怎样关闭端口防止攻击.docx
- 文档编号:28096996
- 上传时间:2023-07-08
- 格式:DOCX
- 页数:12
- 大小:175.54KB
怎样关闭端口防止攻击.docx
《怎样关闭端口防止攻击.docx》由会员分享,可在线阅读,更多相关《怎样关闭端口防止攻击.docx(12页珍藏版)》请在冰豆网上搜索。
怎样关闭端口防止攻击
怎样关闭端口
默认情况下windows有很多端口是开放的.在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑.所以应该关闭.主要有tcp135,139,445,593,1025端口和udp135,137,138,445端口,一些流行病毒的后门端口,如tcp2745,3127,6129端口,以及远程服务访问端口3389.
下面介绍如何在xp/2k/2003下手动关闭这些网络端口.
1、点击"开始菜单/设置/控制面板/管理工具",双击打开"本地策略",选中"ip安全策略,在本地计算机"右边的空白位置右击鼠标,谈出快捷菜单,选择"创建ip安全策略",弹出向导.在向导中点击下一步下一步,当显示"安全通信请求"画面时,把"激活默认相应规则"左边的钩去掉,点"完成"就创建了一个新的ip安全策略.
2、右击该ip安全策略,在"属性"对话框中,把"使用添加向导"左边的钩去掉,然后再点击右边的"添加"按纽添加新的规则,随后弹出"新规则属性"对话框,在画面上点击"添加"按纽,弹出ip筛选器列表窗口.在列表中,首先把"使用添加向导"左边的钩去掉,然后再点击右边的"添加"按纽添加新的筛选器.
3、进入"筛选器属性'对话框,首先看到的是寻地址,源地址选"任何ip地址",目标地址选"我的ip地址",点击"协议"选项卡,在"选择协议类型"的下拉列表中选择“tcp",然后在"到此端口"的下的文本框中输入"135",点击确定.这样就添加了一个屏蔽tcp135端口的筛选器,可以防止外界通过135端口连上你的电脑.
点击确定后回到筛选器列表的对话框,可以看到已经添加了一条策月.重复以上步骤继续添加tcp137139445593端口和udp135139445端口,为它们建立相应的筛选器.
重复以上步骤添加tcp1252745312761293389端口的屏蔽策月,建立好上述端口的筛选器,最后点击确定按纽.
4、在"新规则属性"对话框中,选择"新ip筛选器列表'然后点击其左边的复选框,表示已经激活.最后点击"筛选器操作"选项卡中,把"使用添加向导"左边的钩去掉,点击"添加"按钮,进行"阻止"操作,在"新筛选器操作属性"的"安全措施"选项卡中,选择"阻止",然后点击"确定"
5、进入"新规则属性"对话框,点击"新筛选器操作".,选取左边的复选框,表示已经激活,点击"关闭"按钮,关闭对话框.最后"新ip安全策月属性"对话框,在"新的ip筛选器列表"左边打钩,按确定关闭对话框.在"本地安全策月"窗口,用鼠标右击新添加的ip安全策月,然后选择"指派".
重新启动后,上述端口就可以关闭了!
电脑就安全多了!
!
!
怎样关闭端口?
每一项服务都对应相应的端口,比如众如周知的WWW服务的端口是80,smtp是25,ftp是21,win2000安装中默认的都是这些服务开启的。
对于个人用户来说确实没有必要,关掉端口也就是关闭无用的服务。
“控制面板”的“管理工具”中的“服务”中来配置。
1、关闭7.9等等端口:
关闭SimpleTCP/IPService,支持以下TCP/IP服务:
CharacterGenerator,Daytime,Discard,Echo,以及QuoteoftheDay。
2、关闭80口:
关掉WWW服务。
在“服务”中显示名称为"WorldWideWebPublishingService",通过Internet信息服务的管理单元提供Web连接和管理。
3、关掉25端口:
关闭SimpleMailTransportProtocol(SMTP)服务,它提供的功能是跨网传送电子邮件。
4、关掉21端口:
关闭FTPPublishingService,它提供的服务是通过Internet信息服务的管理单元提供FTP连接和管理。
5、关掉23端口:
关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序。
6、还有一个很重要的就是关闭server服务,此服务提供RPC支持、文件、打印以及命名管道共享。
关掉它就关掉了win2k的默认共享,比如ipc$、c$、admin$等等,此服务关闭不影响您的共他操作。
7、还有一个就是139端口,139端口是NetBIOSSession端口,用来文件和打印共享,注意的是运行samba的unix机器也开放了139端口,功能一样。
以前流光2000用来判断对方主机类型不太准确,估计就是139端口开放既认为是NT机,现在好了。
关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了。
我们一般采用一些功能强大的反黑软件和防火墙来保证我们的系统安全,但是有些用户不具备上述条件。
怎么办呢?
