由“沖擊波”聯想到的Windows系統網絡安全防護若干問題及對策

這一陣子的MSBlaster蠕蟲(即“沖擊波”病毒)著實讓全球網絡管理員和用戶忙了一陣子，大量的使用Windows 2000 Professional/Server/Advanced Server、Windows XP Home Edition/Professional的個人計算機或者網絡服務器因此而出現循環的關機過程、擴展命令菜單的異常等問題。MSBlaster的破壞原理就是利用了基于Windows NT內核的操作系統的RPC DCOM漏洞，通過向漏洞計算機的TCP 135端口發送異常的數據包而達到讓目標計算機RPC服務出錯的目的。

這次蠕蟲爆發來勢如此兇猛，以致于讓很多使用Windows平臺服務器的管理員和NT架構操作系統的個人用戶大亂陣腳，一時間各大論壇關于此蠕蟲帶來的操作系統故障的帖子紛至沓來，國內幾個安全軟件生產商的論壇人氣更是急速上升。伴隨這股浪潮而來的，就是反病毒軟件和個人防火墻產品的銷量大增，國內幾大個人安全產品生產商均是以能夠殺除或者抵御Worm_MSBlaster作為產品宣傳的重點。那么，究竟是不是非得要因為如此一個蠕蟲而去花一兩百塊錢采購新的安全產品？我的回答是NO！我們完全可以通過Windows系統自帶的功能實現對此蠕蟲的防御。下面我將具體敘述（注意：下文中假定讀者的機器并未感染Worm_MSBlaster，如果業已感染，應該下載一個安全廠商提供的免費清除工具，斷開網絡連接并重新啟動到安全模式對此病毒進行查殺后，再參照下文進行操作）

首先，我將針對Windows XP系列的防護進行敘述。Windows XP相比前幾代的版本，除了操作界面的極大提升以外，安全性有了很大的提升，特別是提供了一個應用層防火墻ICF(Internet Connection Firewall)，這就讓擔心網絡攻擊的用戶擁有了一個無需付費的安全防護（當然，操作系統要錢）。這樣一來，Worm_MSBlaster就容易防護了，只需要：1、到“控制面板”中打開“網絡連接”；2、找到你所使用的那個連接，并用右鍵單擊那個連接；3、選擇“屬性”，在彈出來的窗口中轉到“高級”選項卡，將“通過限制或阻止來自Internet的對此計算機的訪問來保護我的計算機和網絡”前面的多選框選中；4、確定退出。這樣就可以使用ICF來阻止Worm_Blaster或者其他大部分來自外界的攻擊了。這里需要注意一點：使用QQ的用戶可能會因為ICF而無法聯機聊天了，因為ICF丟棄掉了來自服務器或者對方QQ向己方UDP 8000端口的數據包，這就需要特別配置一條ICF規則來使用QQ，具體方法是：在前述步驟的第3步中，選中那個復選框以后，單擊窗口下部隨后立即由不可用變為可用的“設置”按鈕，隨后將彈出“高級設置”窗口，在“服務”選項卡的下部單擊“添加”按鈕，將會彈出如圖窗口

此時，在“服務描述”輸入欄中填入你喜歡的任意文字描述，然后在“在您的網絡上主持此服務的計算機名稱或IP地址”輸入框中填入你自己的IP地址或者計算機名稱，如果你都不知道，就填入127.0.0.1就行了；接下來在“此服務的外部端口號”和“此服務的內部端口號”兩個輸入框中都填入8000（雖然QQ在操作系統中使用的外部端口是4000，但是都設定為8000并沒有問題）將旁邊的協議單選框選擇為UDP，然后單擊確定退出“高級設置”窗口。然后就是前面所述的第4步了。

這里需要特別注意一點：如果你的機器是作為ICS（Internet Connection Share）網關使用，那么就不能使用ICF，在作為ICS gateway的機器上啟用ICF將會導致所有連接到此計算機上的客戶機無法上網。這樣就需要另尋途徑解決問題，同樣，從Windows 系統自帶的解決方案入手，不求助第三方廠商，這個方法就是我第二步要敘述的Windows 2000和Windows XP通用的方法：利用Windows 2000/XP中的IP安全策略（IPSec）提供對端口的通訊控制，下面將詳細敘述。（注意！如果沒有使用ICS，還是要首選ICF）

先進行前期工作說明。調用方法：在Windows 2000 Professional/Server/Advanced Server和Windows XP Professional中，進入控制面板，選擇管理工具，然后雙擊“本地安全策略”，進入本地安全策略窗口后，選擇“IP安全策略”目錄樹；需要特別分開說明的是，Windows XP Home Edition這個版本的管理工具中沒有“本地安全策略”一項，這并不意味著Windows XP Home Edition用戶無法使用IPSec保護計算機，要調用IPSec控制臺需要繞一些彎子：打開位于開始菜單的運行，輸入“mmc”，并回車確定，將會打開一個全新的控制臺。選擇頂部的“文件”菜單，在彈出的下拉菜單中選擇“添加/刪除管理單元”菜單項，會彈出如圖窗口

單擊“添加”按鈕，然后在隨后彈出窗口的列表框中選擇第二項“IP安全策略管理”，并且單擊添加（只需要單擊一次），然后按“關閉”返回“添加/刪除管理單元”窗口，并單擊確定關閉此窗口返回控制臺，這樣就可以在左邊看到了剛剛添加的IP安全策略管理單元了。
好了，準備工作做完，開始具體操作。在控制臺窗口的右邊窗格中單擊鼠標右鍵，選中“管理IP篩選器表和IP篩選器操作”，在隨后彈出的對話框中選擇“管理篩選器操作”選項卡，如圖，單擊“添加”按鈕

隨后將會彈出篩選器操作向導，單擊下一步。在“名稱”輸入框中輸入“拒絕”或者其他你覺得方便的文字，單擊下一步。然后進行如圖操作

接著就可以單擊“完成”退出篩選器操作向導。添加一條篩選器以后會回到“管理IP篩選器表和IP篩選器操作”對話框，這時選擇“管理IP篩選器列表”選項卡，單擊下部的“添加”按鈕，將會彈出如圖對話框，請按照圖上所示操作

之后彈出“IP篩選器向導”，單擊下一步。在“源地址”下拉列表中選擇“任何IP地址”，然后單擊下一步，在“目標地址”下拉列表中選擇“我的IP地址”，單擊下一步。在隨后的IP協議類型選擇中，在“選擇協議類型”下拉列表內選擇TCP，然后單擊下一步，在接下來的對話框中，請按圖操作

隨后，單擊完成。

這樣，一條針對TCP135端口的數據包的IP過濾規則就定義下來的了，完成以后會回到“管理IP篩選器列表”選項卡，此時請單擊下部的“關閉”。
雙擊“客戶端（僅響應）”圖標，將會彈出如圖窗口。

請單擊下部的“添加”按鈕，將會彈出“安全規則向導”，單擊下一步，隨后選擇“此規則不指定隧道”；再單擊下一步，在“網絡類型”選擇窗口中，選擇“所有網絡連接”單選鈕，單擊下一步；隨后的操作請注意操作，如圖指示

注意：如果你的計算機不是一個域成員，就要按照圖上所示操作（當然，如果你有CA頒發的證書的話，可以選擇第二項，按照提示操作，這里不作敘述），如果你的計算機是域成員計算機，請選擇第一項“Active Directory默認值”，再單擊下一步。

然后在“IP篩選器列表”中選擇剛才創建的IP篩選器（這里前文定義的名稱是135），如圖