(完整版)WindowsServer2008R2WEB服务器安全设置指南(四)之禁用不必要的服务和关闭端口

1、Windows Server 2008 R2 WEB 服务器安全设置指南（四）之禁用不必要的服务和关闭端口安全是重中之重，以最少的服务换取最大的安全。通过只启用需要用到的服务、关闭暂时用不到的服务或不用的服务，这样最大程度来提高安全性。作为web服务器，并不是所有默认服务都需要的，所以像打印、共享服务 都可以禁用。当然了，你的系统补丁也需要更新到最新， 一些端口的漏洞已经随 着补丁的更新而被修复了。网上的一些文章都是相互复制且是基于win2003系统较多，而win2008相比win2003本身就要安全很多。那我们为什么还要谈关闭端口呢，因为我们要防患于未然，万一服务器被黑 就不好玩了。禁用不必

2、要的服务控制面板管理工具服务：把下面的服务全部停止并禁用。TCP/IP NetBIOS HelperServer这个服务器需要小心。天翼云主机需要用到这个服务，所以在天翼 云主机上不能禁用。Distributed Link Tracking ClientMicrosoft Search如果有，禁用Print SpoolerRemote Registry因为我们使用的是云主机，跟单机又不一样，所以有些服务并不能一概而论, 如上面的Server服务。例如天翼云的主机，上海 1和内蒙池的主机就不一样， 内蒙池的主机需要依赖Server服务，而上海1的不需要依赖此服务，所以上海 1的可以禁用，内蒙池就

3、不能禁用了。所以在禁用某一项服务时必须要小心再小心。删除文件打印和共享本地连接右击属性，删除TCP/IPV6、Microsoft网络客户端、文件和打印 共享。网络用卦寸假用:1"V'xnet3 Ethernet AAaftir- #6"菖债© 一 此速接使用下列项目由：Microsoft网络客户端自宾5数据包计加屣序J§Mi-oEo£t网络的文件和打印机共享 a工ntern”协谀版本§ CTCP/IM) . 谪i；ri海 协议版本4 GCP/IPv4 ) a锯路层拓扑发预映射器I/O版助程序V：二第路层拓扑发现响应程序安芸m

4、.|a瞳.皿| 司一|声允详您的计苴机访问网珞上的资源a邨肖确定打开防火墙，入站规则，所的“网络发现”和“文件和打印机共享”的规则 全部禁用。入站投寤网络发现 网络发现 网络发现 网络整现 文件和打印机共享 文件和打印机共享 文件和打即机共享 文件和打印机共享 文件和打印机共完 文件和打E 口机共享 文件和打印机共享 文件和打印机共享 文件和打印机共事一 色 否否否否香否否否否否否否否否否否否否否否否否否否否否否有否-S否舌舌舌舌舌舌一用 用 公公 用用用 用 用 用用用 用 用用用 用用用 用用用用 用 用甩 甩 有有. 必W必捶专场公掘公专专域公城公专专域公专公城域专公专公域公博专雪域专做

5、斯也U网络发现酷D Eveihl sSec we-In）g网络发现值口-工垃0网络版现的下迎a网络发现解口-Iio0文件和机共享（miM-VDF-In） J文件和打t|机共享赢文件和抵IM共享tmiMK-mP-In）<J文件和打啷共事内一口外安审所-1G <J文件和打咏共享如2共电granr工i0 J为牛和行£血共享gRatgarrlnJ 国文件和才其皿共享（B-Hame-IiO 0文件和打共享史-"） Q文件和打印机共享（B-Ham工Q日文件和打£卸1共享州Tcwiokd）文件和打印机排拿*文件和打共享如一立"“血）文件和打印机扶事点文件和