下面就介绍一种简易的办法——通过限制端口来帮助大家防止非法入侵。
非法入侵的方式
简单说来,非法入侵的方式可粗略分为4种:
1、扫描端口,通过已知的系统Bug攻入主机。
2、种植木马,利用木马开辟的后门进入主机。
3、采用数据溢出的手段,迫使主机提供后门进入主机。
4、利用某些软件设计的漏洞,直接或间接控制主机。
非法入侵的主要方式是前两种,尤其是利用一些流行的黑客工具,通过第一种方式攻击主机的情况最多、也最普遍;而对后两种方式来说,只有一些手段高超的黑客才利用,波及面并不广泛,而且只要这两种问题一出现,软件服务商很快就会提供补丁,及时修复系统。
因此,如果能限制前两种非法入侵方式,就能有效防止利用黑客工具的非法入侵。
而且前两种非法入侵方式有一个共同点,就是通过端口进入主机。
端口就像一所房子(服务器)的几个门一样,不同的门通向不同的房间(服务器提供的不同服务)。
我们常用的FTP默认端口为21,而WWW网页一般默认端口是80。
但是有些马虎的网络管理员常常打开一些容易被侵入的端口服务,比如139等;还有一些木马程序,比如冰河、BO、广外等都是自动开辟一个您不察觉的端口。
那么,只要我们把自己用不到的端口全部封锁起来,不就杜绝了这两种非法入侵吗?
每一项服务都对应相应的端口,比如众如周知的WWW服务的端口是80,smtp是25,ftp是21,win2000安装中默认的都是这些服务开启的。
对于个人用户来说确实没有必要,关掉端口也就是关闭无用的服务。
“控制面板”的“管理工具”中的“服务”中来配置。
“控制面板”的“管理工具”中的“服务”中来配置。
我们一般采用一些功能强大的反黑软件和防火墙来保证我们的系统安全,但是有些用户不具备上述条件。
怎么办呢?
下面就介绍一种简易的办法——通过限制端口来帮助大家防止非法入侵。
非法入侵的方式
简单说来,非法入侵的方式可粗略分为4种:
1、扫描端口,通过已知的系统Bug攻入主机。
2、种植木马,利用木马开辟的后门进入主机。
3、采用数据溢出的手段,迫使主机提供后门进入主机。
4、利用某些软件设计的漏洞,直接或间接控制主机。
非法入侵的主要方式是前两种,尤其是利用一些流行的黑客工具,通过第一种方式攻击主机的情况最多、也最普遍;而对后两种方式来说,只有一些手段高超的黑客才利用,波及面并不广泛,而且只要这两种问题一出现,软件服务商很快就会提供补丁,及时修复系统。
因此,如果能限制前两种非法入侵方式,就能有效防止利用黑客工具的非法入侵。
而且前两种非法入侵方式有一个共同点,就是通过端口进入主机。
端口就像一所房子(服务器)的几个门一样,不同的门通向不同的房间(服务器提供的不同服务)。
我们常用的FTP默认端口为21,而WWW网页一般默认端口是80。
但是有些马虎的网络管理员常常打开一些容易被侵入的端口服务,比如139等;还有一些木马程序,比如冰河、BO、广外等都是自动开辟一个您不察觉的端口。
那么,只要我们把自己用不到的端口全部封锁起来,不就杜绝了这两种非法入侵吗?
