一、常用端口及其分类

电脑在Internet上相互通信需要使用TCP/IP协议，根据TCP/IP协议规定，电脑有256×256(65536)个端口，这些端口可分为TCP端口和UDP端口两种。如果按照端口号划分，它们又可以分为以下两大类：

1.系统保留端口(从0到1023)

这些端口不允许你使用，它们都有确切的定义，对应着因特网上常见的一些服务，每一个打开的此类端口，都代表一个系统服务，例如80端口就代表Web服务。21对应着FTP，25对应着SMTP、110对应着POP3等。

2.动态端口(从1024到65535)

当你需要与别人通信时，Windows会从1024起，在本机上分配一个动态端口，如果1024端口未关闭，再需要端口时就会分配1025端口供你使用，依此类推。

但是有个别的系统服务会绑定在1024到49151的端口上，例如3389端口(远程终端服务)。从49152到65535这一段端口，通常没有捆绑系统服务，允许Windows动态分配给你使用。

二、如何查看本机开放了哪些端口

在默认状态下，Windows会打开很多“服务端口”，如果你想查看本机打开了哪些端口、有哪些电脑正在与本机连接，可以使用以下两种方法。

1.利用netstat命令

Windows提供了netstat命令，能够显示当前的 TCP/IP 网络连接情况，注意:只有安装了TCP/IP协议，才能使用netstat命令。

操作方法：单击“开始→程序→附件→命令提示符”，进入Dos窗口，输入命令 netstat -na 回车，于是就会显示本机连接情况及打开的端口。其中Local Address代表本机IP地址和打开的端口号，Foreign Address是远程计算机IP地址和端口号，State表明当前TCP的连接状态，LISTENING是监听状态，表明本机正在打开135端口监听，等 待远程电脑的连接。

如果你在DOS窗口中输入了netstat -nab命令，还将显示每个连接都是由哪些程序创建的。例如：本机在135端口监听，就是由svchost.exe程序创建的，该程序一共调用了5个组件 (WS2_32.dll、RPCRT4.dll、rpCSS.dll、svchost.exe、ADVAPI32.dll)来完成创建工作。如果你发现本 机打开了可疑的端口，就可以用该命令察看它调用了哪些组件，然后再检查各组件的创建时间和修改时间，如果发现异常，就可能是中了木马。

2.使用端口监视类软件

与netstat命令类似，端口监视类软件也能查看本机打开了哪些端口，这类软件非常多，著名的有TcpvIEw、Port Reporter、绿鹰PC万能精灵、网络端口查看器等，密切监视本机端口连接情况，这样就能严防非法连接，确保自己的网络安全。

三、关闭本机不用的端口

默认情况下Windows有很多端口是开放的，一旦你上网，黑客可以通过这些端口连上你的电脑，因此你应该封闭这些端口。主要有:TCP139、 445、593、1025 端口和 UDP123、137、138、445、1900端口、一些流行病毒的后门端口(如 TCP 2513、2745、3127、6129 端口)，以及远程服务访问端口3389。关闭的方法是：

①137、138、139、445端口:它们都是为共享而开放的，你应该禁止别人共享你的机器，所以要把这些端口全部关闭，方法是:单击“开始→控 制面板→系统→硬件→设备管理器”，单击“查看”菜单下的“显示隐藏的设备”，双击“非即插即用驱动程序”，找到并双击NetBios over Tcpip，在打开的“NetBios over Tcpip属性”窗口中，单击选中“常规”标签下的“不要使用这个设备(停用)”，单击“确定”按钮后重新启动后即可。

②关闭UDP123端口：单击“开始→设置→控制面板”，双击“管理工具→服务”，停止Windows Time服务即可。关闭UDP 123端口，可以防范某些蠕虫病毒。

③关闭UDP1900端口：在控制面板中双击“管理工具→服务”，停止SSDP Discovery Service 服务即可。关闭这个端口，可以防范DDos攻击。

④其他端口：你可以用网络防火墙来关闭，或者在“控制面板”中，双击“管理工具→本地安全策略”，选中“IP 安全策略，在本地计算机”，创建 IP 安全策略来关闭。

四、重定向本机默认端口，保护系统安全

如果本机的默认端口不能关闭，你应该将它“重定向”。把该端口重定向到另一个地址，这样即可隐藏公认的默认端口，降低受破坏机率，保护系统安全。

例如你的电脑上开放了远程终端服务(Terminal Server)端口(默认是3389)，可以将它重定向到另一个端口(例如1234)，方法是：

1.在本机上(服务器端)修改

定位到下列两个注册表项，将其中的 PortNumber，全部改成自定义的端口(例如1234)即可: [HKEY_LOCAL_MacHINE\SYSTEM\CurrentControlSet\Control\Terminal Server \Wds\rdpwd\Tds\tcp] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]

