等保测评2.0：Windows入侵防范(2)

所以如果连ipc$时输入了administrator账户的用户名和口令，那么可以连上其它共享会话。如果是以空用户名、空口令的形式连上ipc$，就连不上其它共享会话。

C:UsersCX>net use \192.168.9.136ipc$ "" /user:""

命令成功完成。

C:UsersCX>net use \192.168.9.136c$

密码在 \192.168.9.136c$ 无效。

为 '192.168.9.136' 输入用户名:

发生系统错误 1223。

操作已被用户取消。

对于默认共享，关闭方式有几种：

关闭Server服务，但是这个是将共享服务全部关闭了，要注意是否会影响到业务实际需要的共享。

使用net share xxx /delete命令删除共享，xxx即为共享的名字，比如net share ipc$ /delete。这里说删除ipc$共享，不会对其它的共享造成影响。另外这只是暂时的删除，服务器重启后又会关闭;

在防火墙或ip策略中，对共享服务使用的端口进行禁止，不过这里不是很好判断，根据smb协议使用的不同，可能使用不同的端口：

4.3. 高危端口或多余端口

其实端口如果不做终端ip限制，那么基本都存在漏洞，至于监听了多余的端口，那就更危险了。

那么这里说一下常见的多余端口(就是那种windows默认给你开启的端口)：

80端口，对于windows而言，大概率是开启了IIS服务，如果本身没有这个业务，即为多余端口;

135端口，是微软RPC远程过程调用使用的端口号，没有涉及到远程过程调用的，即为多余端口。WebService是RPC的一种实现，这里是一个公用的WebService接口，看了之后就知道大概是干嘛的了：;

137、138、139端口(TCP、UDP)，是NetBIOS名称服务(NetBIOS Name Service)使用的端口号，用于局域网中提供计算机的名字或IP地址查询服务以及文件共享服务。换句话说，共享服务可能使用这三个端口，如果没有业务上不需要共享服务，那么肯定是多余端口;

445端口，共享服务可能使用的端口，如果没有业务上不需要共享服务，那么肯定是多余端口;

47001端口，Windows Remote Management服务用到的端口，只能说一般用不到，大概率是多余端口。

常见的高危端口：

一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口)，还有593端口，是针对DCOM(Distributed Component Object Model,分布式组件对象模型)协议的。它允许C/S结构的应用通过DCOM使用RPC over HTTP service。

至于初级教材里说的1025端口，不明白是用来干嘛的，因为它是一个动态端口，分配给哪个进程是不确定的(1024的下一个就是1025)：

其实还是那句话，大部分端口都有问题(如果你不进行ip限制)，windows常见的3389、22、21等端口，都存在一定的危险性(如果你不进行ip限制)，所以多余端口好判断，但高危端口要根据具体情况进行判断。

4.4. 查看监听端口

具体测评中要先自己查看监听的端口，以及端口的作用，然后再进行访谈。

使用netstat -ano查看端口情况：

其中PID列代表的是监听这个端口的进程，因为虽然0-1024端口作为熟知端口号，一般用于一些公共的协议使用，也就是规定好了哪个服务使用哪个端口。

但这只是一种规范，不代表强制规定，实际上某服务(进程)到底监听什么端口都是自己指定的，所以判断端口的作用要结合监听该端口的进程。

同样，端口也不分操作系统版本，比如22端口，为ssh协议使用端口，一般不出现在Windows上。但这只是一种规范、通用做法。

比如我在windows上就曾查到过22端口，通过监听该端口的进程的PID，查到了该进程。发现是一个远程管理软件，可能这个软件是windows、linux共用的，所以默认监听22端口。

使用tasklist /v查看正在运行的进程：

里面就有PID，当然，直接打开任务管理器进行查看也可以。

对于这些信息(端口信息和进程信息)，建议有可能的情况不要使用截图，因为不利于文本搜索，可以在命令后使用>，将其输入到某文本文件中。

4.5. Windows防火墙

一个端口，是否能够有效的进行通信，要看它是否被监听，以及监听后有没有被允许通信。