系統安全妙招
網路安全的防範,我們需要堵住黑客常用缺口,從禁止埠和禁用服務入手,下面一起來,想了解更多,請繼續關注本欄目。
一、禁用不必要的埠和協議
埠是計算機和外部網路相連的邏輯介面,也是計算機的第一道屏障,所以埠配置正確與否直接影響到我們主機的安全。一般來說,僅開啟需要使用的埠會比較安全,不過關閉埠意味著減少功能,所以我們需要在安全和功能上面做一些平衡。對於那些我們根本用不著的功能,就沒必要將埠開給黑客了,所以作為管理員,我關閉了平時不常使用的協議和埠。
在配置系統協議時,不需要的協議統統刪除。對於伺服器和主機來說,一般只安裝TCP/IP協議就夠了。滑鼠右擊“網路鄰居”,選擇“屬性”,再滑鼠右擊“本地連線”,選擇“屬性”,解除安裝不必要的協議如圖1。NETBIOS是很多安全缺陷的源泉,對於不需要提供檔案和列印共享的主機,還可以將繫結在TCP/IP協議的NETBIOS給關閉,避免針對NETBIOS的攻擊。選擇[TCP/IP協議]→[屬性]→[高階],進入“高階TCP/IP設定”對話方塊,選擇“WINS”標籤,勾選“禁用TCP/IP上的NETBIOS”一項如圖2,關閉NETBIOS。
圖1 解除安裝不必要的協議
當然,對於檔案和列印共享服務的137、138、139和445埠,還可以採用以下的方法來關閉。滑鼠右擊“網路鄰居”,選擇“屬性”,選擇“網路和撥號連線”對話方塊的“高階”選單,選擇“高階設定”命令,進入高階設定對話方塊如圖3,在出現的畫面中的上部選擇所需的連線,下部取消“檔案和印表機共享”項保持空選,即可禁止這幾個埠。
圖2 關閉NETBIOS
另外對於協議和埠的限制,也可採用以下方法:[網路上的芳鄰]→[屬性]→[本地連線] →[屬性]→[Internet 協議TCP/IP]→[屬性]→[高階]→[選項]→[TCP/IP篩選]→[屬性],勾選“啟用TCP/IP篩選”,只允許需要的TCP ,UDP埠和協議即可。不過對於Windows 2000的埠過濾來說,有一個不好的特性:只能規定開啟哪些埠,不能規定關閉哪些埠,這樣對於需要開大量埠的使用者就比較痛苦,而且由於埠過濾有時會阻塞合法的連線,佔用的資源太多,對主機效能有些影響,所以一般只在網路邊界的閘道器上進行埠過濾,在一般的Windows主機上可以不做。
圖3 關閉列印共享埠
二、禁用不必要的服務
禁用服務的方法:進入控制面板的“管理工具”,執行“服務”,進入服務介面,雙擊右側列表中需要禁用的服務,在開啟的服務屬性的常規標籤頁“啟動型別”一欄,點選小三角形按鈕選擇“已禁用”如圖4,再點選[停止]按鈕,最後確定即可。禁用服務不但可以讓您的系統更加安全,也可以讓電腦速度執行得更加快哦,一舉兩得。
圖4 禁用服務
除非特別需要,否則一般情況下Windows 2000需要禁用以下一些服務:
| 服 務 | 用 途 |
| alerter | 通知所選使用者和計算機有關係統管理級警報。 |
| clipbook | 支援“剪貼簿檢視器”,以便可以從遠端剪貼簿查閱剪貼頁面。 |
| computer browser | 維護網路上計算機的最新列表以及提供這個列表給請求的程式。 |
| dhcp client | 通過註冊和更改 ip 地址以及 dns 名稱來管理網路配置。 |
| messenger | 傳送和接收系統管理員或者“警報器”服務傳遞的訊息。 |
| net logon | 支援網路上計算機 pass-through 賬戶登入身份驗證事件。 |
| network dde | 提供動態資料交換 dde 的網路傳輸和安全特性。 |
| network dde dsdm | 管理網路 dde 的共享動態資料交換。 |
| runas service | 在不同憑據下啟用啟動過程。 |
| remote registry service | 允許遠端登錄檔操作。 |
| server | 提供 rpc 支援、檔案、列印以及命名管道共享。 |
| task scheduler | 允許程式在指定時間執行。 |
| tcp/ip netbios helper service | 允許對“tcp/ip 上 netbios netbt”服務以及 netbios 名稱解析的持。 |
| telnet | 允許遠端使用者登入到系統並且使用命令列執行控制檯程式。 |
| workstation | 提供網路連結和通訊。 |
| 服 務 | 用途 |
| BITS | Background Intelligent Transfer Service |
| Browser | Computer Browser |
| Dhcp | DHCP Client |
| NtLmSsp | NTLM Security Support Provider |
| NLA | Network Location Awareness |
| SysmonLog | Performance Logs and Alerts |
| SrvcSurg | Remote Administration Service |
| RemoteRegistry | Remote Registry Service |
| lanmanserver | Server |
| LmHosts | TCP/IP NetBIOS Helper Service |
| Dhcp | DHCP Client |
| NtLmSsp | NTLM Security Support Provider |
| TermService | Terminal Services |
| MSIServer | Windows Installer |
| Wmi | Windows Management Instrumentation Driver Extensions |
| WMIApSrv | WMI Performance Adapter |
| ErrRep | Error Reporting |
| 服務 | 用途 |
| NetMeeting Remote Desktop Sharing | 允許授權的使用者通過NetMeeting在網路上互相訪問對方。 |
| Universal Plug and Play Device Host | 此服務是為通用的即插即用裝置提供支援。這項服務存在一個安全漏洞,執行此服務的計算機很容易受到攻擊。 |
| Messenger | 俗稱信使服務,這是一個危險而討厭的服務,Messenger服務基本上是用在企業的網路管理上,但是垃圾郵件和垃圾廣告廠商,也經常利用該服務釋出彈出式廣告 |
| Terminal Services | 允許多位使用者連線並控制一臺機器 |
| Remote Registry | 使遠端使用者能修改此計算機上的登錄檔設定。 |
| Fast User Switching Compatibility | 在多使用者下為需要協助的應用程式提供管理。 |
| Telnet | 允許遠端使用者登入到此計算機並執行程式 |
| Remote Desktop Help Session Manager | 如果此服務被終止,遠端協助將不可用。 |
| TCP/IP NetBIOS Helper | NetBIOS在Win 9X下就經常有人用它來進行攻擊,對於不需要檔案和列印共享的使用者,此項也可以禁用。 |
| Error Reporting | 服務和應用程式在非標準環境下執行時,允許錯誤報告。 |
| Print Spooler | 將檔案載入到記憶體中以便稍後列印。如果沒裝印表機,可以禁用。 |