2.在客户端上修改

依次单击“开始→程序→附件→通讯→远程桌面连接”，打开“远程桌面连接”窗口，单击“选项”按钮扩展窗口，填写完相关参数后，单击“常规”下的 “另存为”按钮，将该连接参数导出为.rdp文件。用记事本打开该文件，在文件最后添加一行:server port:i:1234 (这里填写你服务器自定义的端口)。以后，直接双击这个.rdp 文件即可连接到服务器的这个自定义端口了。

Related Posts：

• 16/11/2009 -- 保护无线网络的安全 (1)
• 08/11/2009 -- 多元化无线局域网网络安全攻略 (0)
• 08/11/2009 -- 为windows 7操作系统减肥 (5)
• 25/10/2009 -- 让Windows7随时监控运行程序 (1)
• 22/10/2009 -- 解析新型僵尸网络攻击及如何防范 (0)

可见，共享 文件的功能，提高了企业办公的效率，使企业局域网应用中的一个不可缺的功能。但是，由于共享文件夹管理不当，往往也给企业带来了一些安全上的风险。如某些 共享文件莫名其妙的被删除或者修改;有些对于企业来说数据保密的内容在网络上被共享，所有员工都可以访问;共享文件成为病毒、木马等传播的最好载体，等 等。

所以，共享文件若管理不当，会造成比较严重的后果。下面，就谈谈如何管理好共享文件。

一、实时查看谁在 访问我的共享文件。

有时候，在Windows XP的电脑上，共享了一个文件。或许，出于某些原因，我们需要知道现在有谁在访问这个文件。如有时候，我们关电脑的时候，系统会提示有多少用户连接在这个 共享文件夹中。我们需要知道到底是哪些用户，这该如何实现呢?其实，这比较简单，我们可以利用操作系统的自带功能来实现。可以按如下步骤操作。

第 一步：依次打开控制面板、管理工具、计算机管理(本地)、系统工具，然后选择共享文件夹。在这个窗口中，有一个“会话”选项。双击打开这个选项，在右面的 窗口中，就会显示出哪些电脑在访问你的计算机。但是，在这个窗口中，还只能够看到有哪些电脑连接到你的电脑，还不知道到底他们在访问哪些共享文件。

第 二步：依次选择“系统工具”、共享文件夹、打开文件，此时，在窗口中就会显示本机上的一些共享资源，被哪些电脑在访问。同时，在这个窗口中还会显示一些有 用的信息，如其打开了哪一个共享文件;是什么时候开始访问的;已经闲置了多少时间。也就是所，只要其打开了某个共享文件夹，即使其没有打开共享文件，也会 在这里显示。　另外，我们有时候可能出于某些目的，如员工可能认为不能让这个人访问这个文件。此时，我们就可以直接右键点击这个会话，然后从快捷菜单中选 择关闭会话，我们就可以阻止这个用户访问这个共享文件，而不会影响其他用户的正常访问。

这个功能，有时候非常有用。如我们都知道，XP系统 访问连接有一个最高数的限制。有时候员工会反映，我怎么不能够反问你的共享文件了。我们一看，原来是连接数到了上限。此时，我们就可以通过这种方式查询现 在有多少用户连接在我的电脑上，然后我们就可以把一些人为不需要访问的用户断开，让需要访问的用户连接上去。

二、设置共享 文件夹时，最好把文件与文件夹设置为只读。

在大部分时候，用户都只需要查看或者复制这个共享文件即可，而往往不会在共享 文件夹上进行直接修改。但是，有些员工为了贪图方便，就直接以可读写的方式共享某个文件夹以及文件。这是非常危险的。

一方面，这些不受限制 的共享文件家与共享文件成为了病毒传播的载体。有些用户在共享文件的时候，没有权限限制。一段时间后，再去看这个共享文件，发现有些共享文件或者共享文件 夹中有病毒或者木马的踪影。原来由于这个共享文件夹有写的权限，所以，其他用户如何打开这个文件，恰巧这台电脑中有病毒或者木马的话，就会传染给这个共享 文件夹。从而让其他访问这个共享文件夹的电脑也中招。可见，没有保护措施的共享文件夹以及里面的共享文件，已经成为了病毒传播的一个很好的载体。

