图片: | |
---|---|
名称: | |
描述: | |
网络安全的防范,我们需要堵住黑客常用缺口,从禁止端口和禁用服务入手。
一、禁用不必要的端口和协议
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,所以端口配置正确与否直接影响到我们主机的安全。一般来说,仅打开需要使用的端口会比较安全,不过关闭端口意味着减少功能,所以我们需要在安全和功能上面做一些平衡。对于那些我们根本用不着的功能,就没必要将端口开给黑客了,所以作为管理员,我关闭了平时不常使用的协议和端口。
在配置系统协议时,不需要的协议统统删除。对于服务器和主机来说,一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”,卸载不必要的协议(如图1)。NETBIOS是很多安全缺陷的源泉,对于不需要提供文件和打印共享的主机,还可以将绑定在TCP/IP协议的NETBIOS给关闭,避免针对NETBIOS的攻击。选择[TCP/IP协议]→[属性]→[高级],进入“高级TCP/IP设置”对话框,选择“WINS”标签,勾选“禁用TCP/IP上的NETBIOS”一项(如图2),关闭NETBIOS。
当然,对于文件和打印共享服务的137、138、139和445端口,还可以采用以下的方法来关闭。鼠标右击“网络邻居”,选择“属性”,选择“网络和拨号连接”对话框的“高级”菜单,选择“高级设置”命令,进入高级设置对话框(如图3),在出现的画面中的上部选择所需的连接,下部取消“文件和打印机共享”项(保持空选),即可禁止这几个端口。
另外对于协议和端口的限制,也可采用以下方法:[网上邻居]→[属性]→[本地连接] →[属性]→[Internet 协议(TCP/IP)]→[属性]→[高级]→[选项]→[TCP/IP筛选]→[属性],勾选“启用TCP/IP筛选”,只允许需要的TCP ,UDP端口和协议即可。不过对于Windows 2000的端口过滤来说,有一个不好的特性:只能规定打开哪些端口,不能规定关闭哪些端口,这样对于需要开大量端口的用户就比较痛苦,而且由于端口过滤有时会阻塞合法的连接,占用的资源太多,对主机性能有些影响,所以一般只在网络边界的网关上进行端口过滤,在一般的Windows主机上可以不做。
二、禁用不必要的服务
禁用服务的方法:进入控制面板的“管理工具”,运行“服务”,进入服务界面,双击右侧列表中需要禁用的服务,在打开的服务属性的常规标签页“启动类型”一栏,点击小三角形按钮选择“已禁用”(如图4),再点击[停止]按钮,最后确定即可。禁用服务不但可以让您的系统更加安全,也可以让电脑速度运行得更加快哦,一举两得。
除非特别需要,否则一般情况下Windows 2000需要禁用以下一些服务:
服 务
用 途
alerter
通知所选用户和计算机有关系统管理级警报。
clipbook
支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。
computer browser
维护网络上计算机的最新列表以及提供这个列表给请求的程序。
dhcp client
通过注册和更改 ip 地址以及 dns 名称来管理网络配置。
messenger
发送和接收系统管理员或者“警报器”服务传递的消息。
net logon
支持网络上计算机 pass-through 账户登录身份验证事件。
network dde
提供动态数据交换 (dde) 的网络传输和安全特性。
network dde dsdm
管理网络 dde 的共享动态数据交换。
runas service
在不同凭据下启用启动过程。
remote registry service
允许远程注册表操作。
server
提供 rpc 支持、文件、打印以及命名管道共享。
task scheduler
允许程序在指定时间运行。
tcp/ip netbios helper service
允许对“tcp/ip 上 netbios (netbt)”服务以及 netbios 名称解析的持。
telnet
允许远程用户登录到系统并且使用命令行运行控制台程序。
workstation
提供网络链接和通讯。
Win2003系统建议禁用服务列表:
服务
用途
BITS
Background Intelligent Transfer Service
Browser
Computer Browser
Dhcp
DHCP Client
NtLmSsp
NTLM Security Support Provider
NLA
Network Location Awareness
SysmonLog
Performance Logs and Alerts
SrvcSurg
Remote Administration Service
RemoteRegistry
Remote Registry Service
lanmanserver
Server
LmHosts
TCP/IP NetBIOS Helper Service
Dhcp
DHCP Client
NtLmSsp
NTLM Security Support Provider
TermService
Terminal Services
MSIServer
Windows Installer
Wmi
Windows Management Instrumentation Driver Extensions
WMIApSrv
WMI Performance Adapter
ErrRep
Error Reporting
Windows XP系统建议禁用服务列表:
服务
用途
NetMeeting Remote Desktop Sharing
允许授权的用户通过NetMeeting在网络上互相访问对方。
Universal Plug and Play Device Host
此服务是为通用的即插即用设备提供支持。这项服务存在一个安全漏洞,运行此服务的计算机很容易受到攻击。
Messenger
俗称信使服务,这是一个危险而讨厌的服务,Messenger服务基本上是用在企业的网络管理上,但是垃圾邮件和垃圾广告厂商,也经常利用该服务发布弹出式广告
Terminal Services
允许多位用户连接并控制一台机器
Remote Registry
使远程用户能修改此计算机上的注册表设置。
Fast User Switching Compatibility
在多用户下为需要协助的应用程序提供管理。
Telnet
允许远程用户登录到此计算机并运行程序
Remote Desktop Help Session Manager
如果此服务被终止,远程协助将不可用。
TCP/IP NetBIOS Helper
NetBIOS在Win 9X下就经常有人用它来进行攻击,对于不需要文件和打印共享的用户,此项也可以禁用。
Error Reporting
服务和应用程序在非标准环境下运行时,允许错误报告。
Print Spooler
将文件加载到内存中以便稍后打印。如果没装打印机,可以禁用。