揪出系统中的内鬼—关闭系统危险服务

Services（服务）是微软从Windows2000开始引入的一个概念.它们是一种后台处理或者后台帮助程序,主要用来协助调整系统的某项或某些功能(比如网络,打印等),以便使系统更好用更稳定。

    在我们的Windows系统中存在很多的服务，一般用户都不会对服务进行设置，因为服务对系统的稳定运行有很大的作用，稍有不慎就会导致系统产生莫名其妙的问题甚至崩溃。正是这个原因，导致了我们在给系统做安全防护时忽略了重要的一块，那就是系统的服务安全。默认安装完系统后,里面会开启很多服务,其实很多服务家庭用户根本用不着,开启了只会浪费内存和资源,影响启动和运行速度。这些服务不仅会占用系统资源，甚至会给我们的系统带来严重的安全隐患，为黑客入侵提供方便。那么系统中哪些服务存在危险，这些服务在系统中起到什么作用，又会造成怎样的安全隐患呢？请看本文。

危险服务一：ClipBook
危险等级：★★★☆
服务简介：启用“剪贴簿查看器”储存信息并与远程计算机共享。如果此服务终止，“剪贴簿查看器” 将无法与远程计算机共享信息。
    这个服务的作用是可以让远程用户查看本机的剪切板内容。什么是“剪贴簿查看器”呢？进入系统目录的system32文件夹，在其中会存在一个名为clipbrd.exe的可执行文件，这就是“剪贴簿查看器”，双击运行一下后我们能够在其中看到当前剪切板的内容。想必有很多用户都不知道系统中还存在这样的一个小程序，也很少有人会利用到这个“剪贴簿查看器”，更别说提供给远程用户使用了。
    对木马较为熟悉的朋友都知道，很多木马都有一项功能叫做“剪贴簿内容查看”，其实这项功能就是依赖于ClipBook服务的。在我们上网的过程中，不少用户嫌输入一长串密码太麻烦，就会把密码剪切粘贴以便输入，如果这时黑客利用ClipBook服务对用户的剪贴簿进行查看，那么我们的密码内容就暴露无疑了。

危险服务二：Messenger
危险等级：★★★★★
服务简介：传输客户端和服务器之间的 NET SEND 和 Alerter 服务消息。
    该服务的作用是让处在网络中的计算机能够通过“net send”命令互相发送消息。假设网络中一台计算机A，其IP地址为192.168.1.1，计算机B的IP地址为192.168.1.2，那么我们在计算机A中点击其“开始”菜单→“运行”，输入命令“net send 192.168.1.2 你好吗？”并回车，那么在计算机B上就会弹出一条消息“你好吗？”。这就是Messenger服务的主要作用，Messenger服务通常用于局域网中的简要讯息传播。
    Messenger服务虽然能够方便我们的信息传播，但是其带来的危害却比其好处要大得多。首先Messenger服务造成网络上垃圾信息泛滥，各种各样的广告消息铺天盖地。由于Messenger服务是系统安装好后默认开启的服务，这就让Windows系统像一款IM软件，用户安装完系统后就相当于登录了IM软件，而网友想发送消息给你是不需要通过你验证的，其结果可想而知。如果QQ发消息不用验证，那么可能你现在每收到两条消息，其中一条就是广告。目前利用Messenger服务进行广告传播的现象是很严重的，有兴趣的朋友可以试验一下，开启Messenger服务并让计算机连上互联网，不用一小时，你的桌面上就会塞满广告信息。
    Messenger服务的危害还不止这些，它甚至存在溢出漏洞（MS03-043: Messenger服务中的缓冲区溢出可能允许执行代码），黑客可以利用此漏洞进行溢出功能，成功后可以获取计算机的最高权限，到时候黑客是想干啥就能干啥了。利用这个溢出漏洞的蠕虫病毒也在网络上肆虐，即使我们的计算机没被黑客盯上也过不了蠕虫病毒这一关。这个漏洞影响Windows 2000/xp/2003全系列操作系统，危害可谓十分巨大。

