全面關注Windows系統(tǒng)服務中的安全隱患

一、Application Layer Gateway Service（應用層網(wǎng)關服務）
     該服務提供因特網(wǎng)聯(lián)機共享和因特網(wǎng)聯(lián)機防火墻的第三方通訊協(xié)議插件的支持。但是會招致惡意攻擊。病毒感染XP系統(tǒng)的應用層網(wǎng)關服務（Application Layer Gateway Service）導致XP系統(tǒng)用戶打不開網(wǎng)頁。在病毒感染之后，該服務會在每次系統(tǒng)啟動時自動啟動，并在后臺產(chǎn)生一個alg.exe的進程，因此建議禁用該服務。
     二、WebClient（網(wǎng)絡客戶端）
     該服務是用來啟用Windows為主的程序來建立、存取，以及修改基于Internet的文件默認啟動類型為自動。使用WebDav可將檔案或數(shù)據(jù)夾上傳到某個Web服務，這個服務對于未來.NET意義更大。但是很容易招致黑客的惡意攻擊，建議設為禁用。
     三、Distributed Transaction Coordinator（分布式交易協(xié)調(diào)器）
     默認啟動類型為手動。主要用來處理分布式交易。同一數(shù)據(jù)庫內(nèi)不同數(shù)據(jù)表間的交易，則不能稱作分布式交易。顯然對于需要同時處理多個數(shù)據(jù)庫或文件系統(tǒng)的用戶來說，這個服務意義重大，其實這個服務也容易受到黑客的遠程拒絕服務攻擊。因此建議設為禁用。
     四、Messenger
     信使服務發(fā)送和接收系統(tǒng)管理員或“警報器”服務消息的服務。默認啟動類型為自動。如果是在同一域中，只需要用NET SEND命令就可以輕易發(fā)送消息了。但是"信使服務"不僅會干擾工作，影響心情，而且還容易遭到"社會工程"攻擊，很多垃圾郵件發(fā)送者都利用這一功能向計算機用戶發(fā)送垃圾信息。建議設為禁用。
     五、Remote Registry Service
     該服務允許遠程用戶通過簡單的連接就能修改本地計算機上的注冊表設置。知道管理員賬號和密碼的人遠程訪問注冊表是很容易的。打開注冊表編輯器，選擇“文件”菜單中的“連接網(wǎng)絡注冊表”選項，在“選擇計算機”對話框里的“輸入要選擇的對象名稱”下的輸入框中輸入對方的IP地址，點擊“確定”按鈕便會出現(xiàn)一個“輸入網(wǎng)絡密碼”對話框，輸入管理員賬號和密碼，點擊“確定”按鈕后就可對目標機器的注冊表進行修改了。現(xiàn)在，不少木馬后門程序可以通過此服務來修改目標機器的注冊表，強烈建議大家禁用該項服務。
     六、ClipBook
     這個服務允許任何已連接的網(wǎng)絡中的其他用戶查看本機的剪貼板。負責管理這項服務的是網(wǎng)絡DDE代理（Network DDE Agent），實際上網(wǎng)絡DDE代理會使機器非常容易遭受惡意攻擊而失去本機的管理員控制權。因此如果無需ClipBook共享這個特殊服務，不妨禁用。
     七、Computer Browser
     該服務可以將當前機器所使用網(wǎng)絡上的計算機列表提供給那些請求得到該列表的程序(很有可能是惡意程序)，很多黑客可以通過這個列表得知當前網(wǎng)絡中所有在線計算機的標志并展開進一步的攻擊。建議一般用戶禁用該服務。
     八、Indexing Service
     Indexing Service是一個搜索引擎。這個索引服務應該算是多數(shù)IIS Web服務器上諸多安全弱點的根源。同時，它也是很多蠕蟲病毒爆發(fā)的罪魁禍首，例如曾流行一時的紅色代碼就是利用IIS的緩沖區(qū)溢出漏洞和索引服務來進行傳播的，而的藍色代碼和尼姆達則是分別利用IIS服務的IFRAMEExecCommand、Unicode漏洞來進行傳播。因此，如果你不需要架設Web服務器，請一定要關閉該項服務。
     九、DNS Client
     該服務是用于查詢DNS緩存記錄的?？捎糜趯δ硞€已入侵的系統(tǒng)進行DNS查詢，可加速DNS查詢的速度。攻擊者在取得用戶的Shell后，可以通過ipconfig/displaydns命令查看用戶的緩存內(nèi)容，獲知你所訪問過的網(wǎng)站。從而使用戶的信息外泄。
     十、Server　
     該服務提供RPC支持以及文件、打印和命名管道共享。Server服務是作為文件系統(tǒng)驅(qū)動器來實現(xiàn)的，可以處理I/O請求。如果用戶沒有提供適當?shù)谋Ｗo，會暴露系統(tǒng)文件和打印機資源。對于Windows 2000系統(tǒng)而言，這是一個高風險服務。Windows 2000中默認共享的存在就是該服務的問題。如果不禁用該服務，每次注銷系統(tǒng)或開機后，默認共享就會打開，你的所有重要信息都將暴露出來。同時，由于很多Windows 2000使用者為了使用方便把管理員密碼設置為空密碼或非常簡單的密碼組合，這給了黑客可乘之機。
     十一、Workstation
     該服務以一個文件系統(tǒng)驅(qū)動器的形式工作，并且可以允許用戶訪問位于Windows網(wǎng)絡上的資源。該服務應當只在位于某個內(nèi)部網(wǎng)絡中并受到某個防火墻保護的工作站和服務器上運行。在任何可以連接到Internet的服務器上都應該禁用這個服務，避免信息外露。特別是一些獨立服務器(例如Web服務器)是不應當加入到某個Windows網(wǎng)絡中的。
     十二、TCP/IP NetBIOS Helper Service
     在Windows構建的網(wǎng)絡中，每一臺主機的標志信息是它的NetBIOS名。系統(tǒng)可以利用WINS服務、廣播及Lmhost文件等多種模式將NetBIOS名解析為相應IP地址，從而實現(xiàn)信息通訊。在這樣的網(wǎng)絡內(nèi)部，利用NetBIOS名實現(xiàn)信息通訊是非常方便、快捷的。但是在Internet上，它就和一個后門程序差不多了。它很有可能暴露出當前系統(tǒng)中的NetBIOS安全性弱點，例如大家所熟悉的139端口入侵就是利用了此服務。由于NetBIOS是基于局域網(wǎng)的，因此，只需要訪問Internet資源的一般用戶可以禁用它，除非你的系統(tǒng)處于局域網(wǎng)中。
     十三、Terminal Services
     該服務提供多會話環(huán)境，允許客戶端設備訪問虛擬的系統(tǒng)桌面會話以及運行在服務器上的基于Windows的程序并打開默認為3389的對外端口，允許外來IP的連接(的3389攻擊所依靠的服務就是它)。對于這個非常危險的服務，只有“禁用”。配置服務的方法:進入“服務”窗口，右鍵點擊要配置的服務，然后點擊“屬性”?？筛鶕?jù)需要在“常規(guī)”選項卡中，點擊“自動”、“手動”或“已禁用”。