局域網(wǎng)服務(wù)優(yōu)化和安全配置

摘要: 局域網(wǎng)是信息化網(wǎng)絡(luò)不可分割的重要組成部分，其后臺(tái)服務(wù)優(yōu)化和安全配置是發(fā)揮其功能作用的關(guān)鍵。本文注重從終端客戶機(jī)上配合服務(wù)器著手，綜合服務(wù)功能的啟動(dòng)選擇和安全設(shè)置法、組策略法、端口關(guān)閉法四個(gè)方面詳細(xì)論述局域網(wǎng)服務(wù)優(yōu)化和安全配置。

關(guān)鍵詞：局域網(wǎng)；服務(wù)優(yōu)化；安全配置

中圖分類號(hào)：TP37文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)05-10ppp-0c

1 引言

局域網(wǎng)[1]的一大特點(diǎn)就是擁有一定數(shù)量的終端用戶。它的應(yīng)用可謂非常的廣泛，尤其在學(xué)校機(jī)房、宿舍、家庭、企業(yè)單位、網(wǎng)吧等地方更是多見，服務(wù)與安全是普遍存在的任務(wù)。本人所在的一個(gè)局域網(wǎng)的終端用戶有600多個(gè)，為了局域網(wǎng)后臺(tái)服務(wù)優(yōu)化和安全配置，我們采用的是終端分段固定IP設(shè)置的方法，采用服務(wù)啟動(dòng)或關(guān)閉、組策略與注冊(cè)表優(yōu)化的方法，在終端客戶機(jī)與服務(wù)器上雙管齊下，較好地進(jìn)行了服務(wù)優(yōu)化和安全配置。

2 服務(wù)優(yōu)化和安全配置

服務(wù)優(yōu)化和安全配置在操作系統(tǒng)WindowsXP “管理工具”下的“服務(wù)”中打開，打開后將看到服務(wù)列表，有些服務(wù)已經(jīng)啟動(dòng)，有些則沒有。選擇要配置的服務(wù)，然后設(shè)置“屬性”。在“常規(guī)”選項(xiàng)卡上選擇“自動(dòng)”、“手動(dòng)”或“禁用”，其中“自動(dòng)”表示每次系統(tǒng)啟動(dòng)時(shí)，WindowsXP都自動(dòng)啟動(dòng)該服務(wù)；“手動(dòng)”表示W(wǎng)indowsXP不會(huì)自動(dòng)啟動(dòng)該服務(wù)，而是在你需要該服務(wù)時(shí)手動(dòng)啟動(dòng)該服務(wù)；而“禁用”則表示不允許啟動(dòng)該服務(wù)。在實(shí)際配置時(shí)，選擇“手動(dòng)”或者“禁用”都可以實(shí)現(xiàn)關(guān)閉該服務(wù)的目的，推薦使用手動(dòng)功能，這樣隨時(shí)可以啟動(dòng)一些臨時(shí)需要的服務(wù)。

2.1 服務(wù)功能啟動(dòng)關(guān)閉選擇法

有些服務(wù)是WindowsXP所必需的，不能關(guān)閉，否則將會(huì)造成系統(tǒng)崩潰。通過查看各項(xiàng)服務(wù)的功能服務(wù)[2]的說明，最后確認(rèn)開啟或關(guān)閉

2.1.1 關(guān)閉的服務(wù)功能

Alerter[3]：你未連上局域網(wǎng)并且不需要管理警報(bào)。

ApplicationLayerGatewayService：為Internet連接共享和Windows防火墻提供，不用防火墻就關(guān)了。

AutomaticUpdates:自動(dòng)下載安裝Windows更新。

BackgroundIntelligentTransferService：如果禁用了BITS，一些功能，如WindowsUpdate，就無法正常運(yùn)行。

Clipbook：你不需要查看遠(yuǎn)程剪貼簿的剪貼頁面。

distributedlinktrackingclient：維護(hù)計(jì)算機(jī)中或網(wǎng)絡(luò)內(nèi)不同計(jì)算機(jī)中NTFS檔案間的連結(jié)。對(duì)于絕大多數(shù)用戶來說，形同虛設(shè)。

