§各方面的电脑方面的技术§

☆第一IP安全策略



当木马悄悄打开某扇“方便之门”（端口）时，不速之客就会神不知鬼不觉地侵入你的电脑。如果被种下木马其实也不必担心，首先我们要切断它们与外界的联系（就是 堵住可疑端口）。
　　在Win 2000/XP/2003系统中，Microsoft管理控制台（MMC）已将系统的配置功能汇集成配置模块，大大方便我们进行特殊的设置（以Telnet利用的23端口为例，笔者的操作系统为Win XP）。



　　操作步骤



　　首先单击“运行”在框中输入“mmc”后回车，会弹出“控制台1”的窗口。我们依次选择“文件→添加/删除管理单元→在独立标签栏中点击‘添加’→IP安全策略管理”，最后按提示完成操作。这时，我们已把“IP安全策略，在本地计算机”（以下简称“IP安全策略”）添加到“控制台根节点”下。



　　现在双击“IP安全策略”就可以新建一个管理规则了。右击“IP安全策略”，在弹出的快捷菜单中选择“创建IP安全策略”，打开IP安全策略向导，点击“下一步→名称默认为‘新IP安全策略’→下一步→不必选择‘激活默认响应规则’”（注意：在点击“下一步的同时，需要确认此时“编辑属性”被选中），然后选择“完成→在“新IP安全策略属性→添加→不必选择‘使用添加向导’”。



　　在寻址栏的源地址应选择“任何IP地址”，目标地址选择“我的IP地址”（不必选择镜像）。在协议标签栏中，注意类型应为TCP，并设置IP协议端口从任意端口到此端口23，最后点击“确定”即可。这时在“IP筛选器列表”中会出现一个“新IP筛选器”，选中它，切换到“筛选器操作”标签栏，依次点击“添加→名称默认为‘新筛选器操作’→添加→阻止→完成”。



　　新策略需要被激活才能起作用，具体方法是：在“新IP安全策略”上点右键，“指派”刚才制定的策略。



　　效果



　　现在，当我们从另一台电脑Telnet到设防的这一台时，系统会报告登录失败；用扫描工具扫描这台机子，会发现23端口仍然在提供服务。以同样的方法，大家可以把其它任何可疑的端口都封杀掉，让不速之客们大叫“不妙”去吧!


☆第二关闭不用的端口

默认情况下Windows有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑，为了让你的系统铜墙铁壁，应该封闭这些端口，主要有：TCP 139、445、593、1025 端口和 UDP123、137、138、445、1900 端口，一些流行病毒的后门端口（如 TCP 2513、2745、3127、6129 端口），以及远程服务访问端口3389。

137、138、139、445端口都是为共享而开的，是NetBios协议的应用，你应该禁止别人共享你的机器，所以要把这些端口全部关闭，方法是：单击“开始”/控制面板/系统/硬件/设备管理器，单击“查看”菜单下的“显示隐藏的设备”，单击“非即插即用驱动程序”，找到Netbios over Tcpip禁用该设备，重新启动后即可。

　关闭UDP123端口：单击“开始”/设置/控制面板，双击“管理工具”/服务，停止windows time服务即可，关闭UDP 123端口，可以防范某些蠕虫病毒。

　关闭UDP1900端口：在控制面板中双击“管理工具”/服务，停止SSDP Discovery Service 服务即可。关闭这个端口，可以防范DDoS攻击。

其他端口你可以用网络_blank">防火墙关闭之，或者在控制面板中，双击“管理工具”/本地安全策略，选中“IP 安全策略，在本地计算机”，创建 IP 安全策略来关闭这些端口。


☆第三用IIS建立高安全性WEB服务器

因为IIS(即Internet Information Server)的方便性和易用性，使它成为最受欢迎的Web服务器软件之一。但是，IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web服务器，是很多人关心的话题。

构造一个安全系统

要创建一个安全可靠的Web服务器，必须要实现Windows 2000和IIS的双重安全，因为IIS的用户同时也是Windows 2000的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全：

1. 使用NTFS文件系统，以便对文件和目录进行管理。

2. 关闭默认共享

打开注册表编辑器，展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”项，添加键值AutoShareServer，类型为REG_DWORD，值为0。 这样就可以彻底关闭“默认共享”。

3. 修改共享权限

建立新的共享后立即修改Everyone的缺省权限，不让Web服务器访问者得到不必要的权限。

4. 为系统管理员账号更名，避免非法用户攻击。

鼠标右击[我的电脑]→[管理]→启动“计算机管理”程序，在“本地用户和组”中，鼠标右击“管理员账号(Administrator)”→选择“重命名”，将管理员账号修改为一个很普通的用户名。

5. 禁用TCP/IP 上的NetBIOS

鼠标右击桌面上[网络邻居] →[属性] →[本地连接] →[属性]，打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[WINS]，选中下侧的“禁用TCP/IP上的NetBIOS”一项即可解除TCP/IP上的NetBIOS。

6. TCP/IP上对进站连接进行控制

鼠标右击桌面上[网络邻居] →[属性] →[本地连接] →[属性]，打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项]， 在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮，选择“只允许”，再单击[添加]按钮，只填入80端口。

