既然認(rèn)識(shí)了黑客攻擊的危害性�����,而我們又不能"群起而攻之"�����,那樣做太有違"俠義精神"了�����!所謂無(wú)風(fēng)不起浪�����,如果我們堵住系統(tǒng)的缺口�����,讓黑客無(wú)處下手�����,豈不更好�����!來(lái)看看都有哪些是黑客經(jīng)常攻擊的缺口�����。
★不必要的協(xié)議和端口
端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口,也是計(jì)算機(jī)的第一道屏障�����,所以端口配置正確與否直接影響到我們主機(jī)的安全�����。一般來(lái)說�����,僅打開需要使用的端口會(huì)比較安全�����,不過關(guān)閉端口意味著減少功能�����,所以我們需要在安全和功能上面做一些平衡�����。對(duì)于那些我們根本用不著的功能�����,就沒必要將端口開給黑客了�����,所以作為管理員�����,我關(guān)閉了平時(shí)不常使用的協(xié)議和端口�����。
在配置系統(tǒng)協(xié)議時(shí)�����,不需要的協(xié)議統(tǒng)統(tǒng)刪除�����。對(duì)于服務(wù)器和主機(jī)來(lái)說�����,一般只安裝TCP/IP協(xié)議就夠了。鼠標(biāo)右擊"網(wǎng)絡(luò)鄰居"�����,選擇"屬性"�����,再鼠標(biāo)右擊"本地連接"�����,選擇"屬性"�����,卸載不必要的協(xié)議(如圖1)�����。NETBIOS是很多安全缺陷的源泉�����,對(duì)于不需要提供文件和打印共享的主機(jī),還可以將綁定在TCP/IP協(xié)議的NETBIOS給關(guān)閉�����,避免針對(duì)NETBIOS的攻擊�����。選擇[TCP/IP協(xié)議]→[屬性]→[高級(jí)]�����,進(jìn)入"高級(jí)TCP/IP設(shè)置"對(duì)話框�����,選擇"WINS"標(biāo)簽�����,勾選"禁用TCP/IP上的NETBIOS"一項(xiàng)(如圖2)�����,關(guān)閉NETBIOS�����。
圖1 卸載不必要的協(xié)議
當(dāng)然�����,對(duì)于文件和打印共享服務(wù)的137�����、138�����、139和445端口�����,還可以采用以下的方法來(lái)關(guān)閉�����。鼠標(biāo)右擊"網(wǎng)絡(luò)鄰居"�����,選擇"屬性",選擇"網(wǎng)絡(luò)和撥號(hào)連接"對(duì)話框的"高級(jí)"菜單�����,選擇"高級(jí)設(shè)置"命令�����,進(jìn)入高級(jí)設(shè)置對(duì)話框(如圖3)�����,在出現(xiàn)的畫面中的上部選擇所需的連接�����,下部取消"文件和打印機(jī)共享"項(xiàng)(保持空選)�����,即可禁止這幾個(gè)端口�����。
圖2 關(guān)閉NETBIOS
另外對(duì)于協(xié)議和端口的限制�����,也可采用以下方法:[網(wǎng)上鄰居]→[屬性]→[本地連接] →[屬性]→[Internet 協(xié)議(TCP/IP)]→[屬性]→[高級(jí)]→[選項(xiàng)]→[TCP/IP篩選]→[屬性]�����,勾選"啟用TCP/IP篩選"�����,只允許需要的TCP �����,UDP端口和協(xié)議即可�����。不過對(duì)于Windows 2000的端口過濾來(lái)說�����,有一個(gè)不好的特性:只能規(guī)定打開哪些端口�����,不能規(guī)定關(guān)閉哪些端口,這樣對(duì)于需要開大量端口的用戶就比較痛苦�����,而且由于端口過濾有時(shí)會(huì)阻塞合法的連接�����,占用的資源太多�����,對(duì)主機(jī)性能有些影響�����,所以一般只在網(wǎng)絡(luò)邊界的網(wǎng)關(guān)上進(jìn)行端口過濾�����,在一般的Windows主機(jī)上可以不做�����。
圖3 關(guān)閉打印共享端口
圖4 禁用服務(wù)
★不必要的服務(wù)
