安全问题及端口关闭方法.ppt

1、常见安全问题和解决方案，2014.05，密码安全，帐户安全，Windows服务，Windows公共端口，Windows补丁更新，特洛伊木马病毒防护，Oracle常见问题，SQL Server常见问题，主要内容，密码必须满足复杂性要求，最小密码长度，最大密码生存期，最小密码生存期，强制密码历史，密码安全，示例说明，禁用GUEST帐户，禁用或删除一些不必要的帐户，更改管理员帐户名称，设置帐户锁定策略，设置屏幕保护时间，设置用户权限，帐户安全，Windows集成了许多功能和服务，因此它可以应用于许多领域然而，有许多服务是普通用户无法使用的。开放只会浪费内存和资源，成为黑客和病毒的目标，影响启动速度和

2、运行速度。关闭大部分无用服务后，系统的资源占用率大大降低，系统自然会运行得更顺畅。关闭服务:我的电脑-控制面板-管理工具-服务。设置时，右键单击服务，您可以选择“自动”、“手动”或“禁止”。“自动”表示从windows启动，“手动”表示在必要时重新启动，“禁止”表示在任何情况下都不启动。窗口服务，警报器错误警报。(手动，大多数计算机根本不需要发送或接收来自计算机系统管理的警报。)应用层网关服务提供第三方网络共享/防火墙支持的服务，一些防火墙/网络共享软件需要它。(例如，瑞星防火墙的版本，等等。)，可以设置为手动。应用程序管理用于配置、发布和删除软件服务。(不要改变它)自动更新会自动修补！(建议

3、使用手册。手动升级窗口，点击“开始”-窗口更新，或使用360弥补漏洞。)打补丁时需要传输后台智能传输服务。(建议手动操作。如果在打补丁时遇到网页警告，请启动此服务。)DNS ClientDNS解析服务。(互联网连接防火墙(ICF) windows防火墙，如果DNS服务器不推荐的话)。(如果安装了硬件防火墙，建议将其关闭。)IPSEC服务是一种加密协议服务。(自动推荐)逻辑磁盘管理器磁盘管理服务。(自动或手动)逻辑磁盘管理器管理服务磁盘管理服务。(自动或手动)messenger用于在网络上发布消息(建议关闭它)。它是微软软件卷影复制提供商系统的备份工具服务。(自动或手动)网络登录用于登录到域控制

4、器。(自动或手动)Netmeeting远程桌面共享通过Netmeeting实现计算机共享。(建议关闭)访问互联网/局域网需要什么网络连接！(自动或手动)，无论服务器是安装了Windows 2000服务器还是Windows Server 2003，默认情况下，它们都将打开端口135、137、138、139和445。这些港口可以说是一把“双刃剑”，既可以提供便利，也可以被他人非法利用。因此，我们有必要熟悉这些港口的功能。在许多系统管理员的眼里，135端口是最难以捉摸的端口，因为他们中的大多数人都不能清楚地理解135端口的真正功能，并且他们不知道这个端口会有什么潜在的危险。直到一个名为“IEen”的

5、专业远程控制工具出现，人们才知道135端口会有什么潜在的安全威胁。IEen工具可以通过端口135轻松连接到互联网上的其他工作站，并远程控制该工作站的IEe浏览器。例如，在浏览器中执行的任何操作，包括浏览页面内容、输入帐户密码、输入搜索关键字等。将由IEen工具监控。即使在网上银行输入的各种密码信息也可以通过IEen工具清楚地获得。前提是要知道受控计算机的IP地址、系统登录名和密码。只要这些信息被严格保密，你的电脑就不太可能受到IEen工具的攻击。，135端口，在启动运行期间输入dcomcnfg.exe，如何关闭135端口，137端口的主要功能是在局域网中提供计算机名称或IP地址查询服务，并且这

6、个端口将在NetBIOS协议安装后自动打开。如果入侵者知道目标主机的IP地址，并向该地址的端口137发送连接请求，则有可能获得目标主机的相关名称信息。例如，目标主机的计算机名、注册目标主机的用户信息以及目标主机的启动和关闭时间。此外，非法入侵者还可以知道目标主机是用作文件服务器还是主域控制器。137端口、137端口和138端口都属于UDP端口，它们在局域网内相互传输文件信息时将发挥作用。端口138的主要功能是在NetBIOS环境下提供计算机名称浏览功能。如果非法入侵者与目标主机的端口138建立连接请求，他可以容易地获得目标主机的局域网名称和目标主机的计算机名称。有了计算机名，就可以很容易地获得

7、它对应的IP地址。这可能会给黑客进一步攻击系统带来便利。138个端口。考虑到基于TCP/IP协议的NetBIOS服务几乎都是通过端口137和138实现的，只要停止基于TCP/IP协议的NetBIOS服务，就可以间接关闭端口137和138。右键单击桌面上的“网络邻居”图标，从弹出的快捷菜单中，执行“属性”命令，打开“互联网协议”参数设置窗口。关闭端口137和138，端口139是一个TCP端口，当通过网络邻居访问局域网中的共享文件或共享打印机时，它将发挥作用。一旦端口139被攻击者使用，它就可能成为非常有害的安全漏洞。因为如果黑客与目标主机的端口139建立了连接，就很有可能浏览指定网段中所有工作站

