
Remote Registry Service（Winxp系统为Remote Registry）服务的作用是让远程用户通过简单的连接就能修改本地计算机上的注册表设置。我们运行“注册表编辑器”，点击“文件”菜单，选择其中的“连接网络计算机”，在这里我们只要输入远程计算机的管理员帐号密码就可以修改远程计算机的注册表设置了。这个服务的作用和ClipBook服务有些类似，都是提供给远程用户使用的，远程用户通过IPC管道与本机进行连接后，就可以设置本地计算机的注册表内容。这项功能对网络管理员比较有用，可以方便网络管理，而对于我们普通用户而言是没有丝毫用处的。
    
Remote Registry Service也是经常被木马利用的服务之一，木马中修改远程计算机注册表是最基本的功能，而这项功能就是依赖于Remote Registry Service服务的。因此我们可以毫不犹豫地将其关闭。
图3.连接远程注册表     dtc38

危险服务四：Server
    
危险等级：★★★★☆
    
服务简介：支持此计算机通过网络的文件、打印、和命名管道共享。
    
如果我们的计算机处在局域网中，那么Server服务的作用是相当大的，很多时候我们共享文件夹，共享打印机，以及远程连接都需要用到Server服务。这些功能都是依赖于Server服务的，一旦Server关闭，这些功能将都无法使用。
    
Server服务的作用大，其危害也大。在以前的文章中我们曾介绍过系统的默认共享，即使我们将之关闭，而系统重启后还是会将默认共享打开，这正是因为Server在起作用。而很多用户的计算机都存在弱口令漏洞，通常没有设置管理员帐户密码就直接上网，黑客可以通过你的计算机弱口令，利用Server服务开启的IPC$共享管道进行连接，上传并运行木马程序，其结果就是你的计算机沦为黑客的肉鸡。因此如果你的计算机不在局域网中，或者在局域网中而不需要共享服务，那么可以将Server服务关闭。

危险服务五：Terminal Services
    
危险等级：★★★
    
服务介绍：允许多位用户连接并控制一台机器，并且在远程计算机上显示桌面和应用程序。这是远程桌面(包括管理员的远程桌面)、快速用户转换、远程协助和终端服务器的基础结构。
    
Terminal Services的作用就是让多个用户连接计算机，并且拥有不同的会话环境。在Winxp中，远程桌面和远程协助都需要Terminal Services服务的支持，在Win2000中，终端服务也是依赖于Terminal Services服务的。Terminal Services服务对不同类型的用户都有一定帮助，例如菜鸟用户可以通过远程协助功能邀请老鸟帮助。办公一族可以通过远程桌面在家完成公司未完成的工作。而网络管理员则可以通过终端服务维护计算机，不必为设置不同的计算机而东奔西跑。
    
“输入法漏洞”是Windows系统最早的重大漏洞之一，这些存在“输入法漏洞”的计算机清一色都开启了终端服务，黑客通过输入法漏洞可以轻松绕过终端服务的帐户检测，直接进入系统获取目标计算机的最高权限。因此正是终端服务造就了“输入法漏洞”，造成了当时数百万台计算机被入侵。还有一种情况是，当你的计算机存在弱口令，并开启了远程桌面功能，那么黑客可以通过远程桌面登录你的计算机，就像操作本地计算机一样操作你的计算机。
图4.连接到远程桌面     dtc39