第3课 实验6常用服务关闭.doc

实验6 关闭常用端口及服务方法 【实验目的】 掌握限制端口防非法入侵。一般来说，我们采用一些功能强大的反黑软件和防火墙来保证我们的系统安全，本实验拟用一种简易的办法——通过限制端口来帮助大家防止非法入侵。 【实验意义、原理】 入侵者通常会用扫描器对目标主机的端口进行扫描，以确定哪些端口是开放的，从开放的端口，入侵者可以知道目标主机大致提供了哪些服务，进而猜测可能存在的漏洞，因此对端口的扫描可以帮助我们更好的了解目标主机，而对于管理员，关闭本机的开放端口也是做好安全防范的第一步 【实验环境】 所有实验在虚拟机windows服务器操作系统中完成。注：除“服务”中关端口外，注册表中关闭端口，要重启机器才能生效。 以下实验要能关闭能开启。 【实验步骤及案例】 1、 删除共享以防范共享入侵net share admin$ /delete 注意这个隐藏符号net share c$ /delete 2、 删除ipc$空连接，以防范共享入侵在运行内输入regedit，在注册表中找到 HKEY-LOCAL_MACHINE\SYSTEM CurrentControSet \Control \LSA 项里数值名称 RestrictAnonymous的数值数据由0改为1。  3、135端口的关闭 利用135端口的黑客想要得到管理员的账号和口令，过程往往是很简单，他们似乎部有自己的方法和手段。关闭135端口，停止可能被黑客利用的RPC服务，不给他们任何能够利用系统弱点的机会。 ?? 但单纯地将RPC服务停止会对某些网络用户造成不必要的麻烦。在网络中，只有使用微软DCOM技术的程序才会调用RemoteProcedure Call，也就是135端口服务，所以在面临这个问题时，将DCOM服务停止是最好的方法。 ?? 首先点击“开始”菜单，在“运行”里输入dcomcnfg.exe命令，在弹出的设置窗口中选择“默认设置”标签选项，然后点击选择此选项页面中的“在这台计算机上启用分布式COM”选项，最后点击确定完成。这样你就可以很好地保护你的电脑了，任何黑客都无法对你电脑中的DCOM服务和DCOM应用程序进行远程操作与访问，达到了既不关闭又能够停止135端口，让黑客放弃攻击你的目的。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM的值改为“N” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\DCOM Protocols 中删除“ncacn_ip_tcp” 停用“Distributed Transaction Coordinator”服务。 4、445端口的关闭 ?? 当电脑中没有安装防火墙的时候，我们可以通过注册表来手工关闭，在开始运行菜单输入“regedit”打开注册表编辑器，然后依次单击“HKEY-LOCAL-MACHINE\SYSTEM\Current ControlSet\Services\NetBT\Parameters”分支，新建一个名为“SMBDeviceEnabled”的双字节值。最后双击“SMBDeviceEnabled”选项，在弹出的数值设置界面中，将其数值设置为“0”。关闭注册表编辑界面，将系统重新启动，445服务端口就会被彻底的关闭了。HKEY_LOCAL_MACHINE\ System\Current ControlSet \Services\ NetBT\ Parameters建立一个SMBDeviceEnabled 为REG_DWORD类型键值为0 5、关闭3389端口（默认情况是关闭的）： 在服务器中，3389端口的开放是必需的，因为任何服务器的管理员如果想很好地管理自己的服务器，都需要开启这种方便的网络管理服务。不过3389端口一旦开启，必然会引来无数黑客，即便那些黑客破解不了密码，也很可能占用你的连接请求数，使你无法登录自己的服务器。 关闭服务器中的3389端口的方法很简单。在windows2000或2003中，进入控制面板，然后选择“管理工具”中的“服务”，在弹出的服务列表中，选中“Terminal Services”，将该服务的启动类型改为“手动”，然后停止这个服务就可关闭3389端口了。 在windows XP中被黑客悄悄开启远程协作的现象也不是没有发生过。可以右键点击“我的电脑”，进入“系统属性”窗口中的“远程”选项卡界面，取消对“远程桌面”和“远程协作”选择，再单击确定即可关闭3389端口。 6、关闭137、138端口： 137端口：137端口主要用于“NetBIOS Name Service”（NetBIOS名称服务） ?? 在关闭137和138端口之前，先介绍一下NetBIOS服务。很多人认为Net