限制端口的方法
对于个人用户来说,您可以限制所有的端口,因为您根本不必让您的机器对外提供任何服务;而对于对外提供网络服务的服务器,我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放,其他的端口则全部关闭。
这里,对于采用Windows2000或者WindowsXP的用户来说,不需要安装任何其他软件,可以利用“TCP/IP筛选”功能限制服务器的端口。
具体设置如下:
1、右键点击“网上邻居”,选择“属性”,然后双击“本地连接”(如果是拨号上网用户,选择“我的连接”图标),弹出“本地连接状态”对话框。
2、点击[属性]按钮,弹出“本地连接属性”,选择“此连接使用下列项目”中的“Internet协议(TCP/IP)”,然后点击[属性]按钮。
3、在弹出的“Internet协议(TCP/IP)”对话框中点击[高级]按钮。
在弹出的“高级TCP/IP设置”中,选择“选项”标签,选中“TCP/IP筛选”,然后点击[属性]按钮。
4、在弹出的“TCP/IP筛选”对话框里选择“启用TCP/IP筛选”的复选框,然后把左边“TCP端口”上的“只允许”选上。
这样,您就可以来自己添加或删除您的TCP或UDP或IP的各种端口了。
添加或者删除完毕,重新启动机器以后,您的服务器就被保护起来了。
如果只上网浏览的话,可以不添加任何端口。
但是要利用一些网络联络工具,比如OICQ的话,就要把“4000”这个端口打开,同理,如果发现某个常用的网络工具不能起作用的时候,请搞清它在您主机所开的端口,然后在“TCP/IP筛选”中添加端口即可。
推荐你可以先玩组策略。
这个可以了解系统底层很多知识。
比在注册表里更直观,而且权限优先于注册表。
只要你在组策略里配置好的话就不需要去改动注册表。
关于你说的问题,我给你提供一个连接。
看看怎么设置端口。
组策略自己搜一下很多教程的。
用其它软件的话也可以达到目的,但是以后你还是一无所知。
尽量别用其它软件,只有这样才能提高自己。
Windows2000/2003下关闭端口的方法与思路
2005-4-28
[发布时间:
2007-2-49:
48:
24被阅览数:
132次]【字体:
大中小】
控制面板”的“管理工具”中的“服务”中来配置。
关闭7.9等等端口:
关闭SimpleTCP/IPService,支持以下TCP/IP服务:
CharacterGenerator,Daytime,Discard,Echo,以及QuoteoftheDay。
关掉21端口:
关闭FTPPublishingService,它提供的服务是通过Internet信息服务的管理单元提供FTP连接和管理。
关掉23端口:
关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序。
关掉25端口:
关闭SimpleMailTransportProtocol(SMTP)服务,它提供的功能是跨网传送电子邮件。
关闭80口:
关掉WWW服务。
在“服务”中显示名称为"WorldWideWebPublishingService",通过Internet信息服务的管理单元提供Web连接和管理。
关闭默认共享:
在Windows2000中,有一个“默认共享”,这是在安装服务器的时候,把系统安装分区自动进行共享,虽然对其访问还需要超级用户的密码,但这是潜在的安全隐患,从服务器的安全考虑,最好关闭这个“默认共享”,以保证系统安全。
方法是:
单击“开始/运行”,在运行窗口中输入“Regedit”,打开注册表编辑器,展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Lanmanworkstation\parameters”,在右侧窗口中创建一个为“AutoShareWks”的双字节值,将其值设置为0,(Win2000专业版WinXP);[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]"AutoShareServer"=dword:
00000000(win2000server、win2003server)这样就可以彻底关闭“默认共享”。
(对了记住在DOS下运行netsharec$Content$nbsp;/del,有几个默认共享就执行几次,可别告诉我这不会喽:
)
关闭139端口:
139端口是NetBIOS Session端口,用来文件和打印共享,注意的是运行samba的unix机器也开放了139端口,功能一样。
关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了。
关闭445端口:
修改注册表,添加一个键值 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]"SMBDeviceEnabled"=dword:
00000000
关闭终端服务:
在Windows2000Sever版中打开“我的电脑”→“控制面板”→“添加/删除程序”→“添加删除Windwos组件”,把其中的“终端连接器”反安装即可!
