一、常用端口及其分类

电脑在Internet上相互通信需要使用TCP/IP协议，根据TCP/IP协议规定，电脑有256×256(65536)个端口，这些端口可分为TCP端口和UDP端口两种。如果按照端口号划分，它们又可以分为以下两大类：

1.系统保留端口(从0到1023)

这些端口不允许你使用，它们都有确切的定义，对应着因特网上常见的一些服务，每一个打开的此类端口，都代表一个系统服务，例如80端口就代表Web服务。21对应着FTP，25对应着SMTP、110对应着POP3等。

2.动态端口(从1024到65535)

当你需要与别人通信时，Windows会从1024起，在本机上分配一个动态端口，如果1024端口未关闭，再需要端口时就会分配1025端口供你使用，依此类推。

但是有个别的系统服务会绑定在1024到49151的端口上，例如3389端口(远程终端服务)。从49152到65535这一段端口，通常没有捆绑系统服务，允许Windows动态分配给你使用。

二、如何查看本机开放了哪些端口

在默认状态下，Windows会打开很多“服务端口”，如果你想查看本机打开了哪些端口、有哪些电脑正在与本机连接，可以使用以下两种方法。

1.利用netstat命令

Windows提供了netstat命令，能够显示当前的 TCP/IP 网络连接情况，注意:只有安装了TCP/IP协议，才能使用netstat命令。

操作方法：单击“开始→程序→附件→命令提示符”，进入Dos窗口，输入命令 netstat -na 回车，于是就会显示本机连接情况及打开的端口。其中Local Address代表本机IP地址和打开的端口号，Foreign Address是远程计算机IP地址和端口号，State表明当前TCP的连接状态，LISTENING是监听状态，表明本机正在打开135端口监听，等 待远程电脑的连接。

如果你在DOS窗口中输入了netstat -nab命令，还将显示每个连接都是由哪些程序创建的。例如：本机在135端口监听，就是由svchost.exe程序创建的，该程序一共调用了5个组件 (WS2_32.dll、RPCRT4.dll、rpCSS.dll、svchost.exe、ADVAPI32.dll)来完成创建工作。如果你发现本 机打开了可疑的端口，就可以用该命令察看它调用了哪些组件，然后再检查各组件的创建时间和修改时间，如果发现异常，就可能是中了木马。

2.使用端口监视类软件

与netstat命令类似，端口监视类软件也能查看本机打开了哪些端口，这类软件非常多，著名的有TcpvIEw、Port Reporter、绿鹰PC万能精灵、网络端口查看器等，密切监视本机端口连接情况，这样就能严防非法连接，确保自己的网络安全。

三、关闭本机不用的端口

默认情况下Windows有很多端口是开放的，一旦你上网，黑客可以通过这些端口连上你的电脑，因此你应该封闭这些端口。主要有:TCP139、 445、593、1025 端口和 UDP123、137、138、445、1900端口、一些流行病毒的后门端口(如 TCP 2513、2745、3127、6129 端口)，以及远程服务访问端口3389。关闭的方法是：

①137、138、139、445端口:它们都是为共享而开放的，你应该禁止别人共享你的机器，所以要把这些端口全部关闭，方法是:单击“开始→控 制面板→系统→硬件→设备管理器”，单击“查看”菜单下的“显示隐藏的设备”，双击“非即插即用驱动程序”，找到并双击NetBios over Tcpip，在打开的“NetBios over Tcpip属性”窗口中，单击选中“常规”标签下的“不要使用这个设备(停用)”，单击“确定”按钮后重新启动后即可。

②关闭UDP123端口：单击“开始→设置→控制面板”，双击“管理工具→服务”，停止Windows Time服务即可。关闭UDP 123端口，可以防范某些蠕虫病毒。

