從頭打造電腦的安全性

一、要命的連接埠  

　　電腦要與外界進行通訊，必須通過一些連接埠。別人要想入侵和控制我們的電腦，也要從某些連接埠串連進來。某日筆者查看了一位朋友的系統，吃驚地發現開放了139、445、3389、4899等重要連接埠，要知道這些連接埠都可以為駭客入侵提供便利，尤其是4899，可能是入侵者安裝的後門工具Radmin開啟的，他可以通過這個連接埠取得系統的完全控制權。  

　　在Windows 98下，通過“開始”選取“運行”，然後輸入“command”(Windows 2000/XP/2003下在“運行”中輸入“cmd”)，進入命令提示視窗，然後輸入netstat/an，就可以看到本機連接埠開放和網路連接情況。  

　　那怎麼關閉這些連接埠呢?因為電腦的每個連接埠都對應著某個服務或者應用程式，因此只要我們停止該服務或者卸載該程式，這些連接埠就自動關閉了。例如可以在“我的電腦 →控制台→電腦管理→服務”中停止Radmin服務，就可以關閉4899連接埠了。  

　　如果暫時沒有找到開啟某連接埠的服務或者停止該項服務可能會影響電腦的正常使用，我們也可以利用防火牆來屏蔽連接埠。以天網個人防火牆關閉4899連接埠為例。開啟天網“自訂IP規則”介面，點擊“增加規則”添加一條新的規則，在“資料包方向”中選擇“接受”，在“對方IP地址”中選擇“任何地址”，在TCP選項卡的本地連接埠中填寫從4899到0，對方連接埠填寫從0到0，在“當滿足上麵條件時”中選擇“攔截”，這樣就可以關閉4899連接埠了。其他的連接埠關閉方法可以此類推。  

　　二、敵人的“進程”  

　　在Windows 2000下，可以通過同步選取“Ctrl+Alt+Del”鍵調出工作管理員來查看和關閉進程;但在Windows98下按“Ctrl+Alt+del”鍵只能看到部分應用程式，有些服務級的進程卻被隱藏因而無法看到了，不過通過系統內建的工具msinfo32還是可以看到的。在“開始→運行”裡輸入msinfo32，開啟“Microsoft系統資訊”介面，在“軟體環境”的“正在運行任務”下可以看到原生進程。但是在Windows98下要想終止進程，還是得通過第三方的工具。很多系統最佳化軟體都帶有查看和關閉進程的工具，如春光系統修改器等。  

　　但目前很多木馬進程都會偽裝系統進程，新手朋友很難分辨其真偽，所以這裡推薦一款強大的殺木馬工具──“木馬剋星”，它可以查殺8000多種國際木馬，1000多種密碼偷竊木馬，功能十分強大，實在是安全上網的必備工具!  

　　三、小心，遠端管理軟體有大麻煩  

　　現在很多人都喜歡在自己的機器上安裝遠端管理軟體，如Pcanywhere、Radmin、VNC或者Windows內建的遠端桌面，這確實方便了遠端管理維護和辦公，但同時遠端管理軟體也給我們帶來了很多安全隱患。例如Pcanywhere10.0版本及更早的版本存在著口令檔案*.CIF容易被解密(解碼而非爆破)的問題，一旦入侵者通過某種途徑得到了*.CIF檔案，他就可以用一款叫做Pcanywherepwd的工具破解出管理員帳號和密碼。  

　　而Radmin則主要是空口令問題，因為Radmin預設為空白口令，所以大多數人安裝了Radmin之後，都忽略了口令安全設定，因此，任何一個攻擊者都可以用Radmin用戶端串連上安裝了Radmin的機器，並做一切他想做的事情。  

　　Windows系統內建的遠端桌面也會給駭客入侵提供方便的大門，當然是在他通過一定的手段拿到了一個可以訪問的帳號之後。  

　　可以說幾乎每種遠端管理軟體都有它的問題，如本報43期G12版介紹的強大的遠端管理軟體DameWare NTUtilitie。它工具包中的DameWare Mini RemoteControl某些版本也存在著緩衝區溢位漏洞，駭客可以利用這個漏洞在系統上執行任意指令。所以，要安全地遠程使用它就要進行IP限制。這裡以Windows 2000遠端桌面為例，談談6129連接埠(DameWare Mini RemoteControl使用的連接埠)的IP限制:開啟天網“自訂IP規則”介面，點擊“增加規則”添加一條新的規則。在“資料包方向”中選擇“接受”，在“對方IP地址”中選擇“指定地址”，然後填寫你的IP地址，在TCP選項卡的本地連接埠中填寫從6129到0，對方連接埠填寫從0到0，在“當滿足上麵條件時”中選擇“通行”，這樣一來除了你指定的那個IP(這裡假定為192.168.1.70)之外，別人都串連不到你的電腦上了。

　　安裝最新版的遠端控制軟體也有利於提高安全性，比如最新版的Pcanywhere的密碼檔案採用了較強的加密方案。