針對windows系統連接埠的安全,只開放需要的連接埠,關閉無用系統連接埠,以獲得最大程度減小被攻擊的可能性。本文將介紹如何通過組策略和修改系統這兩種方法,關閉系統的一些連接埠,協助大家防止非法入侵。
Part I. 組策略法
第一步,點擊開始,運行,gpedit.msc,雙擊開啟本地安全性原則,選中IP安全性原則,在本機電腦,在右邊窗格的空白位置右擊滑鼠,在彈出的捷徑功能表裡選擇建立IP安全性原則,這樣彈出一個嚮導。在嚮導中點擊下一步按鈕,為新的安全性原則命名(不重新命名也可以,以下都以未重新命名的為例);再按下一步,顯示安全通訊請求畫面,在畫面上把啟用預設相應規則左邊的鉤取消,點擊完成按鈕就建立了一個新的IP安全性原則。
第二步,右擊該IP安全性原則,在屬性對話方塊中,把使用添加嚮導左邊的鉤取消,然後單擊添加按鈕添加新的規則,隨後彈出新規則屬性對話方塊。在對話方塊中點擊添加按鈕,彈出IP篩選器列表視窗;在列表中,同樣把使用添加嚮導左邊的鉤取消掉,然後再點擊右邊的添加按鈕添加新的篩選器。
第三步,進入了篩選器屬性對話方塊,首先看到的是定址,源地址選任何IP地址,目標地址選我的IP地址;點擊協議選項卡,在選擇協議類型的下拉式清單中選擇TCP,然後在到此連接埠下的文字框中輸入135,點擊確定按鈕,這樣就添加了一個屏蔽TCP135(RPC)連接埠的篩選器,它可以防止外界通過 135連接埠連上你的電腦。點擊確定後回到篩選器列表的對話方塊,可以看到已經添加了一條策略。重複以上步驟繼續添加TCP137、 139、445、593 連接埠和UDP135、139、445 連接埠,也可繼續添加TCP1025、2745、3127、6129、3389 連接埠的屏蔽策略為它們建立相應的篩選器。最後點擊確定按鈕。
第四步,在新規則屬性對話方塊中,選擇新IP 篩選器列表,然後點擊其左邊的圓圈上加一個點,表示已經啟用,接著點擊篩選器操作選項卡,在篩選器操作選項卡中,也把使用添加嚮導左邊的鉤取消,點擊添加按鈕,添加阻止操作;在新篩選器操作屬性的安全措施選項卡中,選擇阻止,然後點擊確定。
第五步、進入了新規則屬性對話方塊,點擊新篩選器操作,其左邊的圓圈會加了一個點,表示已經啟用,點擊關閉按鈕,關閉對話方塊;最後回到新IP安全性原則屬性對話方塊,在新的IP篩選器列表左邊打鉤,按確定按鈕關閉對話方塊。回到本地安全性原則視窗,用滑鼠右擊新添加的IP安全性原則,選擇指派。
重新啟動後,電腦中上述網路連接埠就被關閉了,病毒和駭客再也不能連上這些連接埠,從而保護了我們的電腦。(有的使用者管理員的密碼為空白,是不好的,這會讓人有機可乘。另win9X與win2000/xp核心不一樣,設定也不一樣。)
Part II.修改系統方法
winxp尋找本地運行了哪些網路服務,命令
netstat -an
netstat -ano
查看本地特定連接埠串連情況
netstat -anp tcp | find ":1367"
1.關閉TCP連接埠25、80、443(SMTP服務,HTTP服務和IIS管理服務(win2000服務相關))
關閉IIS Admin 服務即可!以下服務將隨之關閉!
相關服務(World Wide Web Publishing Service ;Simple Mail Transport Protocol (SMTP))
防止IIS服務再次隨系統重新啟動的最簡單辦法是移除IIS組件,在控制台中選添加/刪除
命令:
net stop iisadmin
2.關閉win2000 server並列事務服務!(Distributed Transaction Coordinator service)
並列事務服務在Windows 2000 server上預設安裝和啟動並開啟了TCP連接埠3372和一個大於1023的連接埠
命令
net stop msdtc