(完整版)WindowsServer2008R2WEB服務器安全設置指南(四)之禁用不必要的服務和關閉端口

1、Windows Server 2008 R2 WEB 服務器安全設置指南（四）之禁用不必要的服務和關閉端口安全是重中之重，以最少的服務換取最大的安全。通過只啟用需要用到的服務、關閉暫時用不到的服務或不用的服務，這樣最大程度來提高安全性。作為web服務器，并不是所有默認服務都需要的，所以像打印、共享服務 都可以禁用。當然了，你的系統(tǒng)補丁也需要更新到最新， 一些端口的漏洞已經隨 著補丁的更新而被修復了。網上的一些文章都是相互復制且是基于win2003系統(tǒng)較多，而win2008相比win2003本身就要安全很多。那我們?yōu)槭裁催€要談關閉端口呢，因為我們要防患于未然，萬一服務器被黑 就不好玩了。禁用不必

2、要的服務控制面板管理工具服務：把下面的服務全部停止并禁用。TCP/IP NetBIOS HelperServer這個服務器需要小心。天翼云主機需要用到這個服務，所以在天翼 云主機上不能禁用。Distributed Link Tracking ClientMicrosoft Search如果有，禁用Print SpoolerRemote Registry因為我們使用的是云主機，跟單機又不一樣，所以有些服務并不能一概而論, 如上面的Server服務。例如天翼云的主機，上海 1和內蒙池的主機就不一樣， 內蒙池的主機需要依賴Server服務，而上海1的不需要依賴此服務，所以上海 1的可以禁用，內蒙池就

3、不能禁用了。所以在禁用某一項服務時必須要小心再小心。刪除文件打印和共享本地連接右擊屬性，刪除TCP/IPV6、Microsoft網絡客戶端、文件和打印 共享。網絡用卦寸假用:1"V'xnet3 Ethernet AAaftir- #6"菖債© 一 此速接使用下列項目由：Microsoft網絡客戶端自賓5數據包計加屣序J§Mi-oEo£t網絡的文件和打印機共享 a工ntern”協(xié)諛版本§ CTCP/IM) . 謫i；ri海 協(xié)議版本4 GCP/IPv4 ) a鋸路層拓撲發(fā)預映射器I/O版助程序V：二第路層拓撲發(fā)現(xiàn)響應程序安蕓m

4、.|a瞳.皿| 司一|聲允詳您的計苴機訪問網珞上的資源a邨肖確定打開防火墻，入站規(guī)則，所的“網絡發(fā)現(xiàn)”和“文件和打印機共享”的規(guī)則 全部禁用。入站投寤網絡發(fā)現(xiàn) 網絡發(fā)現(xiàn) 網絡發(fā)現(xiàn) 網絡整現(xiàn) 文件和打印機共享 文件和打印機共享 文件和打即機共享 文件和打印機共享 文件和打印機共完 文件和打E 口機共享 文件和打印機共享 文件和打印機共享 文件和打印機共事一 色 否否否否香否否否否否否否否否否否否否否否否否否否否否否有否-S否舌舌舌舌舌舌一用 用 公公 用用用 用 用 用用用 用 用用用 用用用 用用用用 用 用甩 甩 有有. 必W必捶專場公掘公專專域公城公專專域公專公城域專公專公域公博專雪域專做

5、斯也U網絡發(fā)現(xiàn)酷D Eveihl sSec we-In）g網絡發(fā)現(xiàn)值口-工垃0網絡版現(xiàn)的下迎a網絡發(fā)現(xiàn)解口-Iio0文件和機共享（miM-VDF-In） J文件和打t|機共享贏文件和抵IM共享tmiMK-mP-In）<J文件和打啷共事內一口外安審所-1G <J文件和打詠共享如2共電granr工i0 J為牛和行£血共享gRatgarrlnJ 國文件和才其皿共享（B-Hame-IiO 0文件和打共享史-"） Q文件和打印機共享（B-Ham工Q日文件和打£卸1共享州Tcwiokd）文件和打印機排拿*文件和打共享如一立"“血）文件和打印機扶事點文件和