③关闭UDP1900端口：在控制面板中双击“管理工具→服务”，停止SSDP Discovery Service 服务即可。关闭这个端口，可以防范DDos攻击。

④其他端口：你可以用网络防火墙来关闭，或者在“控制面板”中，双击“管理工具→本地安全策略”，选中“IP 安全策略，在本地计算机”，创建 IP 安全策略来关闭。

四、重定向本机默认端口，保护系统安全

如果本机的默认端口不能关闭，你应该将它“重定向”。把该端口重定向到另一个地址，这样即可隐藏公认的默认端口，降低受破坏机率，保护系统安全。

例如你的电脑上开放了远程终端服务(Terminal Server)端口(默认是3389)，可以将它重定向到另一个端口(例如1234)，方法是：

1.在本机上(服务器端)修改

定位到下列两个注册表项，将其中的 PortNumber，全部改成自定义的端口(例如1234)即可: [HKEY_LOCAL_MacHINE\SYSTEM\CurrentControlSet\Control\Terminal Server \Wds\rdpwd\Tds\tcp] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]

2.在客户端上修改

依次单击“开始→程序→附件→通讯→远程桌面连接”，打开“远程桌面连接”窗口，单击“选项”按钮扩展窗口，填写完相关参数后，单击“常规”下的 “另存为”按钮，将该连接参数导出为.rdp文件。用记事本打开该文件，在文件最后添加一行:server port:i:1234 (这里填写你服务器自定义的端口)。以后，直接双击这个.rdp 文件即可连接到服务器的这个自定义端口了。

Related Posts：

• 16/11/2009 -- 保护无线网络的安全 (1)
• 08/11/2009 -- 多元化无线局域网网络安全攻略 (0)
• 08/11/2009 -- 为windows 7操作系统减肥 (5)
• 25/10/2009 -- 让Windows7随时监控运行程序 (1)
• 22/10/2009 -- 解析新型僵尸网络攻击及如何防范 (0)

可见，共享 文件的功能，提高了企业办公的效率，使企业局域网应用中的一个不可缺的功能。但是，由于共享文件夹管理不当，往往也给企业带来了一些安全上的风险。如某些 共享文件莫名其妙的被删除或者修改;有些对于企业来说数据保密的内容在网络上被共享，所有员工都可以访问;共享文件成为病毒、木马等传播的最好载体，等 等。

所以，共享文件若管理不当，会造成比较严重的后果。下面，就谈谈如何管理好共享文件。

一、实时查看谁在 访问我的共享文件。

有时候，在Windows XP的电脑上，共享了一个文件。或许，出于某些原因，我们需要知道现在有谁在访问这个文件。如有时候，我们关电脑的时候，系统会提示有多少用户连接在这个 共享文件夹中。我们需要知道到底是哪些用户，这该如何实现呢?其实，这比较简单，我们可以利用操作系统的自带功能来实现。可以按如下步骤操作。

第 一步：依次打开控制面板、管理工具、计算机管理(本地)、系统工具，然后选择共享文件夹。在这个窗口中，有一个“会话”选项。双击打开这个选项，在右面的 窗口中，就会显示出哪些电脑在访问你的计算机。但是，在这个窗口中，还只能够看到有哪些电脑连接到你的电脑，还不知道到底他们在访问哪些共享文件。

第 二步：依次选择“系统工具”、共享文件夹、打开文件，此时，在窗口中就会显示本机上的一些共享资源，被哪些电脑在访问。同时，在这个窗口中还会显示一些有 用的信息，如其打开了哪一个共享文件;是什么时候开始访问的;已经闲置了多少时间。也就是所，只要其打开了某个共享文件夹，即使其没有打开共享文件，也会 在这里显示。　另外，我们有时候可能出于某些目的，如员工可能认为不能让这个人访问这个文件。此时，我们就可以直接右键点击这个会话，然后从快捷菜单中选 择关闭会话，我们就可以阻止这个用户访问这个共享文件，而不会影响其他用户的正常访问。

这个功能，有时候非常有用。如我们都知道，XP系统 访问连接有一个最高数的限制。有时候员工会反映，我怎么不能够反问你的共享文件了。我们一看，原来是连接数到了上限。此时，我们就可以通过这种方式查询现 在有多少用户连接在我的电脑上，然后我们就可以把一些人为不需要访问的用户断开，让需要访问的用户连接上去。

二、设置共享 文件夹时，最好把文件与文件夹设置为只读。

在大部分时候，用户都只需要查看或者复制这个共享文件即可，而往往不会在共享 文件夹上进行直接修改。但是，有些员工为了贪图方便，就直接以可读写的方式共享某个文件夹以及文件。这是非常危险的。

