堵住黑客常用缺口 從禁止端口入手

既然認識了黑客攻擊的危害性，而我們又不能“群起而攻之”，那樣做太有違“俠義精神”了!所謂無風不起浪，如果我們堵住系統的缺口，讓黑客無處下手，豈不更好!來看看都有哪些是黑客經常攻擊的缺口。

　　★不必要的協議和端口

　　端口是計算機和外部網絡相連的邏輯接口，也是計算機的第一道屏障，所以端口配置正確與否直接影響到我們主機的安全。一般來說，僅打開需要使用的端口會比較安全，不過關閉端口意味著減少功能，所以我們需要在安全和功能上面做一些平衡。對于那些我們根本用不著的功能，就沒必要將端口開給黑客了，所以作為管理員，我關閉了平時不常使用的協議和端口。

　　在配置系統協議時，不需要的協議統統刪除。對于服務器和主機來說，一般只安裝TCP/IP協議就夠了。鼠標右擊“網絡鄰居”，選擇“屬性”，再鼠標右擊“本地連接”，選擇“屬性”，卸載不必要的協議(如圖1)。NETBIOS是很多安全缺陷的源泉，對于不需要提供文件和打印共享的主機，還可以將綁定在TCP/IP協議的NETBIOS給關閉，避免針對NETBIOS的攻擊。選擇[TCP/IP協議]→[屬性]→[高級]，進入“高級TCP/IP設置”對話框，選擇“WINS”標簽，勾選“禁用TCP/IP上的NETBIOS”一項(如圖2)，關閉NETBIOS。

　　

　　圖1 卸載不必要的協議

　　當然，對于文件和打印共享服務的137、138、139和445端口，還可以采用以下的方法來關閉。鼠標右擊“網絡鄰居”，選擇“屬性”，選擇“網絡和撥號連接”對話框的“高級”菜單，選擇“高級設置”命令，進入高級設置對話框(如圖3)，在出現的畫面中的上部選擇所需的連接，下部取消“文件和打印機共享”項(保持空選)，即可禁止這幾個端口。

　　

　　圖2 關閉NETBIOS

　　另外對于協議和端口的限制，也可采用以下方法：[網上鄰居]→[屬性]→[本地連接] →[屬性]→[Internet 協議(TCP/IP)]→[屬性]→[高級]→[選項]→[TCP/IP篩選]→[屬性]，勾選“啟用TCP/IP篩選”，只允許需要的TCP ，UDP端口和協議即可。不過對于Windows 2000的端口過濾來說，有一個不好的特性：只能規定打開哪些端口，不能規定關閉哪些端口，這樣對于需要開大量端口的用戶就比較痛苦，而且由于端口過濾有時會阻塞合法的連接，占用的資源太多，對主機性能有些影響，所以一般只在網絡邊界的網關上進行端口過濾，在一般的Windows主機上可以不做。

　　

　　圖3 關閉打印共享端口

　　

　　圖4 禁用服務

　　★不必要的服務

　　服務開的多可以給管理帶來方便，但開的太多卻不是個好事，特別是對于那些我這個管理員都不知道是干什么的服務，最好關掉，免得給系統帶來災難。所以在不需要遠程管理計算機時，我都會將有關遠程網絡登錄的服務關掉。

　　進入控制面板的“管理工具”，運行“服務”，進入服務界面，雙擊右側列表中需要禁用的服務，在打開的服務屬性的常規標簽頁“啟動類型”一欄，點擊小三角形按鈕選擇“已禁用”(如圖4)，再點擊[啟動]按鈕，最后確定即可。除非特別需要，否則一般情況下需要禁用以下一些服務：

　　把這些服務停止之后，不僅能保證Windows 2000的安全性，還可以提高其運行速度呢，可謂一舉兩得。

　　通過以上的操作，我們就可以堵住黑客入侵時的必經之路，從而保障主機的安全性，在進行Windows 2000的設置時，我們只要記住一個原則，那就是：最小的權限+最少的服務=最大的安全。

原文轉自：http://www.anti-gravitydesign.com