7. 修改注册表，减小拒绝服务攻击的风险。

打开注册表：将HKLM\System\

CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改为2，使连接对超时的响应更快。

保证IIS自身的安全性

IIS安全安装

要构建一个安全的IIS服务器，必须从安装时就充分考虑安全问题。

1. 不要将IIS安装在系统分区上。

2. 修改IIS的安装默认路径。

3. 打上Windows和IIS的最新补丁。

IIS的安全配置

1. 删除不必要的虚拟目录

IIS安装完成后在wwwroot下默认生成了一些目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，这些目录都没有什么实际的作用，可直接删除。

2. 删除危险的IIS组件

默认安装后的有些IIS组件可能会造成安全威胁，例如 Internet服务管理器(HTML)、SMTP Service和NNTP Service、样本页面和脚本，大家可以根据自己的需要决定是否删除。

3. 为IIS中的文件分类设置权限

除了在操作系统里为IIS的文件设置必要的权限外，还要在IIS管理器中为它们设置权限。一个好的设置策略是：为Web 站点上不同类型的文件都建立目录，然后给它们分配适当权限。例如：静态文件文件夹允许读、拒绝写，ASP脚本文件夹允许执行、拒绝写和读取，EXE等可执行程序允许执行、拒绝读写。

4. 删除不必要的应用程序映射

ISS中默认存在很多种应用程序映射，除了ASP的这个程序映射，其他的文件在网站上都很少用到。

在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“主目录”页面中，点击[配置]按钮，弹出“应用程序配置”对话框，在“应用程序映射”页面，删除无用的程序映射。如果需要这一类文件时，必须安装最新的系统修补补丁，并且选中相应的程序映射，再点击[编辑]按钮，在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。这样当客户请求这类文件时，IIS会先检查文件是否存在，文件存在后才会去调用程序映射中定义的动态链接库来解析。

5. 保护日志安全

日志是系统安全策略的一个重要环节，确保日志的安全能有效提高系统整体安全性。

● 修改IIS日志的存放路径

默认情况下，IIS的日志存放在%WinDir%\System32\LogFiles，黑客当然非常清楚，所以最好修改一下其存放路径。在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“Web站点”页面中，在选中“启用日志记录”的情况下，点击旁边的[属性]按钮，在“常规属性”页面，点击[浏览]按钮或者直接在输入框中输入日志存放路径即可。

● 修改日志访问权限，设置只有管理员才能访问。

通过以上的一些安全设置，相信你的Web服务器会安全许多。

XP系统共享解决方案

前几天给人做网络的时候所有的设置和2000时完全一样，但是出现了根本不能访问的情况，相信很多人都遇到了，相信这是因为XP的安全设置和2000不一样所导致的。在这过程中在网上查了一些资料，也经过了自己测试，因些发上来，希望对还不知道的网友有所帮助，请高手能继续指点。一些东西复制于网络，请原谅不注明出处。

这里不考虑物理连接和其他问题，只谈及策略问题。请安装相应的协议并正确的设置IP地址，尽量把你的计算机设置在一个工作组内并且具有相同的网段的IP地址。

因为时间问题，不详述出现的问题，若出现共享和访问的问题请考虑以下的步骤：

1 检查guest帐户是否开启。

XP默认情况下是不开启guest帐户的，因些为了其他的人能浏览你的计算机，请启用guest帐户。为了安全请为guest设置密码或相应的权限。你也可以为每一台机器设置一个用户名和密码以便计算机之间的互相访问。

2检查是否拒绝Guest用户从网络访问本机。

也许你遇到过即使开了guest还是根本不能访问的情况。请检查是否拒绝guest从网络访问计算机，因为XP默认是不允许guest从网络登录的，因些即使开了guest也是一样不能访问。在开启了系统Guest用户的情况下 解除对Guest账号的限制。点击“开始→运行”，在“运行”对话框中输入“GPEDIT.MSC”，打开组策略编辑器，依次选择“计算机配置→Windows设置→安全设置→本地策略→用户权利指派”，双击“拒绝从网络访问这台计算机”策略，删除里面的“GUEST”账号。这样其他用户就能够用Guest账号通过网络访问使用Windows XP系统的计算机了。

3改网络访问模式


XP默认是把从网络登录的所有用户都按来宾帐户处理的，因此即使管理员从网络登录也只具有来宾的权限，若遇到不能访问的情况，请尝试更改网络的访问模式。 打开组策略编辑器，依次选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”，双击“网络访问：本地账号的共享和安全模式”策略，将默认设置“仅来宾—本地用户以来宾身份验证”，更改为“经典：本地用户以自己的身份验证”。
这样即使不开启guest，你也可以通过输入本地的帐户和密码来登录你要访问的计算机，本地的帐户和密码为你要访问的计算机内已经的帐户和密码。若访问网络时需要帐户和密码，可以通过输入你要访问的计算机内已经的帐户和密码来登录。
若不经过更改也许你连输入用户名和密码都办不到，出现的网络对话为//computername/guest为灰色不可用的。即使密码为空，在不开启guest的情况下，你也不可能点确定登录。改成经典模式，最低可以达到像2000没有开启guest帐户情况下一样，可以输入用户名和密码来登录你要进入的计算机。也许你还会遇到一种特殊的情况，请看下面：

