網絡安全的防范,我們需要堵住黑客常用缺口,從禁止端口和禁用服務入手。
一、禁用不必要的端口和協議 端口是計算機和外部網絡相連的邏輯接口,也是計算機的第一道屏障,所以端口配置正確與否直接影響到我們主機的安全。一般來說,僅打開需要使用的端口會比較安全,不過關閉端口意味著減少功能,所以我們需要在安全和功能上面做一些平衡。對於那些我們根本用不著的功能,就沒必要將端口開給黑客了,所以作為管理員,我關閉了平時不常使用的協議和端口。
在配置系統協議時,不需要的協議統統刪除。對於服務器和主機來說,一般只安裝TCP/IP協議就夠了。鼠標右擊“網絡鄰居”,選擇“屬性”,再鼠標右擊“本地連接”,選擇“屬性”,卸載不必要的協議(如圖1)。NETBIOS是很多安全缺陷的源泉,對於不需要提供文件和打印共享的主機,還可以將綁定在TCP/IP協議的NETBIOS給關閉,避免針對NETBIOS的攻擊。選擇[TCP/IP協議]→[屬性]→[高級],進入“高級TCP/IP設置”對話框,選擇“WINS”標簽,勾選“禁用TCP/IP上的NETBIOS”一項(如圖2),關閉NETBiOS。
圖一
圖二 當然,對於文件和打印共享服務的137、138、139和445端口,還可以采用以下的方法來關閉。鼠標右擊“網絡鄰居”,選擇“屬性”,選擇“網絡和撥號連接”對話框的“高級”菜單,選擇“高級設置”命令,進入高級設置對話框(如圖3),在出現的畫面中的上部選擇所需的連接,下部取消“文件和打印機共享”項(保持空選),即可禁止這幾個端口。
圖三 另外對於協議和端口的限制,也可采用以下方法:[網上鄰居]→[屬性]→[本地連接] →[屬性]→[Internet 協議(TCP/IP)]→[屬性]→[高級]→[選項]→[TCP/IP篩選]→[屬性],勾選“啟用TCP/IP篩選”,只允許需要的TCP ,UDP端口和協議即可。不過對於Windows 2000的端口過濾來說,有一個不好的特性:只能規定打開哪些端口,不能規定關閉哪些端口,這樣對於需要開大量端口的用戶就比較痛苦,而且由於端口過濾有時會阻塞合法的連接,占用的資源太多,對主機性能有些影響,所以一般只在網絡邊界的網關上進行端口過濾,在一般的Windows主機上可以不做。
二、禁用不必要的服務 禁用服務的方法:進入控制面板的“管理工具”,運行“服務”,進入服務界面,雙擊右側列表中需要禁用的服務,在打開的服務屬性的常規標簽頁“啟動類型”一欄,點擊小三角形按鈕選擇“已禁用”(如圖4),再點擊[停止]按鈕,最後確定即可。禁用服務不但可以讓您的系統更加安全,也可以讓電腦速度運行得更加快哦,一舉兩得。
圖四 Windows 2000需要禁用以下一些服務
表一 Win2003系統建議禁用服務列表
表二
Windows XP系統建議禁用服務列表
表三