技巧：讓您的系統(tǒng)變得更快更安全

1、技巧：讓您的系統(tǒng)變得更快更安全 作者：中安網(wǎng)絡(luò)安全培訓(xùn) 來源：eNet論壇一、禁用不必要的端口和協(xié)議 端口是計算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口，也是計算機(jī)的第一道屏障，所以端口配置正確與否直接影響到我們主機(jī)的安全。一般來說，僅打開需要使用的端口會比較安全，不過關(guān)閉端口意味著減少功能，所以我們需要在安全和功能上面做一些平衡。對于那些我們根本用不著的功能，就沒必要將端口開給黑客了，所以作為管理員，我關(guān)閉了平時不常使用的協(xié)議和端口。 在配置系統(tǒng)協(xié)議時，不需要的協(xié)議統(tǒng)統(tǒng)刪除。對于服務(wù)器和主機(jī)來說，一般只安裝TCP/IP協(xié)議就夠了。鼠標(biāo)右擊“網(wǎng)絡(luò)鄰居”，選擇“屬性”，再鼠標(biāo)右擊“本地連接”，選擇“屬性”，卸

2、載不必要的協(xié)議（如圖1）。NETBIOS是很多安全缺陷的源泉，對于不需要提供文件和打印共享的主機(jī)，還可以將綁定在TCP/IP協(xié)議的NETBIOS給關(guān)閉，避免針對NETBIOS的攻擊。選擇TCP/IP協(xié)議屬性高級，進(jìn)入“高級TCP/IP設(shè)置”對話框，選擇“WINS”標(biāo)簽，勾選“禁用TCP/IP上的NETBIOS”一項（如圖2），關(guān)閉NETBIOS。 圖1 卸載不必要的協(xié)議 當(dāng)然，對于文件和打印共享服務(wù)的137、138、139和445端口，還可以采用以下的方法來關(guān)閉。鼠標(biāo)右擊“網(wǎng)絡(luò)鄰居”，選擇“屬性”，選擇“網(wǎng)絡(luò)和撥號連接”對話框的“高級”菜單，選擇“高級設(shè)置”命令，進(jìn)入高級設(shè)置對話框（如圖3），

3、在出現(xiàn)的畫面中的上部選擇所需的連接，下部取消“文件和打印機(jī)共享”項（保持空選），即可禁止這幾個端口。 圖2 關(guān)閉NETBIOS 另外對于協(xié)議和端口的限制，也可采用以下方法：網(wǎng)上鄰居屬性本地連接 屬性Internet 協(xié)議(TCP/IP)屬性高級選項TCP/IP篩選屬性，勾選“啟用TCP/IP篩選”，只允許需要的TCP ，UDP端口和協(xié)議即可。不過對于Windows 2000的端口過濾來說，有一個不好的特性：只能規(guī)定打開哪些端口，不能規(guī)定關(guān)閉哪些端口，這樣對于需要開大量端口的用戶就比較痛苦，而且由于端口過濾有時會阻塞合法的連接，占用的資源太多，對主機(jī)性能有些影響，所以一般只在網(wǎng)絡(luò)邊界的網(wǎng)關(guān)上進(jìn)行

4、端口過濾，在一般的Windows主機(jī)上可以不做。 圖3 關(guān)閉打印共享端口二、禁用不必要的服務(wù) 禁用服務(wù)的方法：進(jìn)入控制面板的“管理工具”，運(yùn)行“服務(wù)”，進(jìn)入服務(wù)界面，雙擊右側(cè)列表中需要禁用的服務(wù)，在打開的服務(wù)屬性的常規(guī)標(biāo)簽頁“啟動類型”一欄，點擊小三角形按鈕選擇“已禁用”（如圖4），再點擊停止按鈕，最后確定即可。禁用服務(wù)不但可以讓您的系統(tǒng)更加安全，也可以讓電腦速度運(yùn)行得更加快哦，一舉兩得。 圖4 禁用服務(wù) 除非特別需要，否則一般情況下Windows 2000需要禁用以下一些服務(wù)：服 務(wù) 用 途 alerter 通知所選用戶和計算機(jī)有關(guān)系統(tǒng)管理級警報。 clipbook 支持“剪貼簿查看器”，以

5、便可以從遠(yuǎn)程剪貼簿查閱剪貼頁面。 computer browser 維護(hù)網(wǎng)絡(luò)上計算機(jī)的最新列表以及提供這個列表給請求的程序。 dhcp client 通過注冊和更改 ip 地址以及 dns 名稱來管理網(wǎng)絡(luò)配置。 messenger 發(fā)送和接收系統(tǒng)管理員或者“警報器”服務(wù)傳遞的消息。 net logon 支持網(wǎng)絡(luò)上計算機(jī) pass-through 賬戶登錄身份驗證事件。 network dde 提供動態(tài)數(shù)據(jù)交換 (dde) 的網(wǎng)絡(luò)傳輸和安全特性。 network dde dsdm 管理網(wǎng)絡(luò) dde 的共享動態(tài)數(shù)據(jù)交換。 runas service 在不同憑據(jù)下啟用啟動過程。 remote reg

6、istry service 允許遠(yuǎn)程注冊表操作。 server 提供 rpc 支持、文件、打印以及命名管道共享。 task scheduler 允許程序在指定時間運(yùn)行。 tcp/ip netbios helper service 允許對“tcp/ip 上 netbios (netbt)”服務(wù)以及 netbios 名稱解析的持。 telnet 允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺程序。 workstation 提供網(wǎng)絡(luò)鏈接和通訊。 Win2003系統(tǒng)建議禁用服務(wù)列表：服 務(wù) 用途 BITS Background Intelligent Transfer Service Browser

7、Computer Browser Dhcp DHCP Client NtLmSsp NTLM Security Support Provider NLA Network Location Awareness SysmonLog Performance Logs and Alerts SrvcSurg Remote Administration Service RemoteRegistry Remote Registry Service lanmanserver Server LmHosts TCP/IP NetBIOS Helper Service Dhcp DHCP Client NtLmS

8、sp NTLM Security Support Provider TermService Terminal Services MSIServer Windows Installer Wmi Windows Management Instrumentation Driver Extensions WMIApSrv WMI Performance Adapter ErrRep Error Reporting Windows XP系統(tǒng)建議禁用服務(wù)列表：服務(wù)用途NetMeeting Remote Desktop Sharing允許授權(quán)的用戶通過NetMeeting在網(wǎng)絡(luò)上互相訪問對方。Univers

9、al Plug and Play Device Host此服務(wù)是為通用的即插即用設(shè)備提供支持。這項服務(wù)存在一個安全漏洞，運(yùn)行此服務(wù)的計算機(jī)很容易受到攻擊。Messenger俗稱信使服務(wù)，這是一個危險而討厭的服務(wù)，Messenger服務(wù)基本上是用在企業(yè)的網(wǎng)絡(luò)管理上，但是垃圾郵件和垃圾廣告廠商，也經(jīng)常利用該服務(wù)發(fā)布彈出式廣告Terminal Services允許多位用戶連接并控制一臺機(jī)器Remote Registry使遠(yuǎn)程用戶能修改此計算機(jī)上的注冊表設(shè)置。Fast User Switching Compatibility在多用戶下為需要協(xié)助的應(yīng)用程序提供管理。Telnet允許遠(yuǎn)程用戶登錄到此計算機(jī)并運(yùn)行程序Remote Desktop Help Session Manager如果此服務(wù)被終止，遠(yuǎn)程協(xié)助將不可用。TCP/IP Net