第七课（个人电脑安全设置）

                          第七课


网站 www.atcpu.com


个人计算机的安全设置。




计算机的服务：管理计算机各种软硬件项目。








1 打开方式 ---控制面板-----管理工具---服务。


2 运行输入 services.msc




禁止的服务


1.Remote Desktop Help Session Manager:允许受权的用户通过NetMeeting在网络上互相访问对方。这


项服务对大多数个人用户并没有多大用处，况且服务的开启还会带来安全问题，因为上网时该服务会把用


户名以明文形式发送到连接它的客户端，黑客的嗅探程序很容易就能探测到这些账户信息。


2.UniversalPlugandPlayDeviceHost:此服务是为通用的即插即用设备提供支持。这项服务存在一个安全


漏洞，运行此服务的计算机很容易受到攻击。攻击者只要向某个拥有多台WinXP系统的网络发送一个虚假


的UDP包，就可能会造成这些WinXP主机对指定的主机进行攻击(DDOS)。另外如果向该系统1900端口发送一


个UDP包，就有可能使系统陷入一个死循环，消耗掉系统的所有资源


3. Remote Access Auto Connection Manager 无论什么时候当某个程序一个远程 DNS 或 NetBios


名或者地址就创建一个到远程网络的连接。








4.TerminalServices:允许多位用户连接并控制一台机器，并且在远程计算机上显示桌面和应用程序。如


果你不使用WinXP的远程控制功能，可以禁止它。


5.RemoteRegistry:使远程用户能修改此计算机上的注册表设置。注册表可以说是系统的核心内容，一般


用户都不建议自行更改，更何况要让别人远程修改，所以这项服务是极其危险的。


6.FastUserSwitchingCompatibility:在多用户下为需要协助的应用程序提供管理。WindowsXP允许在一


台电脑上进行多用户之间的快速切换，但是这项功能有个漏洞，当你点击“开始→注销→快速切换”，在


传统登录方式下重复输入一个用户名进行登录时，系统会认为是暴力破解，而锁定所有非管理员账户。如


果不经常使用，可以禁止该服务。或者在“控制面板→用户账户→更改用户登录或注销方式”中取消“使


用快速用户切换”。


7.Telnet:允许远程用户登录到此计算机并运行程序，并支持多种TCP/IPTelnet客户，包括基于UNIX和


Windows的计算机。又一个危险的服务，如果启动，远程用户就可以登录、访问本地的程序，甚至可以用


它来修改你的ADSLModem等的网络设置。除非你是网络专业人员或电脑不作为服务器使用，否则一定要禁


止它。


8.PerformanceLogsAndAlerts:收集本地或远程计算机基于预先配置的日程参数的性能数据，然后将此数


据写入日志或触发警报。为了防止被远程计算机搜索数据，坚决禁止它。


9.RemoteDesktopHelpSessionManager:如果此服务被终止，远程协助将不可用。


10.TCP/IPNetBIOSHelper:NetBIOS在Win9X下就经常有人用它来进行攻击，对于不需要文件和打印共享的


用户，此项也可以禁用。










下面来讲解端口的关闭




端口
　　有人曾经把服务器比作房子，而把端口比作通向不同房间（服务）的门，入侵者要占领这间房子，势


必要破门而入，那么对于入侵者来说，了解房子开了几扇门，都是什么样的门，门后面有什么东西就显得


至关重要。 　　入侵者通常会用扫描器对目标主机的端口进行扫描，以确定哪些端口是开放的，从开放的


端口，入侵者可以知道目标主机大致提供了哪些服务，进而猜测可能存在的漏洞，因此对端口的扫描可以


帮助我们更好的了解目标主机，而对于管理员，扫描本机的开放端口也是做好安全防范的第一步。




netstat -an


总而言之，我们这里所说的端口，不是计算机硬件的I/O端口，而是软件形式上的概念。根据提供服务类型


的不同，端口分为两种，一种是TCP端口，一种是UDP端口。计算机之间相互通信的时候，分为两种方式：


一种是发送信息以后，可以确认信息是否到达，也就是有应答的方式，这种方式大多采用TCP协议；一种是


发送以后就不管了，不去确认信息是否到达，这种方式大多采用UDP协议。对应这两种协议的服务提供的端


口，也就分为TCP端口和UDP端口。 　　那么，如果攻击者使用软件扫描目标计算机，得到目标计算机打


开的端口，也就了解了目标计算机提供了哪些服务。我们都知道，提供服务就一定有服务软件的漏洞，根


据这些，攻击者可以达到对目标计算机的初步了解。如果计算机的端口打开太多，而管理者不知道，那么


，有两种情况：一种是提供了服务而管理者没有注意，比如安装IIS的时候，软件就会自动增加很多服务，


而管理员可能没有注意到；一种是服务器被攻击者安装木马，通过特殊的端口进行通信。这两种情况都是


很危险的，说到底，就是管理员不了解服务器提供的服务，减小了系统安全系数。








默认情况下，Windows有很多端口是开放的，在你上网的时候，网络和黑客可以通过这些端口连上你的电


脑。为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：




TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行的后门端口(如 TCP


2745、3127、6129 端口)，以及远程服务端口3389。










　　1.在Windows XP/2000/2003下关闭这些网络端口：


　　第一步，“开始”菜单/设置/控制面板/管理工具，双击打开“本地策略”，选中“IP 策略，在本地


计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”于是弹出一个向


导。在向导中“下一步”按钮，为新的安全策略命名;再按“下一步”，则显示“安全通信请求”画面，在


画面上把“激活默认相应规则”左边的钩去掉，“完成”按钮就创建了一个新的IP 安全策略。


　　第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“


添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上“添加”按钮，弹出IP筛选器列表


窗口;在列表中，首先把“使用添加向导”左边的钩去掉，然后再右边的“添加”按钮添加新的筛选器。


　　第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选


“我的 IP 地址”;“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口


”下的文本框中输入“135”，“确定”按钮(如左图)，这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选


器，它可以防止外界通过135端口连上你的电脑。


　　首先“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加


TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的筛选器。


　　重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的筛选器


，最后“确定”按钮。


　　第四步，在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后其左边的圆圈上加一个点，


表示已经激活，最后“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩


去掉，“添加”按钮，添加“阻止”操作(右图)：在“新筛选器操作属性”的“安全措施”选项卡中，选


择“阻止”，然后“确定”按钮。


　　第五步、进入“新规则属性”对话框，“新筛选器操作”，其左边的圆圈会加了一个点，表示已经激


活，“关闭”按钮，关闭对话框;最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边


打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略，然后


选择“指派”。


　　于是重新启动后，电脑中上述网络端口就被关闭了，病毒和黑客再也不能连上这些端口，从而保护了


你的电脑。




再见 下节课见