另 一方面，当数据非法更改时，很难发现是谁在恶作剧。虽然可以通过相关的日志信息可以查询到有哪些人访问过这个共享文件，以及是否进行了更改的动作。但是， 光凭这些信息的话，是不能够知道这个用户对这个共享文件夹作了哪些更改。有时候，我们打开一个共享文件，会不小心的按了一个空格键或者一个字符键，不小心 的把某个字覆盖了，等等。这些情况在实际工作中经常会遇到。有时候，即使找到了责任人，他也不知道到底修改了哪些内容。所以，当把共享文件设置为可写的 话，则很难防止员工有意或者无意的更改。

第三，若以可写的方式共享文件的话，可能无法保证数据的统一。如人事部门以可读写的方式共享了一个 考勤文件。此时，若财务部门修改了这个文件，而人事部门并不知道。因为财务人员可能忘记告诉了人事部门，此时，就会导致两个部门之间的数据不一致，从而可 能会造成一些不必要的麻烦。而且，由于没有相关的证据，到时候谁对谁错，大家都说不清楚。

为了解决这些问题，建议企业用户，在共享文件夹的 时候，最好把文件夹的权限设置为只读。若这个共享文件夹有时候其他用户需要往这个文件夹中存文件，不能设置为只读。那我们也可以把共享文件夹中的文件设置 为只读。如此的话，由于文件夹为只读的，则病毒、木马也就不能够感染这些文件夹，从而避免成为散播病毒的污染源;而且，也可以防止用户未经授权的更改，从 而导致数据的不统一等等。

三、建立文件共享服务器，统一管理共享文件的访问权限。

另外， 若把企业的共享文件分散在各个用户终端管理的话，有一个问题，就是用户对于共享操作的熟悉程度不同或者安全观念有差异，所以，很难从部署一个统一的文件共 享安全策略。如分散在用户主机的共享文件，员工一般不会定期对其进行备份，以防止因为意外损害而进行及时恢复;一般也不会设置具体的访问权限，如只允许一 些特定的员工访问等等。因为这些操作的话，一方面可能需要一些专业知识，另一方面，设置企业也比较繁琐。所以，即使我们出了相关的制度，但是，员工一般很 难遵守。

所以建议，在一些有条件的企业，部署一个文件共享服务器，来统一管理共享文件。采取这种策略的话，有如下好处。

一是 可以定时的对共享文件进行备份，从而减少因为意外修改或者删除而导致的损失。若能够把共享文件夹都放在文件服务器上，则我们就可以定时的对文件服务器上的 文件进行备份。如此的话，即使因为权限设置不合理，导致文件被意外修改或者删除;有时会，员工自己也会在不经意中删除不该删的文件，遇到这种情况的时候， 则我们可以通过文件恢复作业，把原有的文件恢复过来，从而减少这些不必要的损失。

二是可以统一制定文件访问权限策略。在共享文件服务器上， 我们可以根据各个员工的需求，在文件服务中预先设置一些文件夹，并设置好具体的权限。如此的话，放到共享文件服务器中的文件就自动继承了文件服务器文件夹 的访问权限，从而实现统一管理文件访问权限的目的。如对于一些全公司都可以访问的行政通知类文件，我们可以为此设立一个通知类文件夹，这个文件夹只有行政 人员具有读写权限，而其他职工都只有只读权限。如此的话，其他员工就不能够对这些通知进行更改或者删除。所以，对共享文件夹进行统一的管理，可以省去用户 每次设置权限的麻烦，从而提高共享文件的安全性。

三是可以统一进行防毒管理。对于共享文件来说，我们除了要关心其数据是否为泄露或者非法访 问外，另外一个问题就是共享文件是否会被病毒感染。病毒或者木马是危害企业网络安全的第一把杀手，而共享文件又是其很好的载体。若能够有效的解决共享文件 的病毒木马感染问题，必定可以有效的抑制病毒或者木马在企业网络中为非作歹。而我们若能够在企业中统一部署文件服务器，则我们就可以利用下班的空闲时间， 对文件服务器上的共享文件统一进行杀毒，以保证共享文件服务器上的文件都是干净的，没有被木马或者病毒所感染，从而避免其成为病毒或者木马的有效载体。

综 上所述，共享文件夹以及共享文件的安全性问题，是企业网络安全管理中的一个比较薄弱的环节，但是，又是一个十分重要的环节。做好这件工作，必定可以提高企 业网络的利用价值，减少网络安全事故。