修改终端服务的默认端口:
服务器端:
打开注册表,在“HKLM\SYSTEM\Current\ControlSet\Control\TerminalServer\WinStations”里找到类似RDP-TCP的子键,修改PortNumber值。
客户端:
按正常步骤建一个客户端连接,选中这个连接,在“文件”菜单中选择导出,在指定位置会生成一个后缀为.cns的文件。
打开该文件,修改“ServerPort”值为与服务器端的PortNumber对应的值。
然后再导入该文件(方法:
菜单→文件→导入),这样客户端就修改了端口。
禁止:
IPC$空连接 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]"restrictanonymous"=dword:
00000001
记住把服务server禁止喽~~~ipc$默认共享删除~~~~这样重启后才有效喽~~~ 关闭不必要的服务,例如Messenge服务,远程注册表访问服务,Telnet服务,当然关闭端口可以用黑基下的防火墙如blackice等来屏掉,或者用ipsec管理策略来禁止这些端口~~~大家在禁止一定要想好或先了解一下被禁用端口的作用喽,要不它有可能会影响你的部份操作喽,希望能对大家有所帮助。
架设WindowsServer2003的安全堡垒
发布时间:
2006.09.1803:
10 来源:
安全 作者:
lynn
如果你曾经配置过WindowsNTServer或是Windows2000Server,你也许发现这些微软的产品缺省并不是最安全的。
虽然微软提供了很多安全机制,但是依然需要你来实现它们。
然而当微软发布WindowsServer2003的时候,改变了以往的哲学体系。
新的理念是,服务器缺省就应该是安全的。
这的确是一个不错的理念,不过微软贯彻得还不够彻底。
虽然缺省的Windows2003安装绝对比确省的WindowsNT或Windows2000安装安全许多,但是它还是存在着一些不足。
下面让我教大家如何让WindowsServer2003更加安全。
第一步:
修改管理员帐号和创建陷阱帐号:
修改内建的用户账号多年以来,微软一直在强调最好重命名Administrator账号并禁用Guest账号,从而实现更高的安全。
在WindowsServer2003中,Guest账号是缺省禁用的,但是重命名Administrator账号仍然是必要的,因为黑客往往会从Administrator账号入手开始进攻。
方法是:
打开“本地安全设置”对话框,依次展开“本地策略”→“安全选项”,在右边窗格中有一个“账户:
重命名系统管理员账户”的策略,双击打开它,给Administrator重新设置一个平淡的用户名,当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:
guestone。
然后新建一个名称为Administrator的陷阱帐号“受限制用户”,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。
这样可以让那些Scriptss忙上一段时间了,并且可以借此发现它们的入侵企图。
或者在它的loginscripts上面做点手脚。
第二步删除默认共享存在的危险
Windows2003安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打netshare查看他们。
网上有很多关于IPC入侵的文章,相信大家一定对它不陌生。
所以我们要禁止或删除这些共享以确保安全,方法是:
首先编写如下内容的批处理文件:
@echooff
netshareC$/del
netshareD$/del
netshareE$/del
netshareF$/del
netshareadmin$/del
以上批处理内容大家可以根据自己需要修改。
保存为delshare.bat,存放到系统所在文件夹下的system32\GroupPolicy\User\Scripts\Logon目录下。
然后在开始菜单→运行中输gpedit.msc,回车即可打开组策略编辑器。
点击用户配置→Window设置→脚本(登录/注销)→登录,在出现的“登录属性”窗口中单击“添加”,会出现“添加脚本”对话框,在该窗口的“脚本名”栏中输入delshare.bat(如图1),然后单击“确定”按钮即可。
这样就可以通过组策略编辑器使系统开机即执行脚本删除系统默认的共享。
禁用IPC连接
IPC是InternetProcessConnection的缩写,也就是远程网络连接。
它是WindowsNT/2000/XP/2003特有的功能,其实就是在两个计算机进程之间建立通信连接,一些网络通信程序的通信建立在IPC上面。
