引言:網(wǎng)絡環(huán)境中,電腦和外界進行通訊依靠的是本機開放的網(wǎng)絡端口。現(xiàn)在的病毒、木馬、黑客軟件之所以能夠在網(wǎng)絡中興風作浪,就是利用特定的網(wǎng)絡端口進行非法活動的。利用Windows XP的TCP/IP篩選策略,可以輕松關閉各種危險端口,從而有效地切斷黑客入侵、病毒傳播的途徑。使用TCP/IP篩選器的最大優(yōu)點是可以有針對性的開放端口,這樣不需要的端口就自動封閉。
在網(wǎng)絡環(huán)境中,電腦和外界進行通訊依靠的是本機開放的網(wǎng)絡端口?,F(xiàn)在的病毒、木馬、黑客軟件之所以能夠在網(wǎng)絡中興風作浪,就是利用特定的網(wǎng)絡端口進行非法活動的。利用Windows XP的TCP/IP篩選策略,可以輕松關閉各種危險端口,從而有效地切斷黑客入侵、病毒傳播的途徑。使用TCP/IP篩選器的最大優(yōu)點是可以有針對性的開放端口,這樣不需要的端口就自動封閉。
打開本地連接的屬性窗口,在“常規(guī)”面板中雙擊“Internet協(xié) 議(TCP/IP)”項,在彈出的窗口中點擊“高級”按鈕,接著打開“選項”面板,在其中雙擊“TCP/IP篩選”項,在“TCP/IP篩選”窗口中勾選“啟用TCP/IP篩選”項,本例中根據(jù)需要在“TCP端口”、“UDP端口”和“IP協(xié)議”欄中勾選“只允許”項,點擊“添加”按鈕,依次輸入允許開放的端口即可,點擊確定按鈕保存設置,然后重新啟動系統(tǒng)即可。
使用了TCP/IP篩選策略封閉危險端口后,就可以高枕無憂了么?實際情況未必如此。TCP/IP篩選策略的配置信息實際上保存在注冊表中,只要對注冊表對應的項目進行簡單的修改,就可以輕松解除TCP/IP篩選策略的封鎖。
假設在TCP/IP篩選策略只開啟了“3389”端口。在“開 始”→“運行”中執(zhí)行“Regedit.exe”程序,在注冊表編輯器中展開“HKEY_LOCAL _MACHIN ESYSTEMControlSet001ServicesTcpipParameters”分支,在右側窗口中雙擊“EnableSecurityFilters” 鍵值名,在打開的對話框中可以看到其數(shù)值為“1”,表示已經(jīng)啟用TCP/IP篩選策略,如果將其值設為“0”,即可關閉TCP/IP篩選策略。例如,當黑客通過各種漏洞或者非法提權操作獲得CMDshell控制環(huán)境后,可以使用系統(tǒng)自帶的“reg.exe”程序,對上述注冊表路徑進行改寫,來突破TCP/IP篩選策略。
圖1 查看保存在注冊表中允許開放端口列表
圖2 GSS規(guī)則配置界面
此外,展開“HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesTcpipPara metersInterfaces{E18633C4-C26E-4A34-8CA6-B7B5BE452C8D}”分 支,注意其中的CSID項根據(jù)不同的電腦而定,在右側窗口 的“TCPAllowedPorts”、“UDPAllowedPorts” 和“RawIPAllowed Protocols”鍵值名中分別保存著允許開放的TCP、UDP和IP端口列表,如圖1所示。知道了TCP/IP篩選策略的保存機理,入侵者就完全可以設計出一個針對TCP/IP篩選策略的木馬程序,首先將“HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesTcpipParameters”路徑單獨導出,然后將上述注冊表路徑中的“EnableSecurityFilters”鍵值名的值設置為“0”,即可禁止TCP/IP篩選策略,同時將遍歷上述注冊表分支中的“Interfaces”下的所有子健,將其中的“TCPAllowedPorts”、“UDPAllowedPorts” 和“RawIPAllowed Protocols”鍵值名清空,即可開放所有端口。這樣,當黑客完成入侵動作后,再將先前保存的注冊表路徑導入(例如使用“regeditsc: cpip.reg”,假設tcpip.reg為導出的文件),即可悄無聲息地突破擊破TCP/IP篩選策略的封鎖了。
從上面的分析可以看出,啟用了TCP/IP篩選策略后,不要以為系統(tǒng)就此徹底安全了。要想保護TCP/IP篩選策略配置信息,必須從保護注冊表中的相關配置項目入手。我們前面談到,黑客會利用系統(tǒng)自帶的“reg.exe”程序,來對目標注冊表數(shù)據(jù)進行修改。那么最好的方法就是將“C:WindowsSystem32”文件夾中的“reg.exe”徹底行刪除,實際上我們平時也很少使用到該程序,將其刪除對日常操作幾乎沒有影響。當然,還可以利用權限配置功能,來限制其他用戶對上述敏感鍵值的讀寫操作。例如,運行“regedt32.exe”程序,在注冊表編輯器中選擇“HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesTcpipParameters”分支,在其右鍵菜單中點擊“權限”項,在權限設置窗口中禁用所有賬戶(包括Administrators組 等),對該分支的完全控制和讀取權限,這樣黑客就無法使用“Reg.exe”程序,來隨意讀寫其中的數(shù)據(jù)了。
當然,還可以使用各種注冊表監(jiān)控軟件,來密切監(jiān)視和TCP/IP篩選策略關聯(lián)的注冊表數(shù)據(jù)變化,來及時獲得報警信息。這樣的軟件有很多,這里就以Ghost Security Suite(以下簡稱GSS)這款強悍的注冊表保護工具為例,來保護指定的注冊表路徑。在GSS主窗口頂部點擊“注冊表保護”按鈕,在規(guī)則配置窗口(如圖2所示)左側列表選中合適的類別,在右側的“組名稱”欄中輸入新的組名,在“組描述”欄輸入描述信息,點擊“添加組”按鈕建立新組。隨后在左側列表選中新建組名,點擊規(guī)則列表中的“添加規(guī)則”按鈕,在新建規(guī)則窗口中的“步驟1-注冊鍵”欄中選擇上述注冊表路徑,在“步驟2-注冊值”欄中選擇該主鍵下的具體鍵值。注意,主鍵和鍵值的設定都支持“*”,“?”,“~”三種通配符,這將極大提高防御的靈活性。*代表任意字符串, ?代表單個字符,~代表只匹配當前一層注冊表項,遇到“”則中止。~經(jīng)常與*搭配使用。例 如:HKEY_LOCAL _MACHINESoftware*~與HKEY_LOCAL_MACHINESoftwareGhost Security匹配,與HKEY_LOCAL_MACHINESoftwareGhost SecurityRegDefend則不匹配。最后點擊“添加規(guī)則”按鈕保存設置。
之后在配置窗口的中選則該新建規(guī)則,在下面的“1.在這些事件”欄中可以組合選擇讀取鍵、創(chuàng)建鍵、修改鍵、讀取鍵、設置鍵、刪除值等保護項。在“2.執(zhí)行這些操作”欄中設定當滿足此條規(guī)則時,執(zhí)行的動作類型,包括攔截,記錄到磁盤、詢問用戶等。例如,在本規(guī)則可以選擇攔截動作,這樣當有程序試圖修改對應的注冊表鍵值時,GSS即可對其進行攔截。