网络安全的防范,我们需要堵住黑客常用缺口,从禁止端口和禁用服务入手。
一、禁用不必要的端口和协议
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,所以端口配置正确与否直接影响到我们主机的安全。一般来说,仅打开需要使用的端口会比较安全,不过关闭端口意味着减少功能,所以我们需要在安全和功能上面做一些平衡。对于那些我们根本用不着的功能,就没必要将端口开给黑客了,所以作为管理员,我关闭了平时不常使用的协议和端口。
在配置系统协议时,不需要的协议统统删除。对于服务器和主机来说,一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”,卸载不必要的协议(如图1)。NETBIOS是很多安全缺陷的源泉,对于不需要提供文件和打印共享的主机,还可以将绑定在TCP/IP协议的NETBIOS给关闭,避免针对NETBIOS的攻击。选择[TCP/IP协议]→[属性]→[高级],进入“高级TCP/IP设置”对话框,选择“WINS”标签,勾选“禁用TCP/IP上的NETBIOS”一项(如图2),关闭NETBIOS。
图1 卸载不必要的协议
当然,对于文件和打印共享服务的137、138、139和445端口,还可以采用以下的方法来关闭。鼠标右击“网络邻居”,选择“属性”,选择“网络和拨号连接”对话框的“高级”菜单,选择“高级设置”命令,进入高级设置对话框(如图3),在出现的画面中的上部选择所需的连接,下部取消“文件和打印机共享”项(保持空选),即可禁止这几个端口。
图2 关闭NETBIOS
另外对于协议和端口的限制,也可采用以下方法:[网上邻居]→[属性]→[本地连接] →[属性]→[Internet 协议(TCP/IP)]→[属性]→[高级]→[选项]→[TCP/IP筛选]→[属性],勾选“启用TCP/IP筛选”,只允许需要的TCP ,UDP端口和协议即可。不过对于Windows 2000的端口过滤来说,有一个不好的特性:只能规定打开哪些端口,不能规定关闭哪些端口,这样对于需要开大量端口的用户就比较痛苦,而且由于端口过滤有时会阻塞合法的连接,占用的资源太多,对主机性能有些影响,所以一般只在网络边界的网关上进行端口过滤,在一般的Windows主机上可以不做。
图3 关闭打印共享端口
[NextPage]
二、禁用不必要的服务
禁用服务的方法:进入控制面板的“管理工具”,运行“服务”,进入服务界面,双击右侧列表中需要禁用的服务,在打开的服务属性的常规标签页“启动类型”一栏,点击小三角形按钮选择“已禁用”(如图4),再点击[停止]按钮,最后确定即可。禁用服务不但可以让您的系统更加安全,也可以让电脑速度运行得更加快哦,一举两得。
图4 禁用服务
除非特别需要,否则一般情况下Windows 2000需要禁用以下一些服务:
|
服 务 |
用 途 |
|
alerter |
通知所选用户和计算机有关系统管理级警报。 |
|
clipbook |
支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。 |
|
computer browser |
维护网络上计算机的最新列表以及提供这个列表给请求的程序。 |
|
dhcp client |
通过注册和更改 ip 地址以及 dns 名称来管理网络配置。 |
|
messenger |
发送和接收系统管理员或者“警报器”服务传递的消息。 |
|
net logon |
支持网络上计算机 pass-through 账户登录身份验证事件。 |
|
network dde |
提供动态数据交换 (dde) 的网络传输和安全特性。 |
|
network dde dsdm |
管理网络 dde 的共享动态数据交换。 |
|
runas service |
在不同凭据下启用启动过程。 |
|
remote registry service |
允许远程注册表操作。 |
|
server |
提供 rpc 支持、文件、打印以及命名管道共享。 |
|
task scheduler |
允许程序在指定时间运行。 |
|
tcp/ip netbios helper service |
允许对“tcp/ip 上 netbios (netbt)”服务以及 netbios 名称解析的持。 |
|
telnet |
允许远程用户登录到系统并且使用命令行运行控制台程序。 |
|
workstation |
提供网络链接和通讯。 |
Win2003系统建议禁用服务列表:
|
服 务 |
用途 |
|
BITS |
Background Intelligent Transfer Service |
|
Browser |
Computer Browser |
|
Dhcp |
DHCP Client |
|
NtLmSsp |
NTLM Security Support Provider |
|
NLA |
Network Location Awareness |
|
SysmonLog |
Performance Logs and Alerts |
|
SrvcSurg |
Remote Administration Service |
|
RemoteRegistry |
Remote Registry Service |
|
lanmanserver |
Server |
|
LmHosts |
TCP/IP NetBIOS Helper Service |
|
Dhcp |
DHCP Client |
|
NtLmSsp |
NTLM Security Support Provider |
|
TermService |
Terminal Services |
|
MSIServer |
Windows Installer |
|
Wmi |
Windows Management Instrumentation Driver Extensions |
|
WMIApSrv |
WMI Performance Adapter |
|
ErrRep |
Error Reporting |
Windows XP系统建议禁用服务列表:
|
服务 |
用途 |
|
NetMeeting Remote Desktop Sharing |
允许授权的用户通过NetMeeting在网络上互相访问对方。 |
|
Universal Plug and Play Device Host |
此服务是为通用的即插即用设备提供支持。这项服务存在一个安全漏洞,运行此服务的计算机很容易受到攻击。 |
|
Messenger |
俗称信使服务,这是一个危险而讨厌的服务,Messenger服务基本上是用在企业的网络管理上,但是垃圾邮件和垃圾广告厂商,也经常利用该服务发布弹出式广告 |
|
Terminal Services |
允许多位用户连接并控制一台机器 |
|
Remote Registry |
使远程用户能修改此计算机上的注册表设置。 |
|
Fast User Switching Compatibility |
在多用户下为需要协助的应用程序提供管理。 |
|
Telnet |
允许远程用户登录到此计算机并运行程序 |
|
Remote Desktop Help Session Manager |
如果此服务被终止,远程协助将不可用。 |
|
TCP/IP NetBIOS Helper |
NetBIOS在Win 9X下就经常有人用它来进行攻击,对于不需要文件和打印共享的用户,此项也可以禁用。 |
|
Error Reporting |
服务和应用程序在非标准环境下运行时,允许错误报告。 |
|
Print Spooler |
将文件加载到内存中以便稍后打印。如果没装打印机,可以禁用。 |
