系統安全妙招

  網路安全的防範,我們需要堵住黑客常用缺口,從禁止埠和禁用服務入手,下面一起來,想了解更多,請繼續關注本欄目。

  一、禁用不必要的埠和協議

  埠是計算機和外部網路相連的邏輯介面,也是計算機的第一道屏障,所以埠配置正確與否直接影響到我們主機的安全。一般來說,僅開啟需要使用的埠會比較安全,不過關閉埠意味著減少功能,所以我們需要在安全和功能上面做一些平衡。對於那些我們根本用不著的功能,就沒必要將埠開給黑客了,所以作為管理員,我關閉了平時不常使用的協議和埠。

  在配置系統協議時,不需要的協議統統刪除。對於伺服器和主機來說,一般只安裝TCP/IP協議就夠了。滑鼠右擊“網路鄰居”,選擇“屬性”,再滑鼠右擊“本地連線”,選擇“屬性”,解除安裝不必要的協議如圖1。NETBIOS是很多安全缺陷的源泉,對於不需要提供檔案和列印共享的主機,還可以將繫結在TCP/IP協議的NETBIOS給關閉,避免針對NETBIOS的攻擊。選擇[TCP/IP協議]→[屬性]→[高階],進入“高階TCP/IP設定”對話方塊,選擇“WINS”標籤,勾選“禁用TCP/IP上的NETBIOS”一項如圖2,關閉NETBIOS。

  圖1 解除安裝不必要的協議

  當然,對於檔案和列印共享服務的137、138、139和445埠,還可以採用以下的方法來關閉。滑鼠右擊“網路鄰居”,選擇“屬性”,選擇“網路和撥號連線”對話方塊的“高階”選單,選擇“高階設定”命令,進入高階設定對話方塊如圖3,在出現的畫面中的上部選擇所需的連線,下部取消“檔案和印表機共享”項保持空選,即可禁止這幾個埠。

  圖2 關閉NETBIOS

  另外對於協議和埠的限制,也可採用以下方法:[網路上的芳鄰]→[屬性]→[本地連線] →[屬性]→[Internet 協議TCP/IP]→[屬性]→[高階]→[選項]→[TCP/IP篩選]→[屬性],勾選“啟用TCP/IP篩選”,只允許需要的TCP ,UDP埠和協議即可。不過對於Windows 2000的埠過濾來說,有一個不好的特性:只能規定開啟哪些埠,不能規定關閉哪些埠,這樣對於需要開大量埠的使用者就比較痛苦,而且由於埠過濾有時會阻塞合法的連線,佔用的資源太多,對主機效能有些影響,所以一般只在網路邊界的閘道器上進行埠過濾,在一般的Windows主機上可以不做。

  圖3 關閉列印共享埠

  二、禁用不必要的服務

  禁用服務的方法:進入控制面板的“管理工具”,執行“服務”,進入服務介面,雙擊右側列表中需要禁用的服務,在開啟的服務屬性的常規標籤頁“啟動型別”一欄,點選小三角形按鈕選擇“已禁用”如圖4,再點選[停止]按鈕,最後確定即可。禁用服務不但可以讓您的系統更加安全,也可以讓電腦速度執行得更加快哦,一舉兩得。

  圖4 禁用服務

  除非特別需要,否則一般情況下Windows 2000需要禁用以下一些服務:

服 務 用 途
alerter 通知所選使用者和計算機有關係統管理級警報。
clipbook 支援“剪貼簿檢視器”,以便可以從遠端剪貼簿查閱剪貼頁面。
computer browser 維護網路上計算機的最新列表以及提供這個列表給請求的程式。
dhcp client 通過註冊和更改 ip 地址以及 dns 名稱來管理網路配置。
messenger 傳送和接收系統管理員或者“警報器”服務傳遞的訊息。
net logon 支援網路上計算機 pass-through 賬戶登入身份驗證事件。
network dde 提供動態資料交換 dde 的網路傳輸和安全特性。
network dde dsdm 管理網路 dde 的共享動態資料交換。
runas service 在不同憑據下啟用啟動過程。
remote registry service 允許遠端登錄檔操作。
server 提供 rpc 支援、檔案、列印以及命名管道共享。
task scheduler 允許程式在指定時間執行。
tcp/ip netbios helper service 允許對“tcp/ip 上 netbios netbt”服務以及 netbios 名稱解析的持。
telnet 允許遠端使用者登入到系統並且使用命令列執行控制檯程式。
workstation 提供網路連結和通訊。
  Win2003系統建議禁用服務列表:
服 務 用途
BITS Background Intelligent Transfer Service
Browser Computer Browser
Dhcp DHCP Client
NtLmSsp NTLM Security Support Provider
NLA Network Location Awareness
SysmonLog Performance Logs and Alerts
SrvcSurg Remote Administration Service
RemoteRegistry Remote Registry Service
lanmanserver Server
LmHosts TCP/IP NetBIOS Helper Service
Dhcp DHCP Client
NtLmSsp NTLM Security Support Provider
TermService Terminal Services
MSIServer Windows Installer
Wmi Windows Management Instrumentation Driver Extensions
WMIApSrv WMI Performance Adapter
ErrRep Error Reporting
  Windows XP系統建議禁用服務列表:
服務 用途
NetMeeting Remote Desktop Sharing 允許授權的使用者通過NetMeeting在網路上互相訪問對方。
Universal Plug and Play Device Host 此服務是為通用的即插即用裝置提供支援。這項服務存在一個安全漏洞,執行此服務的計算機很容易受到攻擊。
Messenger 俗稱信使服務,這是一個危險而討厭的服務,Messenger服務基本上是用在企業的網路管理上,但是垃圾郵件和垃圾廣告廠商,也經常利用該服務釋出彈出式廣告
Terminal Services 允許多位使用者連線並控制一臺機器
Remote Registry 使遠端使用者能修改此計算機上的登錄檔設定。
Fast User Switching Compatibility 在多使用者下為需要協助的應用程式提供管理。
Telnet 允許遠端使用者登入到此計算機並執行程式
Remote Desktop Help Session Manager 如果此服務被終止,遠端協助將不可用。
TCP/IP NetBIOS Helper NetBIOS在Win 9X下就經常有人用它來進行攻擊,對於不需要檔案和列印共享的使用者,此項也可以禁用。
Error Reporting 服務和應用程式在非標準環境下執行時,允許錯誤報告。
Print Spooler 將檔案載入到記憶體中以便稍後列印。如果沒裝印表機,可以禁用。