windows 2003开关端口_windows2003开关端口
windows 2003开关端口由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“windows2003开关端口”。
在默认状态下,Windows会打开很多“服务端口”,如果你想查看本机打开了哪些端口、有哪些电脑正在与本机连接.Windows提供了netstat命令,能够显示当前的 TCP/IP 网络连接情况,注意:只有安装了TCP/IP协议,才能使用netstat命令。在命令提示符下打netstat-an命令进行查看!其中Proto代表协议, Local Addre代表本机IP地址和打开的端口号,Foreign Addre是远程计算机IP地址和端口号,State表明当前TCP的连接状态.还可以输入了netstat-nab命令,显示每个连接都是由哪些程序创建的和该程序调用的组件。下面是State一些英文的含义:
LISTEN:侦听来自远方的TCP端口的连接请求
SYN-SENT:再发送连接请求后等待匹配的连接请求
SYN-RECEIVED:再收到和发送一个连接请求后等待对方对连接请求的确认
ESTABLISHED:代表一个打开的连接
FIN-WAIT-1:等待远程TCP连接中断请求,或先前的连接中断请求的确认
FIN-WAIT-2:从远程TCP等待连接中断请求
CLOSE-WAIT:等待从本地用户发来的连接中断请求
CLOSING:等待远程TCP对连接中断的确认
LAST-ACK:等待原来的发向远程TCP的连接中断请求的确认
TIME-WAIT:等待足够的时间以确保远程TCP接收到连接中断请求的确认
CLOSED:没有任何连接状态
默认情况下Windows有很多端口是开放的,一旦你上网,黑客可以通过这些端口连上你的电脑,因此你应该封闭这些端口。主要有:TCP139、445、593、1025 端口和 UDP123、137、138、445、1900端口、一些流行病毒的后门端口(如 TCP 2513、2745、3127、6129 端口),以及远程服务访问端口3389。关闭端口的方法很多,这里介绍一点: ①137、138、139、445端口:它们都是为共享而开放的,你应该禁止别人共享你的机器,所以要把这些端口全部关闭,方法是:单击“开始→控制面板→系统→硬件→设备管理器”,单击“查看”菜单下的“显示隐藏的设备”,双击“非即插即用驱动程序”,找到并双击NetBios over Tcpip,在打开的“NetBios over Tcpip属性”窗口中,单击选中“常规”标签下的“不要使用这个设备(停用)”,如图3,单击“确定”按钮后重新启动后即可。
②关闭UDP123端口:单击“开始→设置→控制面板”,双击“管理工具→服务”,停止Windows Time服务即可。关闭UDP 123端口,可以防范某些蠕虫病毒。
③关闭UDP1900端口:在控制面板中双击“管理工具→服务”,停止SSDP Discovery Service 服务即可。关闭这个端口,可以防范DDoS攻击。
④其他端口:你可以用网络防火墙来关闭,或者在“控制面板”中,双击“管理工具→本地安全策略”,选中“IP 安全策略,在本地计算机”,创建 IP 安全策略来关闭。
还有就是重定向本机默认端口,保护系统安全
如果本机的默认端口不能关闭,你应该将它“重定向”。把该端口重定向到另一个地址,这样即可隐藏公认的默认端口,降低受破坏机率,保护系统安全。
例如你的电脑上开放了远程终端服务(Terminal Server)端口(默认是3389),可以将它重定向到另一个端口(例如1234),方法是:
2.在客户端上修改
依次单击“开始→程序→附件→通讯→远程桌面连接”,打开“远程桌面连接”窗口,单击“选项”按钮扩展窗口,填写完相关参数后,单击“常规”下的“另存为”按钮,将该连接参数导出为.rdp文件。用记事本打开该文件,在文件最后添加一行:server port:i:1234(这里填写你服务器自定义的端口)。以后,直接双击这个.rdp 文件即可连接到服务器的这个自定义端口了。
首先第一步应该是给系统打最新补丁,因为笔者的WIINDOWS SERVER 2003 非正版,无法升级就去毒霸官方站下载了一个系统清理工具,里面含有补丁更新,(个人推荐使用蛮不错的)更新全部补丁之后开始我们的工作。
从内向外,配置服务器安全
第一 :给CMD加密
主要是防止溢出方面,大家都知道微软的系统溢出漏洞到处可见,再者骇客们进入计算机的着重途径就是拿下CMD权限所以给CMD加密是第一步的窗户纸防御。
首先:写一段批处理文件
