堵住黑客常用缺口 从禁止端口入手

既然认识了黑客攻击的危害性，而我们又不能“群起而攻之”，那样做太有违“侠义精神”了!所谓无风不起浪，如果我们堵住系统的缺口，让黑客无处下手，岂不更好!来看看都有哪些是黑客经常攻击的缺口。

　　★不必要的协议和端口

　　端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，所以端口配置正确与否直接影响到我们主机的安全。一般来说，仅打开需要使用的端口会比较安全，不过关闭端口意味着减少功能，所以我们需要在安全和功能上面做一些平衡。对于那些我们根本用不着的功能，就没必要将端口开给黑客了，所以作为管理员，我关闭了平时不常使用的协议和端口。

　　在配置系统协议时，不需要的协议统统删除。对于服务器和主机来说，一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议(如图1)。NETBIOS是很多安全缺陷的源泉，对于不需要提供文件和打印共享的主机，还可以将绑定在TCP/IP协议的NETBIOS给关闭，避免针对NETBIOS的攻击。选择[TCP/IP协议]→[属性]→[高级]，进入“高级TCP/IP设置”对话框，选择“WINS”标签，勾选“禁用TCP/IP上的NETBIOS”一项(如图2)，关闭NETBIOS。

　　

　　图1 卸载不必要的协议

　　当然，对于文件和打印共享服务的137、138、139和445端口，还可以采用以下的方法来关闭。鼠标右击“网络邻居”，选择“属性”，选择“网络和拨号连接”对话框的“高级”菜单，选择“高级设置”命令，进入高级设置对话框(如图3)，在出现的画面中的上部选择所需的连接，下部取消“文件和打印机共享”项(保持空选)，即可禁止这几个端口。

　　

　　图2 关闭NETBIOS

　　另外对于协议和端口的限制，也可采用以下方法：[网上邻居]→[属性]→[本地连接] →[属性]→[Internet 协议(TCP/IP)]→[属性]→[高级]→[选项]→[TCP/IP筛选]→[属性]，勾选“启用TCP/IP筛选”，只允许需要的TCP ，UDP端口和协议即可。不过对于Windows 2000的端口过滤来说，有一个不好的特性：只能规定打开哪些端口，不能规定关闭哪些端口，这样对于需要开大量端口的用户就比较痛苦，而且由于端口过滤有时会阻塞合法的连接，占用的资源太多，对主机性能有些影响，所以一般只在网络边界的网关上进行端口过滤，在一般的Windows主机上可以不做。

　　

　　图3 关闭打印共享端口

　　

　　图4 禁用服务

　　★不必要的服务

　　服务开的多可以给管理带来方便，但开的太多却不是个好事，特别是对于那些我这个管理员都不知道是干什么的服务，最好关掉，免得给系统带来灾难。所以在不需要远程管理计算机时，我都会将有关远程网络登录的服务关掉。

　　进入控制面板的“管理工具”，运行“服务”，进入服务界面，双击右侧列表中需要禁用的服务，在打开的服务属性的常规标签页“启动类型”一栏，点击小三角形按钮选择“已禁用”(如图4)，再点击[启动]按钮，最后确定即可。除非特别需要，否则一般情况下需要禁用以下一些服务：

　　把这些服务停止之后，不仅能保证Windows 2000的安全性，还可以提高其运行速度呢，可谓一举两得。

　　通过以上的操作，我们就可以堵住黑客入侵时的必经之路，从而保障主机的安全性，在进行Windows 2000的设置时，我们只要记住一个原则，那就是：最小的权限+最少的服务=最大的安全。

原文转自：http://www.ltesting.net