一方面，这些不受限制 的共享文件家与共享文件成为了病毒传播的载体。有些用户在共享文件的时候，没有权限限制。一段时间后，再去看这个共享文件，发现有些共享文件或者共享文件 夹中有病毒或者木马的踪影。原来由于这个共享文件夹有写的权限，所以，其他用户如何打开这个文件，恰巧这台电脑中有病毒或者木马的话，就会传染给这个共享 文件夹。从而让其他访问这个共享文件夹的电脑也中招。可见，没有保护措施的共享文件夹以及里面的共享文件，已经成为了病毒传播的一个很好的载体。

另 一方面，当数据非法更改时，很难发现是谁在恶作剧。虽然可以通过相关的日志信息可以查询到有哪些人访问过这个共享文件，以及是否进行了更改的动作。但是， 光凭这些信息的话，是不能够知道这个用户对这个共享文件夹作了哪些更改。有时候，我们打开一个共享文件，会不小心的按了一个空格键或者一个字符键，不小心 的把某个字覆盖了，等等。这些情况在实际工作中经常会遇到。有时候，即使找到了责任人，他也不知道到底修改了哪些内容。所以，当把共享文件设置为可写的 话，则很难防止员工有意或者无意的更改。

第三，若以可写的方式共享文件的话，可能无法保证数据的统一。如人事部门以可读写的方式共享了一个 考勤文件。此时，若财务部门修改了这个文件，而人事部门并不知道。因为财务人员可能忘记告诉了人事部门，此时，就会导致两个部门之间的数据不一致，从而可 能会造成一些不必要的麻烦。而且，由于没有相关的证据，到时候谁对谁错，大家都说不清楚。

为了解决这些问题，建议企业用户，在共享文件夹的 时候，最好把文件夹的权限设置为只读。若这个共享文件夹有时候其他用户需要往这个文件夹中存文件，不能设置为只读。那我们也可以把共享文件夹中的文件设置 为只读。如此的话，由于文件夹为只读的，则病毒、木马也就不能够感染这些文件夹，从而避免成为散播病毒的污染源;而且，也可以防止用户未经授权的更改，从 而导致数据的不统一等等。

三、建立文件共享服务器，统一管理共享文件的访问权限。

另外， 若把企业的共享文件分散在各个用户终端管理的话，有一个问题，就是用户对于共享操作的熟悉程度不同或者安全观念有差异，所以，很难从部署一个统一的文件共 享安全策略。如分散在用户主机的共享文件，员工一般不会定期对其进行备份，以防止因为意外损害而进行及时恢复;一般也不会设置具体的访问权限，如只允许一 些特定的员工访问等等。因为这些操作的话，一方面可能需要一些专业知识，另一方面，设置企业也比较繁琐。所以，即使我们出了相关的制度，但是，员工一般很 难遵守。

所以建议，在一些有条件的企业，部署一个文件共享服务器，来统一管理共享文件。采取这种策略的话，有如下好处。

一是 可以定时的对共享文件进行备份，从而减少因为意外修改或者删除而导致的损失。若能够把共享文件夹都放在文件服务器上，则我们就可以定时的对文件服务器上的 文件进行备份。如此的话，即使因为权限设置不合理，导致文件被意外修改或者删除;有时会，员工自己也会在不经意中删除不该删的文件，遇到这种情况的时候， 则我们可以通过文件恢复作业，把原有的文件恢复过来，从而减少这些不必要的损失。

二是可以统一制定文件访问权限策略。在共享文件服务器上， 我们可以根据各个员工的需求，在文件服务中预先设置一些文件夹，并设置好具体的权限。如此的话，放到共享文件服务器中的文件就自动继承了文件服务器文件夹 的访问权限，从而实现统一管理文件访问权限的目的。如对于一些全公司都可以访问的行政通知类文件，我们可以为此设立一个通知类文件夹，这个文件夹只有行政 人员具有读写权限，而其他职工都只有只读权限。如此的话，其他员工就不能够对这些通知进行更改或者删除。所以，对共享文件夹进行统一的管理，可以省去用户 每次设置权限的麻烦，从而提高共享文件的安全性。