6、打印機共隼（KEF”出亡口0文件和打印機共享日文件和打£闞共享C1B-In）文件和打印機其享電文件和打tlWl共享OT-InJ文件和打印機共享與文件和弋正口機共享GMB-InD文件和打印機真拿0文件和打EIW1洪亭怎臺打印程序服務文件和打印機共享文件和打W機掛享總臺怔瞪序服密一文件和打印機共享 u文件和打機共享的白打印程痙朋務.文件和打En機共事由文件和打£血共享定臺打印程摩服務.文件和打印機第拿 5,文件和打共享器自打t喳序服務文件和打印機共享 3文件和打叫1共享宸自打印程序朋期.文件和打印機共享 J文件和打EIM共孽（回髭請求一 ICMFv4.攵件和打印機共孽 包文件和

7、才Fim共享回顯請求- RMF榨.文件和打印機共享 6文件和打共事（回顯請求-ICMFy4.文件和打印機共享 ©文件和抵口機共孽回顯清求-Mfv6 .文件和打印機共三立文件和才HIM共享回顯清求-工匚Mfvfi.文件和打印機共享 之文件和打帆共享（回顯清求-工EF證.文件和打印機共享 6性能日志和磬報COCOM-I.）性能日志和害報性能日志腌報OJCQi-lu）性豫日志和警報*性能巳志和警報（ICF-Iit）性能日志和警報O性能臼志和警4艮Crcp-iti）性能臼志和善報電遠程服務管理班-W遠程照為管理>遠程服努管理杷匚）遠程服箝管理1_,- - f"關閉端口關閉13

8、9端口本地連接右擊屬性，選擇“ TCP/IPV4協(xié)議”，屬性，在“常規(guī)”選項卡下 選擇“高級”，選擇“ WINS”選項卡，選中“禁用 TCP/IP上的NetBIOS ' 這樣即關閉了 139端口。常繳TCF/IP襲或工F 設置DiTS WIHE |-虹彩 地址,按使用排序加：琴姆帕I篇勒刪除如果啟用U«HDSTS查找它將應用于所有啟用TCF/IP的諄接力F7啟用UIKDSTS查找（！）導人,日冊0仃3卬1 .NetBIOS 設置C默認伊土林DMCF胭行百館用NetBIOS設貴京姐果使用靜態(tài)IF地 址變服叁需求觸場皿3戲署？購點靖rcr/ir£的 atEJOE 4r

9、啟用TCF/工F上的NBIDS4）國禁用TCP工E上的NetBIOS CSJ定 1 取消 |使用IP安全策略關閉端口1 .點擊 控制面板-管理工具”，雙擊打開"本地策略"，選中"IP安全策略，在 本地計算機“右邊的空白位置右擊鼠標，彈出快捷菜單，選擇"創(chuàng)建IP安全策略”， 彈出向導。在向導中點擊下一步，當顯示“安全通信請求”畫面時，“激活默認相應規(guī)則”左邊的按默認留空，點“完成”就創(chuàng)建了一個新的 IP安全策略。2 .右擊剛才創(chuàng)建的新的IP安全策略，在“屬性”對話框中，把“使用添加 向導”左邊的鉤去掉，然后再點擊右邊的“添加”按紐添加新的規(guī)則，隨后彈出“新

10、規(guī)則屬性”對話框，在畫面上點擊“添加”按紐，彈出 IP篩選器列表窗口。 在列表中，首先把“使用添加向導”左邊的鉤去掉，然后再點擊右邊的 “添加" 按紐 添加新的篩選器。3 .進入“篩選器屬性”對話框，首先看到的是尋地址，源地址選“任何 IP 地址”，目標地址選“我的IP地址”，點擊“協(xié)議”選項卡，在“選擇協(xié)議類 型”的下拉列表中選擇“TCP”，然后在“到此端口”的下的文本框中輸入“135” 點擊確定。這樣就添加了一個屏蔽 TCP135端口的篩選器，可以防止外界通過 135端口連上你的電腦。點確定后回到篩選器列表的對話框， 可以看到已經添加了一條策略。重復以上步 驟繼續(xù)添力口 TCP137 139 445 593 1025 2745 3127 3128 3389 6129端口和udp 135 139 445 端口，為它們建立相應的篩選器。建立好上述端口的篩選器， 最后點擊確定按紐。4 .在“新規(guī)則屬性”對話框中，選中“新IP篩選器列表”然后點擊其左邊 的復選框，表示已經激活。最后點擊“篩選器操作”選項卡中，把“使用添加向 導”左邊的鉤去掉，點擊“添加”按鈕，在“新篩選器操作屬性”的“安全方