我相信大家總有這種感覺,總是怕別人入侵自己的電腦,但是用了防火牆又影響了自己的電腦的性能,很希望能由一個比較完美的解決方案。而我作為一個網絡管理員,在實踐中也積累了一定的經驗,希望在這裡和大家交流一下,怎麼樣才能捨棄浪費系統資源的防火牆,自己解決系統防護問題。
我管理的網絡是以WIN2000 SERVER為基礎的P2P P2S的混合路由網絡,所以必須注重外來和內在的攻擊威脅。而我的做法通常如下:(WIN2000)
1、安裝系統過程中,明確分區的職能,必須使用NTFS分區,軟件與系統的分區不能混淆,而且要考慮臨時文件的存放分區,舉個例子,DELL POWEREDGE S4400服務器,實行RAID 0配置,共60G容量,容錯,分成C\D\E\F共四個區域,其中C:作為系統分區,除此之外皆免,D:作為軟件分區,顧名思義,只作服務器軟件安裝用途,E:可以考慮作為WEB\FTP\SMTP服務之用,F:純粹的臨時文件分區,就是在安裝系統之後,通過我的電腦---〉單擊右鍵,選擇屬性---〉高級---〉環境變量中設定用戶臨時變量存放路徑以及系統臨時變量存放路徑為F:\TEMP,加上在INTERNET選項中把其中的臨時文件夾移動到F:。
2、設置各分區的用戶權限,把EVERYONE權限級別降低,使其與USER或GUEST用戶組的權限相當。然後加入ADMINISTRATOR用戶組,賦予全權。
3、進入管理工具,配置用戶,把默認配置的用戶(除ADMINISTRATOR)全部停權,對ADMINISTRATOR用戶更名,配備超級密碼(例如:hfxe2771016&&)*@!),然後新增用戶,賦予全權並配備超級密碼,作為admin的後備賬號,然後新增用戶,更名為ADMINISTRATOR,賦予最低權限並配備超級密碼,作為入侵陷阱。
4、服務配置。
關閉不需要的服務,例如Fax Service、Indexing Service、Messenger、Task Scheduler等等,對其進行停用及禁止配置。
每一項服務都對應相應的端口,比如眾如周知的WWW服務的端口是80,smtp是25,ftp是21,win2000安裝中默認的都是這些服務開啟的。對於個人用戶來說確實沒有必要,關掉端口也就是關閉無用的服務。
“控制面板”的“管理工具”中的“服務”中來配置。
(1)關閉7.9等等端口:關閉Simple TCP/IP Service,支持以下 TCP/IP 服務:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
(2)關閉80口:關掉WWW服務。在“服務”中顯示名稱為"World Wide Web Publishing Service",通過 Internet 信息服務的管理單元提供 Web 連接和管理。
(3)關掉25端口:關閉Simple Mail Transport Protocol (SMTP)服務,它提供的功能是跨網傳送電子郵件。
(4)關掉21端口:關閉FTP Publishing Service,它提供的服務是通過 Internet 信息服務的管理單元提供 FTP 連接和管理。
(5)關掉23端口:關閉Telnet服務,它允許遠程用戶登錄到系統並且使用命令行運行控制台程序。
(6)還有一個很重要的就是關閉server服務,此服務提供 RPC 支持、文件、打印以及命名管道共享。關掉它就關掉了win2k的默認共享,比如ipc$、c$、admin$等等,此服務關閉不影響您的共他操作。
(7)還有一個就是139端口,139端口是NetBIOS Session端口,用來文件和打印共享,注意的是運行samba的unix機器也開放了139端口,功能一樣。以前流光2000用來判斷對方主機類型不太准確,估計就是139端口開放既認為是NT機,現在好了。