举个例子来说,IPC就象是事先铺好的路,我们可以用程序通过这条“路”访问远程主机。
默认情况下,IPC是共享的,也就是说微软已经为我们铺好了路,因此,这种基于IPC的入侵也常常被简称为IPC入侵。
建立IPC连接不需要任何黑客工具,在命令行里键入相应的命令就可以了,不过有个前提条件,那就是你需要知道远程主机的用户名和密码。
打开CMD后输入如下命令即可进行连接:
netuse\\ip\ipc$"password"/user:
"usernqme"。
我们可以通过修改注册表来禁用IPC连接。
打开注册表编辑器。
找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键,将其值改为1即可禁用IPC连接。
第三步是:
重新设置远程可访问的注册表路径
设置远程可访问的注册表路径为空,这样可以有效地防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。
打开组策略编辑器,然后选择“计算机配置”→“Windows设置”→“安全选项”→“网络访问:
可远程访问的注册表路径”及“网络访问:
可远程访问的注册表”,将设置远程可访问的注册表路径和子路径内容设置为空即可。
这样可以有效防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。
(如图2)
第四步:
关闭不需要的端口
大家都知道,139端口是Netbios使用的端口,在以前的Windows版本中,只要不安装Microsoft网络的文件和打印共享协议,就可关闭139端口。
在WindowsServer2003中,只这样做是不行的。
如果想彻底关闭139端口,方法如下:
鼠标右键单击“网络邻居”,选择“属性”,进入“网络和拨号连接”,再用鼠标右键单击“本地连接”,选择“属性”,打开“本地连接属性”页,然后去掉“Microsoft网络的文件和打印共享”前面的“√”(如图3),接下来选中“Internet协议(TCP/IP)”,单击“属性”→“高级”→“WINS”,把“禁用TCP/IP上的NetBIOS”选中(如图3),即大功告成!
这样做还可有效防止SMBCrack之类工具破解和利用网页得到我们的NT散列。
如果你的机子还装了IIS,你最好设置一下端口过滤。
方法如下:
选择网卡属性,然后双击“Internet协议(TCP/IP)”,在出现的窗口中单击“高级”按钮,会进入“高级TCP/IP设置”窗口,接下来选择“选项”标签下的“TCP/IP筛选”项,点“属性”按钮,会来到“TCP/IP筛选”的窗口,在该窗口的“启用TCP/IP筛选(所有适配器)”前面打上“√”(如图4),然后根据需要配置就可以了。
比方说如果你只打算浏览网页,则只开放TCP端口80即可,所以可以在“TCP端口”上方选择“只允许”,然后单击“添加”按钮,输入80再单击“确定”即可。
如果有其他需要可如法炮制。
以上就是初步的安全设置下面在说说其他方面的安全:
(一)重新支持ASP脚本
为了将系统安全隐患降到最低限度,WindowsServer2003操作系统在默认状态下,是不支持ASP脚本运行的;不过现在许多网页的服务功能多是通过ASP脚本来实现的,为此,我们很有必要在安全有保障的前提下,让系统重新支持ASP脚本。
具体实现的方法为:
1.在系统的开始菜单中,依次单击“管理工具”/“Internet信息服务管理器”命令;
2.在随后出现的Internet信息服务属性设置窗口中,用鼠标选中左侧区域中的“Web服务器设置”
3.接着在对应该选项右侧的区域中,用鼠标双击“Activesserverpages”选项,然后将“任务栏”设置项处的“允许”按钮单击一下,系统中的II6就可以重新支持ASP脚本了。
(二)添加站点到“信任区域”
WindowsServer2003操作系统使用了一个安全插件,为用户提供了增强的安全服务功能,利用该功能你可以自定义网站访问的安全性。
在缺省状态下,WindowsServer2003操作系统会自动启用增强的安全服务功能,并将所有被访问的Internet站点的安全级别设置为“高”。
对于频繁访问的网站,你可以将其添加到受信任的站点区域中,日后再次访问它时,系统就不会弹出安全提示框了。
添加站点到“信任区域”的具体做法为:
1.在浏览器的地址框中,输入需要访问的站点地址,单击回车键,就会自动打开一个安全提示警告窗口;
2.要是不想浏览该站点时,直接可以单击“关闭”按钮;要是想浏览的话,可以单击“添加”按钮;
3.在随后打开的“可信任站点”设置窗口中,你
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 怎样 关闭 端口 防止 攻击
![提示](https://static.bdocx.com/images/bang_tan.gif)