ErrorReportingService：服務(wù)和應(yīng)用程序在非標(biāo)準(zhǔn)環(huán)境下運(yùn)行時(shí)允許錯(cuò)。

HumanInterfaceDeviceAccess：?jiǎn)⒂脤?duì)智能界面設(shè)備(HID)的通用輸入訪問（默認(rèn)禁用）。

HelpandSupport：微軟提供的可以支持說明和幫助文件的服務(wù)。(微軟的幫助實(shí)在太用了，我現(xiàn)在又不想禁用了）。

IMAPICD-BurningCOMService：用ImageMasteringApplicationsProgrammingInterface(IMAPI)管理CD錄制，沒有刻錄機(jī)和不需要系統(tǒng)自帶的刻入功能就關(guān)。

IndexingService：通過靈活查詢語言提供文件快速訪問或者沒有連上局域網(wǎng)。

Messenger：傳輸客戶端和服務(wù)器之間的NETSEND，比如網(wǎng)絡(luò)之間互相傳送提示信息的功能，netsend功能，如不想被騷擾話可以關(guān)閉。

NetLogon：支持網(wǎng)絡(luò)上計(jì)算機(jī)pass-through帳戶登錄，一般計(jì)算機(jī)不太可能去用到登入網(wǎng)絡(luò)審查這個(gè)服務(wù)。

NetMeetingRemoteDesktopSharing(NetMeeting遠(yuǎn)程桌面共享)：讓使用者可以將計(jì)算機(jī)的控制權(quán)分享予網(wǎng)絡(luò)上或因特網(wǎng)上的其它使用者，如果重視安全性不想多開后門，此項(xiàng)關(guān)閉。

NetworkDDE：為動(dòng)態(tài)數(shù)據(jù)交換(DDE)對(duì)在相同或不同計(jì)算機(jī)上執(zhí)行的程序提供網(wǎng)絡(luò)傳輸和安全性。如果這個(gè)服務(wù)被停止，DDE傳輸和安全性將無法使用。任何明確依存于它的服務(wù)將無法啟動(dòng)。一般用不到可以關(guān)閉。

NetworkDDEDSDM：信息動(dòng)態(tài)數(shù)據(jù)交換，網(wǎng)絡(luò)共享。如果這個(gè)服務(wù)被停止，DDE網(wǎng)絡(luò)共享將無法使用。任何明確依存于它的服務(wù)將無法啟動(dòng)。

NTLMSecuritySupportProvider：為沒有使用命名管道傳輸?shù)倪h(yuǎn)程過程調(diào)用(RPC)程序提供安全性。如果不使用MessageQueuing或是TelnetServer那就關(guān)了它，一般用戶也用不上。

PrintSpooler：將文件加載到內(nèi)存中以便遲后打印，沒有打印機(jī)可以關(guān)了；

RemoteDesktopHelpSessionManager：管理并控制遠(yuǎn)程協(xié)助。如果此服務(wù)停止的話，遠(yuǎn)程協(xié)助將無法使用

RemoteRegistry：使遠(yuǎn)程用戶能修改此計(jì)算機(jī)上的注冊(cè)表設(shè)置，安全性的理由，如果沒有特別的需求，建議最好關(guān)了它，除非你需要遠(yuǎn)程協(xié)助修改你的登錄設(shè)定

RoutingandRemoteAccess：提供連到局域網(wǎng)及廣域網(wǎng)的公司的路由服務(wù)。提供撥號(hào)聯(lián)機(jī)到網(wǎng)絡(luò)或是VPN服務(wù)，一般用戶用不到，可以關(guān)閉

SmartCard：管理這個(gè)計(jì)算機(jī)所讀取智能卡的存取。如果這個(gè)服務(wù)被停止，這個(gè)計(jì)算機(jī)將無法讀取智能卡，如果不使用智能卡關(guān)了。

SSDPDiscoveryService：?jiǎn)⒂脤?duì)計(jì)算機(jī)使用的舊版非即插即用智能卡讀取的支持，如果不使用智能卡關(guān)了。

SystemRestoreService：系統(tǒng)還原不用就關(guān)

