安全是重中之重，以最少的服務(wù)換取最大的安全。通過只啟用需要用到的服務(wù)、關(guān)閉暫時(shí)用不到的服務(wù)或不用的服務(wù)，這樣最大程度來提高安全性。

作為web服務(wù)器，并不是所有默認(rèn)服務(wù)都需要的，所以像打印、共享服務(wù)都可以禁用。當(dāng)然了，你的系統(tǒng)補(bǔ)丁也需要更新到最新，一些端口的漏洞已經(jīng)隨著補(bǔ)丁的更新而被修復(fù)了。網(wǎng)上的一些文章都是相互復(fù)制且是基于win2003系統(tǒng)較多，而win2008相比win2003本身就要安全很多。

那我們?yōu)槭裁催€要談關(guān)閉端口呢，因?yàn)槲覀円阑加谖慈唬f一服務(wù)器被黑就不好玩了。

禁用不必要的服務(wù)

控制面板―――管理工具―――服務(wù)：把下面的服務(wù)全部停止并禁用。  

TCP/IP NetBIOS Helper 

Server 這個(gè)服務(wù)器需要小心。天翼云主機(jī)需要用到這個(gè)服務(wù)，所以在天翼云主機(jī)上不能禁用。

Distributed Link Tracking Client 

Microsoft Search 如果有，則禁用

Print Spooler 

Remote Registry 

因?yàn)槲覀兪褂玫氖窃浦鳈C(jī)，跟單機(jī)又不一樣，所以有些服務(wù)并不能一概而論，如上面的Server服務(wù)。例如天翼云的主機(jī)，上海1和內(nèi)蒙池的主機(jī)就不一樣，內(nèi)蒙池的主機(jī)需要依賴Server服務(wù)，而上海1的不需要依賴此服務(wù)，所以上海1的可以禁用，內(nèi)蒙池就不能禁用了。

所以在禁用某一項(xiàng)服務(wù)時(shí)必須要小心再小心。

刪除文件打印和共享

本地連接右擊屬性，刪除TCP/IPV6、Microsoft網(wǎng)絡(luò)客戶端、文件和打印共享。

打開防火墻，入站規(guī)則，所的“網(wǎng)絡(luò)發(fā)現(xiàn)”和“文件和打印機(jī)共享”的規(guī)則全部禁用。

關(guān)閉端口

關(guān)閉139端口

本地連接右擊屬性，選擇“TCP/IPv4協(xié)議”，屬性，在“常規(guī)”選項(xiàng)卡下選擇“高級”，選擇“WINS”選項(xiàng)卡，選中“禁用 TCP/IP 上的NetBIOS”，這樣即關(guān)閉了139端口。

使用IP安全策略關(guān)閉端口

1.點(diǎn)擊 控制面板-管理工具"，雙擊打開"本地策略"，選中"IP安全策略，在本地計(jì)算機(jī)“右邊的空白位置右擊鼠標(biāo)，彈出快捷菜單，選擇"創(chuàng)建IP安全策略”，彈出向?qū)АＴ谙驅(qū)е悬c(diǎn)擊下一步，當(dāng)顯示“安全通信請求”畫面時(shí)，“激活默認(rèn)相應(yīng)規(guī)則”左邊的按默認(rèn)留空，點(diǎn)“完成”就創(chuàng)建了一個(gè)新的IP安全策略。

2.右擊剛才創(chuàng)建的新的IP安全策略，在“屬性”對話框中，把“使用添加向?qū)А弊筮叺你^去掉，然后再點(diǎn)擊右邊的“添加”按紐添加新的規(guī)則，隨后彈出“新規(guī)則屬性”對話框，在畫面上點(diǎn)擊“添加”按紐，彈出IP篩選器列表窗口。在列表中，首先把“使用添加向?qū)А弊筮叺你^去掉，然后再點(diǎn)擊右邊的"添加"按紐   添加新的篩選器。

3.進(jìn)入“篩選器屬性”對話框，首先看到的是尋地址，源地址選“任何IP地址”，目標(biāo)地址選“我的IP地址”，點(diǎn)擊“協(xié)議”選項(xiàng)卡，在“選擇協(xié)議類型”的下拉列表中選擇“TCP”，然后在“到此端口”的下的文本框中輸入“135”，點(diǎn)擊確定。這樣就添加了一個(gè)屏蔽TCP135 端口的篩選器，可以防止外界通過135端口連上你的電腦。
點(diǎn)確定后回到篩選器列表的對話框，可以看到已經(jīng)添加了一條策略。重復(fù)以上步驟繼續(xù)添加TCP137 139 445 593 1025 2745 3127 3128 3389 6129端口和udp 135 139 445 端口，為它們建立相應(yīng)的篩選器。建立好上述端口的篩選器，最后點(diǎn)擊確定按紐。

4.在“新規(guī)則屬性”對話框中，選中“新IP篩選器列表”然后點(diǎn)擊其左邊的復(fù)選框，表示已經(jīng)激活。最后點(diǎn)擊“篩選器操作”選項(xiàng)卡中，把“使用添加向?qū)А弊筮叺你^去掉，點(diǎn)擊“添加”按鈕，在“新篩選器操作屬性”的“安全方法”選項(xiàng)卡中，選擇“阻止”，然后點(diǎn)擊“應(yīng)用”“確定”。

5.進(jìn)入“新規(guī)則屬性”對話框，選中“新篩選器操作”左邊的復(fù)選框，表示已經(jīng)激活，點(diǎn)擊“關(guān)閉”按鈕，關(guān)閉對話框。最后“新IP安全策略屬性”對話框，在“新的IP篩選器列表”左邊打鉤，按確定關(guān)閉對話框。在“本地安全策略”窗口，用鼠標(biāo)右擊新添加的IP安全策略，然后選擇“分配”。

腳本之家小編注：更詳細(xì)的ip安全策略設(shè)置方法可以參考這篇文章：http://chabaoo.cn/article/86271.htm

原創(chuàng)作品，允許轉(zhuǎn)載，轉(zhuǎn)載時(shí)請務(wù)必以超鏈接形式標(biāo)明文章 原始出處 、作者信息和本聲明。否則將追究法律責(zé)任。

最新評論