三是可以统一进行防毒管理。对于共享文件来说，我们除了要关心其数据是否为泄露或者非法访 问外，另外一个问题就是共享文件是否会被病毒感染。病毒或者木马是危害企业网络安全的第一把杀手，而共享文件又是其很好的载体。若能够有效的解决共享文件 的病毒木马感染问题，必定可以有效的抑制病毒或者木马在企业网络中为非作歹。而我们若能够在企业中统一部署文件服务器，则我们就可以利用下班的空闲时间， 对文件服务器上的共享文件统一进行杀毒，以保证共享文件服务器上的文件都是干净的，没有被木马或者病毒所感染，从而避免其成为病毒或者木马的有效载体。

综 上所述，共享文件夹以及共享文件的安全性问题，是企业网络安全管理中的一个比较薄弱的环节，但是，又是一个十分重要的环节。做好这件工作，必定可以提高企 业网络的利用价值，减少网络安全事故。

Related Posts：

• 08/09/2010 -- 网络安全从端口防护开始 (11)
• 18/04/2010 -- 容易忽略的安全知识 (0)
• 18/04/2010 -- 减少恶意软件引起的安全泄漏 (1)
• 16/11/2009 -- 保护无线网络的安全 (1)
• 15/11/2009 -- 如何有效防范溢出攻击 (0)

现在很多用户都会在工作场所使用工作设备进行网上冲浪，而这又是另一个令人头痛的安全风险。

企业安全人员负责确保用户不进行任何对用户带来安全威胁的操作，而终端用户不希望有任何问题会影响他们的正常工作。当安全人员开始锁定和关闭某些特定网络功能时（如关闭IE的Adobe文件阅读功能等），用户名总是不能按要求操作。

以下是用户进行互联网操作时常见的几种安全错误，并提供了相应的解决方法。

盲目安装ActiveX控件

用户在使用IE浏览网页时，往往需要安装Active X以查看特定信息。网页上方的弹出信息会提示用户安装该控件，而用户往往在不考虑后果的情况下盲目安装控件，以查看他们想要的信息。但是Active X控件只是运行的代码而已，很容易被黑客利用进行恶意攻击。

那么如何让用户了解Active X的坏处呢？应该让用户知道Active X就像其他任何应用程序一样，存在安全威胁。最新版本的IE能够将控件锁定在特定的网站，例如，如果用户使用Google要求的控件，那么该控件将只能在 Google网站使用。管理员应该在其组策略控制中部署这种IE以避免用户造成安全威胁。

轻信坏的SSL证书

当用户看到弹出信息“坏的SSL证书”时，往往会点击添加例外，然后继续操作，他们并不清楚这种危害。 这意味着用户访问的网站并不是真正想要访问的网站，有可能是钓鱼网站。
因此，应该建议用户下次看到这种提示时，必须格外小心。

允许未签名内容

我们可能会遇到这样的情况：浏览网页时，浏览器提示需要程序XYZ才能查看信息，然后提示你从该网站下载程序，点击安装程序后，会有提示说“未签名内容”，微软并不能验证这些程序的出处和操控者。
用户通常会不顾警告而点击ok，这是非常不安全的做法。

受好奇心驱使

大家可能都收到过这样的信息“点击查看你的视频”，或者提示你的银行帐户被泄漏的信息，而往往包含恶意链接要求你输入帐户号码。为什么这么多年以来，仍然有人会上当受骗呢？因为好奇心在作怪。必须让用户知道网络上的各种来历不明的信息和链接都会带来安全威胁。

抱着尝试的态度

大家都很忙，当遇到问题时，往往不管三七二十一，只要能够帮助他们完成工作都会点击任何内容和链接。用户在点击确定之前必须考虑清楚各种安全问题再采取行动。

Related Posts：

• 04/08/2011 -- IE与我们一起走过的日子 (4)
• 25/03/2011 -- 网络惊现恐吓欺诈病毒 (53)
• 03/11/2010 -- 四大关键词透析三网融合 (7)
• 08/09/2010 -- 网络安全从端口防护开始 (11)
• 16/11/2009 -- 保护无线网络的安全 (1)