危险服务三：Remote Registry Service
危险等级：★★★☆
服务简介：远程用户能修改此计算机上的注册表设置。
    Remote Registry Service（Winxp系统为Remote Registry）服务的作用是让远程用户通过简单的连接就能修改本地计算机上的注册表设置。我们运行“注册表编辑器”，点击“文件”菜单，选择其中的“连接网络计算机”，在这里我们只要输入远程计算机的管理员帐号密码就可以修改远程计算机的注册表设置了。这个服务的作用和ClipBook服务有些类似，都是提供给远程用户使用的，远程用户通过IPC管道与本机进行连接后，就可以设置本地计算机的注册表内容。这项功能对网络管理员比较有用，可以方便网络管理，而对于我们普通用户而言是没有丝毫用处的。
    Remote Registry Service也是经常被木马利用的服务之一，木马中修改远程计算机注册表是最基本的功能，而这项功能就是依赖于Remote Registry Service服务的。因此我们可以毫不犹豫地将其关闭。

危险服务四：Server
危险等级：★★★★☆
服务简介：支持此计算机通过网络的文件、打印、和命名管道共享。
    如果我们的计算机处在局域网中，那么Server服务的作用是相当大的，很多时候我们共享文件夹，共享打印机，以及远程连接都需要用到Server服务。这些功能都是依赖于Server服务的，一旦Server关闭，这些功能将都无法使用。
    Server服务的作用大，其危害也大。在以前的文章中我们曾介绍过系统的默认共享，即使我们将之关闭，而系统重启后还是会将默认共享打开，这正是因为Server在起作用。而很多用户的计算机都存在弱口令漏洞，通常没有设置管理员帐户密码就直接上网，黑客可以通过你的计算机弱口令，利用Server服务开启的IPC$共享管道进行连接，上传并运行木马程序，其结果就是你的计算机沦为黑客的肉鸡。因此如果你的计算机不在局域网中，或者在局域网中而不需要共享服务，那么可以将Server服务关闭。

危险服务五：Terminal Services
危险等级：★★★
服务介绍：允许多位用户连接并控制一台机器，并且在远程计算机上显示桌面和应用程序。这是远程桌面(包括管理员的远程桌面)、快速用户转换、远程协助和终端服务器的基础结构。
    Terminal Services的作用就是让多个用户连接计算机，并且拥有不同的会话环境。在Winxp中，远程桌面和远程协助都需要Terminal Services服务的支持，在Win2000中，终端服务也是依赖于Terminal Services服务的。Terminal Services服务对不同类型的用户都有一定帮助，例如菜鸟用户可以通过远程协助功能邀请老鸟帮助。办公一族可以通过远程桌面在家完成公司未完成的工作。而网络管理员则可以通过终端服务维护计算机，不必为设置不同的计算机而东奔西跑。
    “输入法漏洞”是Windows系统最早的重大漏洞之一，这些存在“输入法漏洞”的计算机清一色都开启了终端服务，黑客通过输入法漏洞可以轻松绕过终端服务的帐户检测，直接进入系统获取目标计算机的最高权限。因此正是终端服务造就了“输入法漏洞”，造成了当时数百万台计算机被入侵。还有一种情况是，当你的计算机存在弱口令，并开启了远程桌面功能，那么黑客可以通过远程桌面登录你的计算机，就像操作本地计算机一样操作你的计算机。

危险服务六：Workstation
危险等级：★★★★☆
服务介绍：创建和维护到远程服务的客户端网络连接。
    该服务以一个文件系统驱动器的形式工作，并且可以允许用户访问位于Windows网络上的资源。这个服务和Server服务的作用十分相似，都是为了内部网络的互相连接提供支持，如果你想在局域网中实现共享，那么这个服务是必须要开启的。
    再来说说这个服务的危害，Workstation服务可以被称为漏洞专业户，Windows系统的多个溢出漏洞和拒绝服务漏洞都是因为Workstation服务引起的。例如“windows系统的Workstation服务缓冲溢出漏洞（MS03-049）”。原因是因为Workstation服务中存在一个未经检查的缓冲区。如果黑客成功利用这个漏洞，他将可以获得受害机器的系统权限，或者导致Workstation服务崩溃。入侵者可以在系统上进行任何操作，包括安装程序，浏览、更改或删除文件甚至是创建具有完全权限的新账号。因此如果你的计算机不再局域网中，而需要连接Internet，那么就应该禁用这个服务。这将大大提高你的计算机安全性。

服务的关闭
    
    进入控制面板→管理工具→服务，在需要关闭的服务上点击右键，如果该服务的“状态”标注为“已启动”，那么我们可以选择“停止”将其关闭。然后双击该服务，出现该服务的属性面板，我们将其中的“启动类型”改为“已禁用”，这样这个服务以后就被彻底禁止了。