一文详解等保中的三高一弱 、两高一弱

在网络安全检查过程中，“三高一弱”和“两高一弱”是常被提及的重要概念，它们涉及网络安全中的高风险点和薄弱环节。

“三高一弱”

定义：

• • “三高”通常指的是高危漏洞、高危端口和高风险外连。

• • “一弱”指的是弱口令。

详解：

1. 1. 高危漏洞：网络系统中存在的、可能被黑客利用以进行非法访问、数据窃取或系统破坏的严重安全缺陷。每一个操作系统或网络软件都可能存在漏洞，这些漏洞一旦被恶意利用，将给系统带来极大的安全风险。

2. 2. 高危端口：在网络通信中容易被黑客利用进行攻击的端口。开放的高危端口为黑客提供了攻击入口，他们可以通过这些端口进行漏洞扫描、入侵尝试等恶意行为。

3. 3. 高风险外连：指的是与外部网络相连的高风险连接，这些连接可能增加系统被攻击的风险。

4. 4. 弱口令：设置过于简单、容易被猜测或破解的密码。弱口令是网络安全中最常见的隐患之一，它使得黑客能够通过暴力破解等方式轻松获取用户账号权限。

“两高一弱”

定义：

• • “两高”指的是高危漏洞和高危端口。

• • “一弱”同样指的是弱口令。

应对措施

针对“三高一弱”和“两高一弱”问题，以下是一些常见的应对措施：

1. 1. 定期更新系统和软件补丁：以减少高危漏洞被利用的风险。

2. 2. 合理配置端口访问权限：仅开放必要的服务端口，并对高危端口进行重点防护。

3. 3. 使用防火墙等安全设备：对进出网络的流量进行监控和过滤，及时发现并阻断潜在的攻击行为。

4. 4. 避免使用弱口令：选择复杂度高、难以猜测的密码组合，并定期更换密码。

5. 5. 加强网络安全意识培训：提高员工对网络安全威胁的认识和防范能力。

10个高危端口列表

1. 1. TCP 135端口：这是一个Windows NT漏洞相关的端口，开放的135端口容易引起外部的“snork”攻击。

2. 2. TCP 137、139、445端口：这些端口属于SMB（NetBIOS协议）端口，可被尝试爆破以及利用SMB自身的各种远程执行类漏洞，如MS08-067、MS17-010等，可能导致文件共享被非法访问、恶意代码执行等问题。

3. 3. TCP 3389端口：这是Windows RDP服务（远程桌面协议）端口，尽管是合法的远程管理端口，但如果配置不当或存在漏洞，可能会被攻击者利用进行爆破等攻击，获取远程桌面访问权限。

4. 4. TCP 21端口：FTP服务（文件传输协议）端口，FTP传输数据时未加密，容易受到攻击，如匿名上传下载、爆破、嗅探、远程执行等攻击，可能导致敏感文件泄露。

5. 5. TCP 23端口：Telnet服务（远程终端协议）端口，Telnet以明文传输数据，容易被嗅探和中间人攻击，可导致账号密码等敏感信息被窃取。

6. 6. TCP 873端口：RSYNC服务（数据镜像备份工具）端口，可能存在匿名访问和文件上传的安全隐患。

7. 7. TCP 22端口：SSH服务（安全外壳协议）端口，尽管SSH本身提供加密，但如果SSH版本过低或存在配置漏洞，可能会被攻击者利用收集到的信息尝试爆破、中间人攻击等。

8. 8. UDP 137、138端口：这些是与NetBIOS相关的UDP端口，也存在被攻击利用的风险，如信息泄露、网络嗅探等。

9. 9. TCP 593端口：虽然不如其他端口常见，但也可能成为攻击目标，建议关闭。

10. 10. TCP 69端口：TFTP服务（简单文件传输系统）端口，可被用于尝试下载目标设备的各类重要配置文件，存在信息泄露风险。

关闭方法

方法一：通过Windows Defender防火墙关闭

1. 1. 打开“控制面板”，点击“系统和安全”，然后选择“Windows Defender防火墙”。

2. 2. 在左侧栏点击“高级设置”，弹出“高级安全Windows Defender防火墙”窗口。

3. 3. 在左侧栏点击“入站规则”，然后在右侧操作栏中点击“新建规则”。

4. 4. 选择“端口”，然后点击“下一步”。

5. 5. 选择要关闭的端口类型（TCP或UDP），然后输入要关闭的端口号。

6. 6. 点击“下一步”，将操作设置为“阻止连接”。

7. 7. 点击“下一步”，根据需要选择应用规则的环境。

8. 8. 输入规则名称和描述，然后点击“完成”。

方法二：通过本地安全策略关闭

1. 1. 按住Win+R键，输入“control”，打开“控制面板”。

2. 2. 在“控制面板”中查找“管理工具”，单击后再进入“本地安全策略”。

3. 3. 选中“IP安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，选择“创建IP安全策略”。

4. 4. 按照向导提示为新的安全策略命名，并创建新的筛选器和筛选器操作。

5. 5. 在筛选器中添加要关闭的端口号，如TCP 135、137、139、445等。

6. 6. 将筛选器操作设置为“阻止”。

7. 7. 将新的IP安全策略分配给相应的网络适配器。

8. 8. 重启计算机以使更改生效。

扫码咨询

原文始发于微信公众号（CISSP）：一文详解等保中的“三高一弱” 、“两高一弱”