操作系统安全 我的地盘自然我做主

四、网络服务安全管理

1、关闭不需要的服务

只留必需的服务，多一些服务可能会给系统带来更多的安全因素。如Windows 2000/2003的Terminal Services（终端服务）、IIS（web服务）、RAS（远程访问服务）等，这些都有产生漏洞的可能。

2、关闭不用的端口。

3、只开放服务需要的端口与协议。

具体方法为：按顺序打开“网上邻居→属性→本地连接→属性→Internet 协议→属性→高级→选项→TCP/IP筛选→属性”，添加需要的TCP、UDP端口以及IP协议即可。根据服务开设口。

常用的TCP口有：80口用于Web服务；21用于FTP服务；25口用于SMTP；23口用于Telnet服务；110口用于POP3（邮件服务）。

常用的UDP端口有：53口-DNS域名解析服务；161口-snmp简单的网络管理协议。8000、4000用于OICQ，服务器用8000来接收信息，客户端用4000发送信息。如果没有上面这些服务就没有必要打开这些端口。

4、禁止建立空连接

Windows 2000/XP的默认安装允许任何用户可通过空连接连上服务器，枚举账号并猜测密码。空连接用的端口是139，通过空连接，可以复制文件到远端服务器，计划执行一个任务，这就是一个漏洞。可以通过以下两种方法禁止建立空连接：

A：修改注册表中Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值为1.

B：修改Windows 2000的本地安全策略。设置“本地安全策略→本地策略→选项”中的RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。

Windows 2000/XP的默认安装允许任何用户通过空连接得到系统所有账号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是，同时任何一个远程用户也可以通过同样的方法得到您的用户列表，并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止空用户连接，实际上Windows 2000/XP的本地安全策略里（如果是域服务器就是在域服务器安全和域安全策略里）就有RestrictAnonymous选项，其中有三个值：“0”这个值是系统默认的，没有任何限制，远程用户可以知道您机器上所有的账号、组信息、共享目录、网络传输列表（NetServerTransportEnum）等：“1”这个值是只允许非NULL用户存取SAM账号信息和共享信息：“2”这个值只有Windows 2000/XP才支持，需要注意的是，如果使用了这个值，就不能再共享资源了，所以还是推荐把数值设为“1”比较好。

五、关闭无用端口和修改3389端口

Windows的每一项服务都对应相应的端口，比如众如周知的www服务的端口是80，smtp是25，ftp是21，win2000/XP安装中这些服务都是默认开启的。对于个人用户来说确实没有必要，关掉端口也就是关闭了无用的服务。

关闭这些无用的服务可以通过“控制面板”的“管理工具”中的“服务”中来配置。

1、关闭7.9等等端口：关闭Simple TCP/IP Service，支持以下 TCP/IP 服务：Character Generator， Daytime， Discard， Echo， 以及 Quote of the Day.

2、关闭80口：关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing Service"，通过 Internet 信息服务的管理单元提供 Web 连接和管理。

3、关掉25端口：关闭Simple Mail Transport Protocol （SMTP）服务，它提供的功能是跨网传送电子邮件。

4、关掉21端口：关闭FTP Publishing Service，它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。

5、关掉23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。

6、还有一个很重要的就是关闭server服务，此服务提供 RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享，比如ipc$、c$、admin$等等，此服务关闭不影响您的共他操作。

7、还有一个就是139端口，139端口是NetBIOSSession端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放既认为是NT机，现在好了。

关闭139端口的方法是在“网络和拨号连接”——“本地连接”中选取“Internet协议（TCP/IP）”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。

对于个人用户来说，可以在以上各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动后端口再次打开。现在你不用担心你的端口和默认共享了。

8、修改3389：打开注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp， 看到那个PortNumber没有？0xd3d，这个是16进制，就是3389啦。我改XXXX这个值是RDP（远程桌面协议）的默认值，也就是说用来配置以后新建的RDP服务的，要改已经建立的RDP服务，我们去下一个键值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations这里应该有一个或多个类似RDP-TCP的子健（取决于你建立了多少个RDP服务），一样改掉PortNumber.

六、本地安全策略

1、通过建立IP策略来阻止端口连接

TCP端口：21（FTP，换FTP端口）23（TELNET），53（DNS），135，136，137，138，139，443，445，1028，1433，3389

TCP端口：1080，3128，6588，8080（以上为代理端口）。25（SMTP），161（SNMP），67（引导）

UDP端口：1434（这个就不用说了吧）

阻止所有ICMP，即阻止PING命令

2、在这里我用关闭135端口来实例讲解

具体见我的帖子《使用本地安全策略关闭端口（TCP/IP筛选）》