8、的所有共享信息，甚至编辑和删除目标主机中的共享文件夹。如果攻击者还知道目标主机的IP地址和登录帐户，他可以轻松查看目标主机中隐藏的共享信息。139端口、关闭的139端口、445端口也是一个TCP端口，它在Windows 2000服务器或Windows Server 2003系统中起到与139端口相同的作用。具体来说，它还在局域网中提供文件或打印机共享服务。然而，该端口基于CIFS协议(通用互联网文件系统协议)工作，而端口139提供基于中小企业协议(服务器协议家族)的共享服务。同样，当攻击者与端口445建立请求的连接时，他也可以在指定的局域网中获得各种共享信息。端口445，关闭端口445，找到以

9、下路径:HKEY _ local _ machinetsystemcurrentcontrolservicesbtpparameters，创建SMBDeviceEnabled，并将其设置为0。有许多方法可以安装windows操作系统修补程序，例如Microsoft Windows Update在线更新修补程序和软件更新。窗口补丁更新，计算机病毒的特征a)非法性b)隐蔽性c)延迟d)可触发性e)可表达性f)破坏性g)传染性h)相关性I)可变性j)计算机病毒传播的不可预测性a)可移动存储介质b)硬盘c)光盘d)网络d)计算机病毒对点对点通信系统和无线信道中的计算机应用程序的影响破坏数据，占用磁盘存

10、储空间，占用系统资源，影响计算机运行速度，计算机病毒错误和不可预见的危险之间的兼容性影响系统运行，特洛伊病毒预防，病毒预防1。树立正确的防病毒意识:这是防病毒的前提和基础。2.加强对计算机应用的管理:增强对计算机病毒的认识，加强实施，为病毒在各种病毒传播中设置障碍。3.运用有效的技术手段:利用成熟的反病毒软件产品和病毒防火墙，可以及时发现并阻止大多数计算机病毒的传播。病毒清除由于病毒的破坏力越来越强，几乎所有的软件和硬件故障都可能与病毒有关。因此，当你发现你的电脑出现异常情况时，你应该首先想到它可能是一种病毒。使用反病毒软件彻底检查计算机是必要的。常用的杀毒软件包括NOD32、卡巴斯基、KV杀

11、毒软件、瑞星、360杀毒软件等。Oracle是最流行的关系数据库管理系统，拥有最大的市场份额，广泛应用于金融、电信、民航、商业等领域；甲骨文可以在视窗、Linux、AIX、Solaris、惠普-UX和其他不同的操作系统上运行。就数据存储和数据查询而言，Oracle是目前最好的数据库系统，可以满足任何开发人员的需求；甲骨文提供的功能太丰富了，每个功能都提供了一个广阔的攻击面，每个方法都是潜在的攻击载体，甲骨文安全常见问题，通用服务tnslnsr、agntsvc、dbsnmp、emagent、ocssd、apache常用端口199，1520-1530，1748，1754，1808-1810，183

12、0，1831，1850，2030，2100，2481，2482，3025，3026，4096，6003，扫描Oracle服务器，一旦找到Oracle数据库服务器，第一个要连接的端口是TNS监听器；在连接之前，您需要知道Oracle的版本、操作系统和数据库服务信息；第一步:进入并执行物流配送中心；在命令行中；第二步:设置连接的目标服务器(Oracle) lsnrctl设置current _ listener 3第三步:检查版本命令，根据版本初步判断易受攻击的弱点或漏洞，有些Oracle不会更新版本号；LSNRCTL版本，TNS侦听器，第4步:检查服务命令并查询运行在Orac

13、le上的数据库服务实例的名称；LSNRCTL服务步骤5:状态命令LSNRCTL状态可以通过状态命令获得大量信息:1)、Oracle版本2)、操作系统3)、是否禁用跟踪功能4)、是否启用安全机制(是否设置监听器密码)5)、日志文件路径6)、监听端点7)、数据库实例名称。连接任何数据库有五个要求:1。IP地址2。监听端口3。实例名4。账号5。密码连接字符串:帐号/密码IP地址:端口:实例用户名/密码IP :端口:实例系统/管理器192 . 168 . 1 . 233:15213360 orasys/change _ on _ install 192 . 168 . 1 . 233601521336

14、0 orcl，连接到oracle数据库，由于oracle的普遍性，许多应用系统都是基于Oracle开发的，并且内置Oracle默认帐户密码，应用系统的通用帐户密码:portal 30/portal 30/portal 31 QA/qaqp/qpqs/QS _ ADM/QS _ admqs _ CB/QS _ cbqs _ cbadm/QS _ cbadmqs _ cs/QS _ csreports/reportssample/SampleSap/06071992 Sapp/sa3p R3/Sapp，默认情况下，TNS监听器没有密码(Oracle 7/8/9)。任何可以连接到系统的人都可以管理它

15、，设置TNS监听器密码可以防止对监听器的未经授权的管理。方法:1 .编辑文件litener.ora并添加以下行:PASSWORD_listenername=xxxxxXxx停止并重新启动监听器。2.加密侦听器密码并运行lsnrctl，lsnrctl set current _ listener 192 . 168 . 1 . 23 lsnrctl change _ password lsnrctl set password lsnrctl save _ config。甲骨文安全建议1。设置TNS监听程序密码，并通过打开管理限制来防止对林特纳的未经授权的管理。随着管理限制的开放，有些命令无法远程调用。即使你有监听器密码，你也不能这样做：在监听器中添加一行。2.打开admin _ restrictions。TCP有效节点检查可用于允许某些主机连接到数据库服务器，并阻止其他服务器连接。方法：编辑协议。oratcp。validnode _ checking=yestcp。排除的节点=IP地址列表，用逗号或TCP分隔。INVITED_NODE=IP地址列表，用逗号分隔；3.启用TCP有效节点检查，XDB(XML DataBase)提供两种服务。一个是FTP服务，监听端口2100；另一个是监听端