既然认识了黑客攻击的危害性,而我们又不能“群起而攻之”,那样做太有违“侠义精神”了!所谓无风不起浪,如果我们堵住系统的缺口,让黑客无处下手,岂不更好!来看看都有哪些是黑客经常攻击的缺口。
不必要的协议和端口
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,所以端口配置正确与否直接影响到我们主机的安全。一般来说,仅打开需要使用的端口会比较安全,不过关闭端口意味着减少功能,所以我们需要在安全和功能上面做一些平衡。对于那些我们根本用不着的功能,就没必要将端口开给黑客了,所以作为管理员,我关闭了平时不常使用的协议和端口。
在配置系统协议时,不需要的协议统统删除。对于服务器和主机来说,一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”,卸载不必要的协议(如图1)。NETBIOS是很多安全缺陷的源泉,对于不需要提供文件和打印共享的主机,还可以将绑定在TCP/IP协议的NETBIOS给关闭,避免针对NETBIOS的攻击。选择[TCP/IP协议]→[属性]→[高级],进入“高级TCP/IP设置”对话框,选择“WINS”标签,勾选“禁用TCP/IP上的NETBIOS”一项(如图2),关闭NETBIOS。
图1卸载不必要的协议
当然,对于文件和打印共享服务的137、138、139和445端口,还可以采用以下的方法来关闭。鼠标右击“网络邻居”,选择“属性”,选择“网络和拨号连接”对话框的“高级”菜单,选择“高级设置”命令,进入高级设置对话框(如图3),在出现的画面中的上部选择所需的连接,下部取消“文件和打印机共享”项(保持空选),即可禁止这几个端口。
图2关闭NETBIOS
另外对于协议和端口的限制,也可采用以下方法:[网上邻居]→[属性]→[本地连接]→[属性]→[Internet协议(TCP/IP)]→[属性]→[高级]→[选项]→[TCP/IP筛选]→[属性],勾选“启用TCP/IP筛选”,只允许需要的TCP,UDP端口和协议即可。不过对于Windows 2000的端口过滤来说,有一个不好的特性:只能规定打开哪些端口,不能规定关闭哪些端口,这样对于需要开大量端口的用户就比较痛苦,而且由于端口过滤有时会阻塞合法的连接,占用的资源太多,对主机性能有些影响,所以一般只在网络边界的网关上进行端口过滤,在一般的Windows主机上可以不做。
图3关闭打印共享端口
图4禁用服务
不必要的服务
服务开的多可以给管理带来方便,但开的太多却不是个好事,特别是对于那些我这个管理员都不知道是干什么的服务,最好关掉,免得给系统带来灾难。所以在不需要远程管理计算机时,我都会将有关远程网络登录的服务关掉。
进入控制面板的“管理工具”,运行“服务”,进入服务界面,双击右侧列表中需要禁用的服务,在打开的服务属性的常规标签页“启动类型”一栏,点击小三角形按钮选择“已禁用”(如图4),再点击[启动]按钮,最后确定即可。除非特别需要,否则一般情况下需要禁用以下一些服务:
把这些服务停止之后,不仅能保证Windows 2000的安全性,还可以提高其运行速度呢,可谓一举两得。
通过以上的操作,我们就可以堵住黑客入侵时的必经之路,从而保障主机的安全性,在进行Windows 2000的设置时,我们只要记住一个原则,那就是:最小的权限+最少的服务=最大的安全。
服 务
用 途
alerter
通知所选用户和计算机有关系统管理级警报。
clipbook
支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。
computer browser
维护网络上计算机的最新列表以及提供这个列表给请求的程序。
dhcp client
通过注册和更改 ip 地址以及 dns 名称来管理网络配置。
messenger
发送和接收系统管理员或者“警报器”服务传递的消息。
net logon
支持网络上计算机 pass-through 账户登录身份验证事件。
network dde
提供动态数据交换 (dde) 的网络传输和安全特性。
network dde dsdm
管理网络 dde 的共享动态数据交换。
runas service
在不同凭据下启用启动过程。
remote registry
service
允许远程注册表操作。
server
提供 rpc 支持、文件、打印以及命名管道共享。
task scheduler
允许程序在指定时间运行。
tcp/ip netbios
helper service
允许对“tcp/ip 上 netbios (netbt)”服务以及 netbios 名称解析的持。
telnet
允许远程用户登录到系统并且使用命令行运行控制台程序。
workstation
提供网络链接和通讯。