既然認識了黑客攻擊的危害性，而我們又不能“群起而攻之”，那樣做太有違“俠義精神”了！所謂無風不起浪，如果我們堵住系統的缺口，讓黑客無處下手，豈不更好！來看看都有哪些是黑客經常攻擊的缺口。不必要的協議和端口端口是計算機和外部網絡相連的邏輯接口，也是計算機的第一道屏障，所以端口配置正確與否直接影響到我們主機的安全。一般來說，僅打開需要使用的端口會比較安全，不過關閉端口意味著減少功能，所以我們需要在安全和功能上面做一些平衡。對于那些我們根本用不著的功能，就沒必要將端口開給黑客了，所以作為管理員，我關閉了平時不常使用的協議和端口。在配置系統協議時，不需要的協議統統刪除。對于服務器和主機來說，一般只安裝TCP/IP協議就夠了。鼠標右擊“網絡鄰居”，選擇“屬性”，再鼠標右擊“本地連接”，選擇“屬性”，卸載不必要的協議(如圖1)。NETBIOS是很多安全缺陷的源泉，對于不需要提供文件和打印共享的主機，還可以將綁定在TCP/IP協議的NETBIOS給關閉，避免針對NETBIOS的攻擊。選擇[TCP/IP協議]→[屬性]→[高級]，進入“高級TCP/IP設置”對話框，選擇“WINS”標簽，勾選“禁用TCP/IP上的NETBIOS”一項(如圖2)，關閉NETBIOS。

圖1卸載不必要的協議當然，對于文件和打印共享服務的137、138、139和445端口，還可以采用以下的方法來關閉。鼠標右擊“網絡鄰居”，選擇“屬性”，選擇“網絡和撥號連接”對話框的“高級”菜單，選擇“高級設置”命令，進入高級設置對話框(如圖3)，在出現的畫面中的上部選擇所需的連接，下部取消“文件和打印機共享”項(保持空選)，即可禁止這幾個端口。

圖2關閉NETBIOS 另外對于協議和端口的限制，也可采用以下方法：[網上鄰居]→[屬性]→[本地連接]→[屬性]→[Internet協議(TCP/IP)]→[屬性]→[高級]→[選項]→[TCP/IP篩選]→[屬性]，勾選“啟用TCP/IP篩選”，只允許需要的TCP，UDP端口和協議即可。不過對于Windows 2000的端口過濾來說，有一個不好的特性：只能規定打開哪些端口，不能規定關閉哪些端口，這樣對于需要開大量端口的用戶就比較痛苦，而且由于端口過濾有時會阻塞合法的連接，占用的資源太多，對主機性能有些影響，所以一般只在網絡邊界的網關上進行端口過濾，在一般的Windows主機上可以不做。

圖3關閉打印共享端口

圖4禁用服務不必要的服務 服務開的多可以給管理帶來方便，但開的太多卻不是個好事，特別是對于那些我這個管理員都不知道是干什么的服務，最好關掉，免得給系統帶來災難。所以在不需要遠程管理計算機時，我都會將有關遠程網絡登錄的服務關掉。進入控制面板的“管理工具”，運行“服務”，進入服務界面，雙擊右側列表中需要禁用的服務，在打開的服務屬性的常規標簽頁“啟動類型”一欄，點擊小三角形按鈕選擇“已禁用”(如圖4)，再點擊[啟動]按鈕，最后確定即可。除非特別需要，否則一般情況下需要禁用以下一些服務：把這些服務停止之后，不僅能保證Windows 2000的安全性，還可以提高其運行速度呢，可謂一舉兩得。通過以上的操作，我們就可以堵住黑客入侵時的必經之路，從而保障主機的安全性，在進行Windows 2000的設置時，我們只要記住一個原則，那就是：最小的權限+最少的服務=最大的安全。 服 務 用 途 alerter 通知所選用戶和計算機有關系統管理級警報。 clipbook 支持“剪貼簿查看器”，以便可以從遠程剪貼簿查閱剪貼頁面。 computer browser 維護網絡上計算機的最新列表以及提供這個列表給請求的程序。 dhcp client 通過注冊和更改 ip 地址以及 dns 名稱來管理網絡配置。 messenger 發送和接收系統管理員或者“警報器”服務傳遞的消息。 net logon 支持網絡上計算機 pass-through 賬戶登錄身份驗證事件。 network dde 提供動態數據交換 (dde) 的網絡傳輸和安全特性。 network dde dsdm 管理網絡 dde 的共享動態數據交換。 runas service 在不同憑據下啟用啟動過程。 remote registry
service 允許遠程注冊表操作。 server 提供 rpc 支持、文件、打印以及命名管道共享。 task scheduler 允許程序在指定時間運行。 tcp/ip netbios

helper service 允許對“tcp/ip 上 netbios (netbt)”服務以及 netbios 名稱解析的持。 telnet 允許遠程用戶登錄到系統并且使用命令行運行控制臺程序。 workstation 提供網絡鏈接和通訊。