6、打印机共隼（KEF”出亡口0文件和打印机共享日文件和打£阚共享C1B-In）文件和打印机其享电文件和打tlWl共享OT-InJ文件和打印机共享与文件和弋正口机共享GMB-InD文件和打印机真拿0文件和打EIW1洪亭怎台打印程序服务文件和打印机共享文件和打W机挂享总台怔瞪序服密一文件和打印机共享 u文件和打机共享的白打印程痉朋务.文件和打En机共事由文件和打£血共享定台打印程摩服务.文件和打印机第拿 5,文件和打共享器自打t喳序服务文件和打印机共享 3文件和打叫1共享宸自打印程序朋期.文件和打印机共享 J文件和打EIM共孽（回髭请求一 ICMFv4.攵件和打印机共孽 包文件和

7、才Fim共享回显请求- RMF榨.文件和打印机共享 6文件和打共事（回显请求-ICMFy4.文件和打印机共享 ©文件和抵口机共孽回显清求-Mfv6 .文件和打印机共三立文件和才HIM共享回显清求-工匚Mfvfi.文件和打印机共享 之文件和打帆共享（回显清求-工EF证.文件和打印机共享 6性能日志和磬报COCOM-I.）性能日志和害报性能日志腌报OJCQi-lu）性豫日志和警报*性能巳志和警报（ICF-Iit）性能日志和警报O性能臼志和警4艮Crcp-iti）性能臼志和善报电远程服务管理班-W远程照为管理>远程服努管理杷匚）远程服箝管理1_,- - f"关闭端口关闭13

8、9端口本地连接右击属性，选择“ TCP/IPV4协议”，属性，在“常规”选项卡下 选择“高级”，选择“ WINS”选项卡，选中“禁用 TCP/IP上的NetBIOS ' 这样即关闭了 139端口。常缴TCF/IP袭或工F 设置DiTS WIHE |-虹彩 地址,按使用排序加：琴姆帕I篇勒删除如果启用U«HDSTS查找它将应用于所有启用TCF/IP的谆接力F7启用UIKDSTS查找（！）导人,日册0仃3卬1 .NetBIOS 设置C默认伊土林DMCF胭行百馆用NetBIOS设贵京姐果使用静态IF地 址变服叁需求触场皿3戏署？购点靖rcr/ir£的 atEJOE 4r

9、启用TCF/工F上的NBIDS4）国禁用TCP工E上的NetBIOS CSJ定 1 取消 |使用IP安全策略关闭端口1 .点击 控制面板-管理工具”，双击打开"本地策略"，选中"IP安全策略，在 本地计算机“右边的空白位置右击鼠标，弹出快捷菜单，选择"创建IP安全策略”， 弹出向导。在向导中点击下一步，当显示“安全通信请求”画面时，“激活默认相应规则”左边的按默认留空，点“完成”就创建了一个新的 IP安全策略。2 .右击刚才创建的新的IP安全策略，在“属性”对话框中，把“使用添加 向导”左边的钩去掉，然后再点击右边的“添加”按纽添加新的规则，随后弹出“新

10、规则属性”对话框，在画面上点击“添加”按纽，弹出 IP筛选器列表窗口。 在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的 “添加" 按纽 添加新的筛选器。3 .进入“筛选器属性”对话框，首先看到的是寻地址，源地址选“任何 IP 地址”，目标地址选“我的IP地址”，点击“协议”选项卡，在“选择协议类 型”的下拉列表中选择“TCP”，然后在“到此端口”的下的文本框中输入“135” 点击确定。这样就添加了一个屏蔽 TCP135端口的筛选器，可以防止外界通过 135端口连上你的电脑。点确定后回到筛选器列表的对话框， 可以看到已经添加了一条策略。重复以上步 骤继续添力口 TCP137 139 445 593 1025 2745 3127 3128 3389 6129端口和udp 135 139 445 端口，为它们建立相应的筛选器。建立好上述端口的筛选器， 最后点击确定按纽。4 .在“新规则属性”对话框中，选中“新IP筛选器列表”然后点击其左边 的复选框，表示已经激活。最后点击“筛选器操作”选项卡中，把“使用添加向 导”左边的钩去掉，点击“添加”按钮，在“新筛选器操作属性”的“安全方