關閉139口聽方法是在“網絡和撥號連接”中“本地連接”中選取“Internet協議(TCP/IP)”屬性,進入“高級TCP/IP設置”“WINS設置”裡面有一項“禁用TCP/IP的NETBIOS”,打勾就關閉了139端口。
對於個人用戶來說,可以在各項服務屬性設置中設為“禁用”,以免下次重啟服務也重新啟動,端口也開放了。
5、本地安全策略配置
(1)賬戶策略。
A、密碼策略。設定為必須符合復雜性要求、長度最小值為8位等等。
B、賬戶鎖定策略。設定為5分鐘的復位賬戶鎖定計數、30分鐘的鎖定時間、3次無效登陸的鎖定阙值。
(2)本地策略。
其中的審核策略和用戶權利指派,我個人認為,每台電腦的情況都不一樣,需要自己去了解和理解的,所以不做說明。
A、安全選項。其中的關閉時清除虛擬內存頁面文件、只有本地用戶才能使用CDROM和軟驅的選項一定要啟動,其他的視實際情況自己斟酌。
(3)公鑰策略(不作說明)
(4)本地IP安全策略
這才是電腦防護的重要一項,其中包括端口的禁止、協議的通訊阻止。在這裡不可能詳細說明,就簡單舉幾個常用例子說一下,有什麼不明白再發貼咨詢。
A、關閉ICMP協議。先建立新IP 安全策略-----〉進入管理IP篩選器表和篩選器操作-----〉添加新 IP 篩選器列表-----〉設置為:源地址是任何IP、目標地址是本機IP、選擇ICMP協議,確定保存-----〉進入管理篩選器操作,建立新的阻止動作-----〉回到剛才新建的IP安全策略選項,添加剛才新設立的IP安全規則,選定阻止動作-----〉對IP安全策略進行指定生效。
B、特定關閉139端口。與上同理,設置為源地址是任何IP、目標地址是本機IP、選擇TCP協議,從任何端口到139端口,確定後添加規則,指定策略生效。
6、關閉默認共享。
(1)建立BAT文件,輸入以下內容:
NET SHARE C$ /DEL
NET SHARE D$ /DEL
NET SHARE E$ /DEL
NET SHARE F$ /DEL
NET SHARE IPC$ /DEL
NET SHARE ADMIN$ /DEL
輸入後保存,配置到啟動目錄,使其啟動後自動執行,達到預期目的。
(2)可在注冊表的以下位置: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters 新建名稱主鍵名autoshareserver,類型為REG_DWORD ,然後賦值為0就可以了。
[HKEY_LOCAL _MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer = DWORD的鍵值改為:00000000。
7、安裝其他軟件包。
(1)安裝微軟高級加密包(Microsoft High Encryption Pack),將服務器升級為128位加密。默認狀態下,服務器軟件的加密狀態處於較低級別,我們必須手工將其配置為128位加密。而且,這項工作應該在創建帳號和組之前進行,這樣就可以保證在服務器上創建的所有項目都是128位加密級別的。
(2)安裝最新的SP軟件包和Hotfixes 。微軟的產品是老裁縫做的,不打補丁不漂亮的,所以管理員們要經常訪問以下地址看看是否又有新補丁面世: 。這個地址包含了大量關於Win2K的信息,對日常管理Win2K服務器非常有參考價值。關於HotFixes有一點需要注意:只在系統需要的時候才安裝相應HotFix。因為,並不是每個服務器都需要所有的HotFix,其中有一些hotfix修復的漏洞只存在於某些特定配置中。
8、安裝殺毒軟件,推薦諾頓的企業版本8.0,要經常升級
最後,建議大家還是再用X-SCAN等掃描工具進行本機的全面掃描,及時發現漏洞,及時修補,這樣就算不安裝防火牆也能達到一定的防護水准了,當然,除非你自己隨便的下載不知來路的東西,自毀長城,那我也沒有辦法了。上述的辦法中,最主要的就是封閉ICMP協議,以達到阻止PING和掃描的目的,但又不會妨礙你的網絡活動,,