Related Posts：

• 08/09/2010 -- 网络安全从端口防护开始 (11)
• 18/04/2010 -- 容易忽略的安全知识 (0)
• 18/04/2010 -- 减少恶意软件引起的安全泄漏 (1)
• 16/11/2009 -- 保护无线网络的安全 (1)
• 15/11/2009 -- 如何有效防范溢出攻击 (0)

有没有这样一种方法：列出能使一个受到完善保护系统的安全性拱手让出的所有方面。当然没有。一般用户犯的这种错误多的不计其数。因此，下面将展示这些看似不起眼的小动作却有可能将辛辛苦苦构建的安全大门亲手破坏。

不信，请看：

一、轻信：这里的轻信不仅指轻信别人，还可以指以下几种情况：轻信某种品牌，如认为有了某种防病毒软件系统就不可能感染病毒;轻信某种并不信任用户的安全系统;轻信自己的判断能力，过度相信自己构建的安全措施的绝对可靠。这些都是安全性的大敌。要记住，安全是相对的。

二、无知：这 与上一条有相通之处。正是因为无知才容易轻信。我们多数人可能知道模糊性并非安全性。这并不是说我们并不设法将模糊性用作安全性，有时我们甚至并不知道我 们所做的事情。一个很现实的例子就是我们对谷歌和雅虎的索引Flash内容效果的认识。这种索引表明，许多敏感信息都被天真地编码进入了Flash对象 中，这就有可能被一些深谙此道的人所利用。许多人创建了安全过滤，却没有认识到他们实际上是在依靠模糊性而非安全性。许多情况下，问题就在于用户并没有真 正理解所使用的技术，他们认为固若金汤的一些东西有时只不过是对某种技术的模糊认识。因此，请不要再犯同样的错误。请努力地理解你所使用的技术的真正含 义，拒绝模糊!

三、不安全的邮件。有些人通过电子邮件发送企业的秘密资料，有些网站提供通过电子邮件恢复口令的方法。可想而知，如果这些邮件没有加密，那么你就是在将密码交给想得到它们的任何人。因此，请为你的邮件传输加密!但是，加密就安全吗?

四、不安全的加密。不 要以为加密就是治愈安全病的灵丹妙药，它也有可能是不安全的。为了让OpenPGP加密可用，并且能够保护通信，你必须能够解密所收到的任何加密消息。为 了保障它的安全性，你必须保持私钥的私密性，以及密码短语的私密性。如果你维护私钥的计算机没有得到恰当的安全保护，如果你加密和解密的消息的计算机并没 有采取恰当的安全保护措施，那么你的加密的安全性又从何谈起呢?有些系统比其它系统更容易遭受安全破坏，从而损害用户私钥的安全性。如非授权的访问可能准 许某人将你的私钥复制下来，并对你的密码短语发动一种离线的强力攻击，而键盘记录程序可以在用户键入密码短语时捕获之。更糟的是，在你用别人的计算机进行 加密时，你对拥有管理员访问权的人员所设置的安全措施知之甚少，甚至不知道这些安全措施是否值得完全相信。从根本上说，如果你的加密密钥不太强健的话，那 么你最好不要通过纯文本通信。至少你应当知道，如果是通过纯文本通信的话同，这种通信是否可以防护在线窃听。

五、明知不可为而为之。这 可不是一句赞美的话，这是要劝你认识到应当明智地选择自己的战斗。不要打一场不可能赢的战争。不要将大量的精力耗费在不可能有效保护的东西上。如果保障不 可能安全的东西是你的企业模式中的必须做的事情，那么你可能需要重新思考一下这种企业模式，不仅仅是因为这样一种企业模式中的固有缺陷，而且因为你用以保 障不可能安全的所有努力都从保障所有其它方面的措施中转移而来。企业应当将有限的时间和金钱用在可实现的东西上!

前面说过，这五个方面并不 是一个完整的列表。但你可以用这五个方面对照检查自己的企业，不要犯这些错误，绝非危言耸听。好好考虑一下，虽然这些问题未必出现在你的企业身上。面对日 益严重的威胁，你不但应当像黑客一样思考，还应当学会像一个安全专家一样思考。因为一些看似无关紧要的动作可能引起不可预知的灾难。三思而后行!

Related Posts：

• 27/01/2011 -- 起床后不能收邮件的七个理由 (15)
• 08/09/2010 -- 网络安全从端口防护开始 (11)
• 21/04/2010 -- 教你如何保障局域网共享文件的安全性 (1)
• 18/04/2010 -- 减少恶意软件引起的安全泄漏 (1)
• 16/11/2009 -- 保护无线网络的安全 (1)