4一个值得注意的问题：

我们可能还会遇到另外一个问题
当用户的口令为空时，即使你做了上述的所有的更改还是不能进行登录，访问还是会被拒绝。原来在“安全选项”中有一个“账户：使用空白密码的本地账户只允许进行控制台登录”策略默认是启用的，根据Windows XP安全策略中拒绝优先的原则，密码为空的用户通过网络访问使用Windows XP的计算机时便会被禁止。我们只要将这个策略停用即可解决问题。在安全选项中，只要找到 使用空白密码的本地帐户只允许进行控制台登录 停用就可以了。要不然即使开了guest改成了经典模式还是不能登录。经过以上的更改基本就可以访问了，你可以尝试选择一种适合你的方法：再补充点别的东西。

5 网络邻居不能看到计算机。

可能经常不能在网络邻居中看到你要访问的计算机，除非你知道计算机的名字或者IP地址，通过搜索或者直接输入//computername或//IP。请按下面操作：启动"计算机浏览器"服务 　　计算机浏览器"服务在网络上维护一个计算机更新列表，并将此列表提供给指定为浏览器的计算机。如果停止了此服务，则既不更新也不维护该列表。137/UDP -- NetBIOS 名称服务器, 网络基本输入/输出系统 (NetBIOS) 名称服务器 (NBNS) 协议是 TCP/IP 上的 NetBIOS (NetBT) 协议族的一部分，它在基于 NetBIOS 名称访问的网络上提供主机名和地址映射方法。
138/UDP -- NetBIOS 数据报,NetBIOS 数据报是 TCP/IP 上的 NetBIOS (NetBT) 协议族的一部分，它用于网络登录和浏览。
139/TCP -- NetBIOS 会话服务,NetBIOS 会话服务是 TCP/IP 上的 NetBIOS (NetBT) 协议族的一部分，它用于服务器消息块 (SMB)、文件共享和打印。请设置_blank">防火墙开启相应的端口。一般只要在_blank">防火墙中允许文件夹和打印机共享服务就可以了。

6 关于共享模式。

XP默认对共享只给予来宾权限或选择允许用户更改我的文件。通过以下操作你可以像以前一样具体的设置文件夹的共享权限取消简单文件共享Windows 2000 操作系统中用户在设置文件夹的共享属性时操作非常简便，只需用鼠标右击该文件夹并选择属性，就可以看到共享设置标签。而在 Windows XP 系统设置文件夹共享时则比较复杂，用户无法通过上述操作看到共享设置标签。具体的修改方法如下：打开"我的电脑"中的"工具"，选择"文件夹属性"，调出"查看"标签，在"高级设置"部分滚动至最底部将"简单文件共享(推荐)"前面的选择取消，另外如果选项栏里还有"Mickey Mouse"项也将其选择取消。这样修改后用户就可以象使用Windows 2000一样对文件夹属性进行方便修改了。

7 关于用网络邻居访问不响应或者反应慢的问题：

彻底禁用WinXP的计划任务
在WinXP和Win2000中浏览网上邻居时系统默认会延迟30秒，Windows将使用这段时间去搜寻远程计算机是否有指定的计划任务（甚至有可能到Internet中搜寻）。如果搜寻时网络时没有反应便会陷入无限制的等待，那么10多分钟的延迟甚至报错就不足为奇了。下面是具体的解决方法。
1.关掉WinXP的计划任务服务（Task Scheduler）
可以到“控制面板/管理工具/服务”中打开“Task Scheduler”的属性对话框，单击“停止”按钮停止该项服务，再将启动类型设为“手动”，这样下次启动时便不会自动启动该项服务了。
.删除注册表中的两个子键
到注册表中找到主键“
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace”
删除下面的两个子健
{2227A280-3AEA-1069-A2DE-08002B30309D}
{D6277990-4C6A-11CF-87-00AA0060F5BF}
其中，第一个子健决定网上邻居是否要搜索网上的打印机（甚至要到Internet中去搜寻），如果网络中没有共享的打印机便可删除此键。第二个子健则决定是否需要查找指定的计划任务，这是网上邻居很慢的罪魁祸首，必须将此子健删除。
如果有问题请跟贴，说的再直白不过了。经过经上的设置基本就可以实现计算机之间的共享。
想起来主要是XP默认不开启gUEST.而且即使开了guest，XP默认是不允许guest从网络访问计算机的。还有就是那个值得注意的问题。如果是空密码的话，相信一些不考虑安全的地方或是电脑公司给人做系统密码都 是空的，也是不允许登录的。只要试过以上的方法，相信是不会再有问题的。

---

欢迎光临 空网论坛 (http://bbs.kongweb.net/)

作者: 翩跹梦蝶    时间: 2005-11-10 16:00