服務(wù)開的多可以給管理帶來(lái)方便�����,但開的太多卻不是個(gè)好事�����,特別是對(duì)于那些我這個(gè)管理員都不知道是干什么的服務(wù)�����,最好關(guān)掉�����,免得給系統(tǒng)帶來(lái)災(zāi)難�����。所以在不需要遠(yuǎn)程管理計(jì)算機(jī)時(shí)�����,我都會(huì)將有關(guān)遠(yuǎn)程網(wǎng)絡(luò)登錄的服務(wù)關(guān)掉�����。
進(jìn)入控制面板的"管理工具",運(yùn)行"服務(wù)"�����,進(jìn)入服務(wù)界面�����,雙擊右側(cè)列表中需要禁用的服務(wù)�����,在打開的服務(wù)屬性的常規(guī)標(biāo)簽頁(yè)"啟動(dòng)類型"一欄�����,點(diǎn)擊小三角形按鈕選擇"已禁用"(如圖4)�����,再點(diǎn)擊[啟動(dòng)]按鈕�����,最后確定即可�����。除非特別需要�����,否則一般情況下需要禁用以下一些服務(wù):
把這些服務(wù)停止之后�����,不僅能保證Windows 2000的安全性�����,還可以提高其運(yùn)行速度呢�����,可謂一舉兩得�����。
通過以上的操作�����,我們就可以堵住黑客入侵時(shí)的必經(jīng)之路,從而保障主機(jī)的安全性�����,在進(jìn)行Windows 2000的設(shè)置時(shí)�����,我們只要記住一個(gè)原則�����,那就是:最小的權(quán)限+最少的服務(wù)=最大的安全�����。
| 服 務(wù) |
用 途 |
| alerter |
通知所選用戶和計(jì)算機(jī)有關(guān)系統(tǒng)管理級(jí)警報(bào)�����。 |
| clipbook |
支持"剪貼簿查看器"�����,以便可以從遠(yuǎn)程剪貼簿查閱剪貼頁(yè)面�����。 |
| computer browser |
維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表給請(qǐng)求的程序�����。 |
| dhcp client |
通過注冊(cè)和更改 ip 地址以及 dns 名稱來(lái)管理網(wǎng)絡(luò)配置�����。 |
| messenger |
發(fā)送和接收系統(tǒng)管理員或者"警報(bào)器"服務(wù)傳遞的消息�����。 |
| net logon |
支持網(wǎng)絡(luò)上計(jì)算機(jī) pass-through 賬戶登錄身份驗(yàn)證事件�����。 |
| network dde |
提供動(dòng)態(tài)數(shù)據(jù)交換 (dde) 的網(wǎng)絡(luò)傳輸和安全特性�����。 |
| network dde dsdm |
管理網(wǎng)絡(luò) dde 的共享動(dòng)態(tài)數(shù)據(jù)交換�����。 |
| runas service |
在不同憑據(jù)下啟用啟動(dòng)過程。 |
| remote registry service |
允許遠(yuǎn)程注冊(cè)表操作�����。 |
| server |
提供 rpc 支持�����、文件�����、打印以及命名管道共享�����。 |
| task scheduler |
允許程序在指定時(shí)間運(yùn)行�����。 |
| tcp/ip netbios helper service |
允許對(duì)"tcp/ip 上 netbios (netbt)"服務(wù)以及 netbios 名稱解析的持�����。 |
| telnet |
允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺(tái)程序�����。 |
| workstation |
提供網(wǎng)絡(luò)鏈接和通訊�����。 |
關(guān)鍵詞標(biāo)簽:黑客,安全防范
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程
虛擬主機(jī)中ASPX一些安全設(shè)置
“和諧”內(nèi)網(wǎng)保護(hù)神——ProVisa內(nèi)網(wǎng)安全管理
Discuz!配置文件中的安全設(shè)置