代码如下: ================================ @echo off?? color a? /:改变颜色 cls title??? set pa=0 set time=0 echo??? echo 队长别开枪是我啊/////要密码验证才可以哦!/:没什么意思嘿嘿 :start set /p pa=请输入CMD密码: if %pa%==123 goto ok?? 123 /:是我设置的密码,你也可以修改成自己的.if %time%==0 goto end set /A times=%time%-1 :end exit cls :ok title 密码正确!欢迎进入莫无名的DOS世界!/:输入密码正确后进入的标题 =============================== 代码结束,另存格式为.BAT格式放到XX盘下。随后进入注册表,找到如下位置:HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Command proceor双击AutoRun,输入你批处理的绝对路径即可。之后用户要进入CMD时就需输入设置密码,密码正确进入,不正确将自动退出。
第二、关闭高危端口 首先创建IP筛选器和筛选器操作
1、“开始”->“程序”->“管理工具”->“本地安全策略”,微软建议使用本地安全策略进行IPsec的设置,因为本地安全策略只应用到本地计算机上,而通常ipsec都是针对某台计算机量身定作的。只有创建一个IP筛选器和相关操作才能够建立一个相应的IPsec安全策略.3、在“管理 IP 筛选器表”中,按“添加”按钮建立新的IP筛选器:
1)、在跳出的IP筛选器列表对话框内,填上合适的名称,我们这儿使用“tcp135”,描述随便填写.单击右侧的“添加...”按钮,启动IP筛选器向导;
2)、跳过欢迎对话框,下一步;
3)、在IP通信源页面,源地址选“任何IP地址”,下一步; 4)、在IP通信目标页面,目标地址选“我的IP地址”,下一步; 5)、在IP协议类型页面,选择“TCP”.下一步;
6)、在IP协议端口页面,选择“到此端口”并设置为“135”,其它不变.下一步;
7)、完成后关闭IP筛选器列表对话框时会发现tcp135IP筛选器出现在IP筛选器列表中。
注:可接着增加端口号,方法同上,这里不在一一陈述。
4、选择“管理筛选器操作”标签,创建一个拒绝操作: 1)单击“添加”按钮,启动“筛选器操作向导”,下一步;
2)在筛选器操作名称页面,填写名称,这儿填写“拒绝”,下一步; 3)在筛选器操作常规选项页面,将行为设置为“阻止”,下一步; 4)完成,关闭“管理 IP 筛选器表和筛选器操作”对话框。
接着创建IP安全策略
1、右击“Ip安全策略,在本地机器”选择“创建IP安全策略”,启动IP安全策略向导,跳过欢迎页面,下一步;
2、在IP安全策略名称页面,填写合适的IP安全策略名称,这儿我们可以填写“拒绝对tcp135端口的访问”,描述可以随便填写,下一步;
3、在安全通信要求页面,不选择“激活默认响应规则”,下一步; 4.、在完成页面选择“编辑属性”,完成。
5、在“拒绝对tcp135端口的访问属性”对话框中进行设置,首先设置规则: 1)、单击下面的“添加...”按钮,启动安全规则向导,下一步; 2)、在隧道终结点页面选择默认的“此规则不指定隧道”,下一步; 3)、在网络类型页面选择默认的“所有网络连接”,下一步;
4)、在身份验证方法页面选择默认的“windows 2000默认值(Kerberos V5 协议)”,下一步; 5)、在IP筛选器列表页面选择刚建立的“tcp135”筛选器,下一步; 6)、在筛选器操作页面刚建立的“拒绝”操作,下一步;
7)、在完成页面中不选择“编辑属性”,随后确定完成,关闭“拒绝对tcp135端口的访问属性”对话框即可。
指派和应用IPsec安全策略
1、缺省情况下,任何IPsec安全策略都未被指派.首先我们要对新建立的安全策略进行指派,在本地安全策略MMC中,右击我们刚刚建立的“”拒绝对tcp135端口的访问属性“安全策略,选择”指派。
2、立即刷新组策略,使用“secedit /refreshpolicy machine_policy”命令可立即刷新组策略。通过以上方法融会贯通可以关闭自己本机不需要的端口,至于哪些是高危,在这里就不用我说了吧。第三、检测服务器
在这里服务器本身的安全设置基本完成一半了,大家可以使用流光或者X-SAN 等扫描软件在其他机器上对服务器进行扫描看看还有哪些方面有问题,正常来说2003本身安全性就比较高,应该是没问题了,如果条件不允许没有以上骇客软件的话也可登录天网防火墙的官方网站上面有在线端口扫描,可以帮助你检测下自己的服务器。
第四、IIS方面
WINDOWS2003的系统使用IIS 6.0的默认的安全已经很不错了,在安装IIS的时候不推荐开始--控制面板--安装删除程序-系
2、右击“Ip安全策略,在本地机器”,选择“管理 IP 筛选器表和筛选器操作”,启动管理 IP 筛选器表和筛选器操作对话框。统组件安装,不推荐以上,2003里面有一个管理你的服务器用那个安装相对比较好适用新手,因为你每安装一步都会有相应的说明,不需要的服务就别装,IIS的基本设置就不用说了吧应该都会吧网上的文章满天飞,不用的扩展删除。
第五、WEB设置
提到这个WEB就头痛哈,最容易出问题的地方,上传、注入,等等到处都是,面对众多的ASP、PHP、JSP等等后门木马我们怎么办,尤其大型网站诸多版块要是你去一个一个测试那可是长期的工作了,上传漏洞多数因为网站程序本身对后缀的过滤不严格,注入一般是因为网站程序的字符过滤问题,在这里笔者着重于说明的是如何配置安全服务器,对于网站程序本身的漏洞就不解释了,笔者也不专业,笔者用了一款比较流行的ASP后门做的测试,相对相对设置如下:
首先设置:所有盘、windows、Documents and Settings、Program Files 等只允许系统管理员用户访问,其他删除,这样就可以防止ASP木马浏览你的系统盘了,(系统盘为NTFS)也可以单独建立一个用户,此用户设置权限为最低,然后指派给此用户专门就给WEB单独工作。
一、禁用服务里面workstation 服务,可以防止列出用户和服务。
二、使用WScript.Shell组件
WScript.Shell可以调用系统内核运行DOS基本命令 可以通过修改注册表,将此组件改名,来防止此类木马的危害。将注册表下的HKEY_CLASSES_ROOTWScript.Shell及HKEY_CLASSES_ROOTWScript.Shell.1 改名为其它的名字,如:改为WScript.Shell_ChangeName或 WScript.Shell.1_ChangeName。自己以后调用的时候使用这个就可以正常调用此组件了,同时也要将clsid值也改动 HKEY_CLASSES_ROOTWScript.ShellCLSID项目的值,HKEY_CLASSES_ROOTWScript.Shell.1CLSID项目的值,并禁止使用Guest用户使用shell32.dll来防止调用此组件。使用命令:regsvr32 WSHom.Ocx /u也可以将其删除,来防止此类木马的危害。
三、使用Shell.Application组件
由于Shell.Application可以调用系统内核运行DOS基本命令,这里可以通过修改注册表HKEY_CLASSES_ROOTShell.Application 及 HKEY_CLASSES_ROOTShell.Application.1 改名为其它的名字,如:改为Shell.Application_ChangeName或 Shell.Application.1_ChangeName来防止此类木马的危害。同时要将也要将clsid值也改一下,即HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值,HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值,这里也可以将其删除,来防止此类木马的危害。并禁止Guest用户使用shell32.dll来防止调用此组件,使用命令:cacls C:WINNTsystem32shell32.dll /e /d guests 注:操作均需要重新启动WEB服务后才会生效。
四、调用Cmd.exe 禁用Guests组用户调用cmd.exe,命令为cacls C:WINNTsystem32Cmd.exe /e /d guests,最后设置上传存放上传文件的文件夹禁止运行ASP,例外:如果服务器安装S U FTP工具千万要安装6.0以上版本修改默认密码防止提权,FTP、SA、等密码一定要设得复杂些,目前很多人都设置为“默认”。
由于我们设置该文件夹禁止运行ASP,如果对方通过WBE漏洞想利用上传ASP文件进入的话,那是无用的,这里假设对方通过某种手段运行了ASP后门,那么管理人员也可以在了解一ASP后门的基本功后能,采用相对的应付方法即可防范,如下:
1、查看系统盘符:设置了USERS组无法访问或使用的专门用户没有权限。
2、查看Documents and Settings、Program Files 文件夹:设置无权限。
3、列用户组与进程:禁用了workstation 服务。
4、调用CMD:设置USERS用户组没有权限调用行为。
5、调用WScript.Shell与Shell.Application :删除或者进行修改。
6、S U提权:改动密码。
申请书中国电信:兹有我公司办公电脑远程需申请8080的端口,我公司服务器的IP是:192.168.1.240:8080......
菊花论坛--IT认证家园 » 『 思科认证 』 » 《 CCNA CCDA 》 » TCP/IP TCP/IP端口大全所有已知的端口号,协议TCP 1=TCP Port Service Multiplexer TCP 2=Death TCP 5=Remot......
关于开通收费网络端口的申请报告由于目前各个网络免费端口对发布帖子数量有一定限制,影响了房源出租信息的覆盖面和出房时间。为此,业务部现申请开通部分收费端口,以加大每天的......
关于开放 公司专线用户80端口的申请中电信武汉xxxx[2010] 号政企客户部:现有政企专线用户要求开放80端口,已向我部提供网站运营许可证并签订信息安全保证书(或提供互联网备案号......
协议号和端口号的区别网络层-数据包的包格式里面有个很重要的字段叫做协议号。比如在传输层如果是tcp连接,那么在网络层ip包里面的协议号就将会有个值是6,如果是udp的话那个值......
