引言：網(wǎng)絡環(huán)境中，電腦和外界進行通訊依靠的是本機開放的網(wǎng)絡端口。現(xiàn)在的病毒、木馬、黑客軟件之所以能夠在網(wǎng)絡中興風作浪，就是利用特定的網(wǎng)絡端口進行非法活動的。利用Windows XP的TCP/IP篩選策略，可以輕松關閉各種危險端口，從而有效地切斷黑客入侵、病毒傳播的途徑。使用TCP/IP篩選器的最大優(yōu)點是可以有針對性的開放端口，這樣不需要的端口就自動封閉。

在網(wǎng)絡環(huán)境中，電腦和外界進行通訊依靠的是本機開放的網(wǎng)絡端口?，F(xiàn)在的病毒、木馬、黑客軟件之所以能夠在網(wǎng)絡中興風作浪，就是利用特定的網(wǎng)絡端口進行非法活動的。利用Windows XP的TCP/IP篩選策略，可以輕松關閉各種危險端口，從而有效地切斷黑客入侵、病毒傳播的途徑。使用TCP/IP篩選器的最大優(yōu)點是可以有針對性的開放端口，這樣不需要的端口就自動封閉。

設置TCP/IP篩選策略

打開本地連接的屬性窗口，在“常規(guī)”面板中雙擊“Internet協(xié) 議（TCP/IP）”項，在彈出的窗口中點擊“高級”按鈕，接著打開“選項”面板，在其中雙擊“TCP/IP篩選”項，在“TCP/IP篩選”窗口中勾選“啟用TCP/IP篩選”項，本例中根據(jù)需要在“TCP端口”、“UDP端口”和“IP協(xié)議”欄中勾選“只允許”項，點擊“添加”按鈕，依次輸入允許開放的端口即可，點擊確定按鈕保存設置，然后重新啟動系統(tǒng)即可。

黑客如何破解TCP/IP篩選策略

使用了TCP/IP篩選策略封閉危險端口后，就可以高枕無憂了么？實際情況未必如此。TCP/IP篩選策略的配置信息實際上保存在注冊表中，只要對注冊表對應的項目進行簡單的修改，就可以輕松解除TCP/IP篩選策略的封鎖。

假設在TCP/IP篩選策略只開啟了“3389”端口。在“開 始”→“運行”中執(zhí)行“Regedit.exe”程序，在注冊表編輯器中展開“HKEY_LOCAL _MACHIN ESYSTEMControlSet001ServicesTcpipParameters”分支，在右側窗口中雙擊“EnableSecurityFilters” 鍵值名，在打開的對話框中可以看到其數(shù)值為“1”，表示已經(jīng)啟用TCP/IP篩選策略，如果將其值設為“0”，即可關閉TCP/IP篩選策略。例如，當黑客通過各種漏洞或者非法提權操作獲得CMDshell控制環(huán)境后，可以使用系統(tǒng)自帶的“reg.exe”程序，對上述注冊表路徑進行改寫，來突破TCP/IP篩選策略。

圖1 查看保存在注冊表中允許開放端口列表

圖2 GSS規(guī)則配置界面

此外，展開“HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesTcpipPara metersInterfaces{E18633C4-C26E-4A34-8CA6-B7B5BE452C8D}”分 支，注意其中的CSID項根據(jù)不同的電腦而定，在右側窗口 的“TCPAllowedPorts”、“UDPAllowedPorts” 和“RawIPAllowed Protocols”鍵值名中分別保存著允許開放的TCP、UDP和IP端口列表，如圖1所示。知道了TCP/IP篩選策略的保存機理，入侵者就完全可以設計出一個針對TCP/IP篩選策略的木馬程序，首先將“HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesTcpipParameters”路徑單獨導出，然后將上述注冊表路徑中的“EnableSecurityFilters”鍵值名的值設置為“0”，即可禁止TCP/IP篩選策略，同時將遍歷上述注冊表分支中的“Interfaces”下的所有子健，將其中的“TCPAllowedPorts”、“UDPAllowedPorts” 和“RawIPAllowed Protocols”鍵值名清空，即可開放所有端口。這樣，當黑客完成入侵動作后，再將先前保存的注冊表路徑導入（例如使用“regeditsc: cpip.reg”，假設tcpip.reg為導出的文件），即可悄無聲息地突破擊破TCP/IP篩選策略的封鎖了。

徹底保護TCP/IP篩選策略

從上面的分析可以看出，啟用了TCP/IP篩選策略后，不要以為系統(tǒng)就此徹底安全了。要想保護TCP/IP篩選策略配置信息，必須從保護注冊表中的相關配置項目入手。我們前面談到，黑客會利用系統(tǒng)自帶的“reg.exe”程序，來對目標注冊表數(shù)據(jù)進行修改。那么最好的方法就是將“C:WindowsSystem32”文件夾中的“reg.exe”徹底行刪除，實際上我們平時也很少使用到該程序，將其刪除對日常操作幾乎沒有影響。當然，還可以利用權限配置功能，來限制其他用戶對上述敏感鍵值的讀寫操作。例如，運行“regedt32.exe”程序，在注冊表編輯器中選擇“HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesTcpipParameters”分支，在其右鍵菜單中點擊“權限”項，在權限設置窗口中禁用所有賬戶（包括Administrators組 等），對該分支的完全控制和讀取權限，這樣黑客就無法使用“Reg.exe”程序，來隨意讀寫其中的數(shù)據(jù)了。

當然，還可以使用各種注冊表監(jiān)控軟件，來密切監(jiān)視和TCP/IP篩選策略關聯(lián)的注冊表數(shù)據(jù)變化，來及時獲得報警信息。這樣的軟件有很多，這里就以Ghost Security Suite（以下簡稱GSS）這款強悍的注冊表保護工具為例，來保護指定的注冊表路徑。在GSS主窗口頂部點擊“注冊表保護”按鈕，在規(guī)則配置窗口（如圖2所示）左側列表選中合適的類別，在右側的“組名稱”欄中輸入新的組名，在“組描述”欄輸入描述信息，點擊“添加組”按鈕建立新組。隨后在左側列表選中新建組名，點擊規(guī)則列表中的“添加規(guī)則”按鈕，在新建規(guī)則窗口中的“步驟1-注冊鍵”欄中選擇上述注冊表路徑，在“步驟2-注冊值”欄中選擇該主鍵下的具體鍵值。注意，主鍵和鍵值的設定都支持“*”，“?”，“~”三種通配符，這將極大提高防御的靈活性。*代表任意字符串, ?代表單個字符,~代表只匹配當前一層注冊表項,遇到“”則中止。~經(jīng)常與*搭配使用。例 如：HKEY_LOCAL _MACHINESoftware*~與HKEY_LOCAL_MACHINESoftwareGhost Security匹配，與HKEY_LOCAL_MACHINESoftwareGhost SecurityRegDefend則不匹配。最后點擊“添加規(guī)則”按鈕保存設置。

之后在配置窗口的中選則該新建規(guī)則，在下面的“1.在這些事件”欄中可以組合選擇讀取鍵、創(chuàng)建鍵、修改鍵、讀取鍵、設置鍵、刪除值等保護項。在“2.執(zhí)行這些操作”欄中設定當滿足此條規(guī)則時，執(zhí)行的動作類型，包括攔截，記錄到磁盤、詢問用戶等。例如，在本規(guī)則可以選擇攔截動作，這樣當有程序試圖修改對應的注冊表鍵值時，GSS即可對其進行攔截。