Windows2003Server設(shè)置大搜羅(5)

　　17.可用的殺毒軟件和防火墻：

　　Symantec Norton Antivirus Corporate 8.01

　　Zone Alarm 3.7.159

　　Norton Personal Firewall 2003

　　五、如何防范ipc$入侵

　　1、禁止空連接進(jìn)行枚舉(此**作并不能阻止空連接的建立)

　　首先運(yùn)行regedit，找到如下組建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把

　　RestrictAnonymous = DWORD的鍵值改為：00000001。

　　restrictanonymous REG_DWORD

　　0x0 缺省

　　0x1 匿名用戶無法列舉本機(jī)用戶列表

　　0x2 匿名用戶無法連接本機(jī)IPC$共享

　　說明：不建議使用2，否則可能會造成你的一些服務(wù)無法啟動，如SQL Server

　　2、禁止默認(rèn)共享

　　1)察看本地共享資源

　　運(yùn)行-cmd-輸入net share

　　2)刪除共享(每次輸入一個)

　　net share ipc$ /delete

　　net share admin$ /delete

　　net share c$ /delete

　　net share d$ /delete(如果有e,f,……可以繼續(xù)刪除)

　　3)修改注冊表刪除共享

　　運(yùn)行-regedit

　　找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer(DWORD)的鍵值改為：00000000。

　　如果上面所說的主鍵不存在，就新建(右擊-新建-雙字節(jié)值)一個主健再改鍵值。

　　3、停止server服務(wù)

　　1)暫時停止server服務(wù)

　　net stop server /y (重新啟動后server服務(wù)會重新開啟)

　　2)永久關(guān)閉ipc$和默認(rèn)共享依賴的服務(wù)：lanmanserver即server服務(wù)

　　控制面板-管理工具-服務(wù)-找到server服務(wù)(右擊)-屬性-常規(guī)-啟動類型-已禁用

　　4、安裝防火墻(選中相關(guān)設(shè)置)，或者端口過濾(濾掉139,445等)

　　1)。解開文件和打印機(jī)共享綁定

　　鼠標(biāo)右擊桌面上[網(wǎng)絡(luò)鄰居]→[屬性]→[本地連接]→[屬性]，去掉“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”前面的勾，解開文件和打印機(jī)共享綁定。這樣就會禁止所有從139和445端口來的請求，別人也就看不到本機(jī)的共享了。

　　2)。利用TCP/IP篩選

　　鼠標(biāo)右擊桌面上[網(wǎng)絡(luò)鄰居]→[屬性]→[本地連接]→[屬性]，打開“本地連接屬性”對話框。選擇[Internet協(xié)議(TCP/IP)]→[屬性]→[高級]→[選項]，在列表中單擊選中“TCP/IP篩選”選項。單擊[屬性]按鈕，選擇“只允許”，再單擊[添加]按鈕(如圖2)，填入除了139和445之外要用到的端口。這樣別人使用掃描器對139和445兩個端口進(jìn)行掃描時，將不會有任何回應(yīng)。

　　3)。使用IPSec安全策略阻止對端口139和445的訪問

　　選擇[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略，在本地機(jī)器]，在這里定義一條阻止任何IP地址從TCP139和TCP445端口訪問IP地址的IPSec安全策略規(guī)則，這樣別人使用掃描器掃描時，本機(jī)的139和445兩個端口也不會給予任何回應(yīng)。

　　4)。使用防火墻防范攻擊

　　在防火墻中也可以設(shè)置阻止其他機(jī)器使用本機(jī)共享。如在“天網(wǎng)個人防火墻”中，選擇一條空規(guī)則，設(shè)置數(shù)據(jù)包方向為“接收”，對方IP地址選“任何地址”，協(xié)議設(shè)定為“TCP”，本地端口設(shè)置為“139到139”，對方端口設(shè)置為“0到0”，設(shè)置標(biāo)志位為“SYN”，動作設(shè)置為“攔截”，最后單擊[確定]按鈕，并在“自定義IP規(guī)則”列表中勾選此規(guī)則即可啟動攔截139端口攻擊了(如圖3)。

　　5、給所有賬戶設(shè)置復(fù)雜密碼，防止通過ipc$窮舉密碼

　　六、各種vlk版本的Windows在線更新(win2003 server也可以)

　　以下地址適合于各種vlk版本的Windows在線更新(實際上是從微軟站點下載更新包，然后自行安裝)。該方法不像xp內(nèi)置在線更新那樣檢查序列號的合法性。已經(jīng)測試，可用。