TaskScheduler：用戶能夠在這個(gè)計(jì)算機(jī)上設(shè)定自動(dòng)的工作的計(jì)劃，并執(zhí)行。如果停止這個(gè)服務(wù)，這些工作在它們?cè)O(shè)定的時(shí)間時(shí)將不會(huì)執(zhí)行。任何明確依存于它的服務(wù)將無法啟動(dòng)。設(shè)定自動(dòng)的工作計(jì)劃，像一些定時(shí)磁盤掃瞄、..定時(shí)掃瞄、更新等等，但是一般都很少用，可以關(guān)閉

Telnet：?jiǎn)⒂靡粋€(gè)遠(yuǎn)程使用者來登入到這臺(tái)計(jì)算機(jī)和執(zhí)行應(yīng)用程序，以及支持各種TCP/IPTelnet客戶端，基于安全性的理由，如果沒有特別的需求，建議最好關(guān)了。

UninterruptiblePowerSupply：管理連接到這臺(tái)計(jì)算機(jī)的不間斷電源供應(yīng)(UPS)。不間斷電源供應(yīng)(UPS)一般不用，可以關(guān)閉。

基于以上是基本上可以關(guān)的服務(wù)，如果不想手動(dòng)一個(gè)一個(gè)關(guān)閉，可以使用服務(wù)真實(shí)的名稱“start=disabled”命令做一個(gè)批外理。

如：sc config TrkWks start= demand

sc config helpsvc start= demand

sc config PolicyAgent start= demand

sc config dmserver start= demand

sc config WmdmPmSn start= demand

sc config Spooler start= demand

sc config RemoteRegistry start= demand

sc config NtmsSvc start= demand

sc config seclogon start= demand

sc config Schedule start= demand

sc config WebClient start= demand

sc config W32Time start= demand

sc config WZCSVC start= demand

sc config ERSvc start= demand

sc config Themes start= demand

sc config FastUserSwitchingCompatibility start= disabled

sc config Messenger start= disabled

sc config ProtectedStorage start= disabled

sc config SSDPSRV start= disabled

sc config TermService start= disabled

sc config ShellHWDetection start= disabled

2.1.2 保留的服務(wù)功能

PlugandPlay啟用計(jì)算機(jī)以使用者沒有或很少的輸入來識(shí)別及適應(yīng)硬件變更，停止或停用這個(gè)服務(wù)將導(dǎo)致系統(tǒng)不穩(wěn)定。

RemoteProcedureCall(RPC)-系統(tǒng)核心服務(wù)。

WindowsAudio-控制著你聽到的聲音。關(guān)了就沒聲音了！

WindowsManagementInstrumentation-滿重要的服務(wù)，是管＂服務(wù)依靠＂的，但關(guān)了會(huì)出現(xiàn)奇怪的問題。

Workstation-很多服務(wù)都依靠這個(gè)服務(wù)，支持聯(lián)網(wǎng)和打印／文件共享的。

Server支持此計(jì)算機(jī)通過網(wǎng)絡(luò)的文件、打印、和命名關(guān)這個(gè)無法給別人共享文件夾，如果你不用用不著可以關(guān)了這個(gè)。

NetworkConnections管理“網(wǎng)絡(luò)和撥號(hào)連接”文件夾中對(duì)象關(guān)了這個(gè)改ip很麻煩。

2.2.2 安全設(shè)置法

（1）修改SHELL32.DLL防止格式化，和刪除文件和文件夾需要密碼。隱藏不保護(hù)的分區(qū)，將格式化命令“FORMAT\"重命名；

（2）禁用來賓[2]

netshare/deletec$

netshare/deleteADMIN$

netshare/deleted$

netshare/deletee$(有多少默認(rèn)共享就刪多少）[-HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Desktop\\NameSpace\\{450D8FBA-AD25-11D0-98A8-0800361B1103}]

@=\"\"

\"RemovalMessage\"=\"@mydocs.dll，-900\";隱藏卓面上我的文檔

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\HideDesktopIcons\\NewStartPanel]

\"{208D2C60-3AEA-1069-A2D7-08002B30309D}\"=dword:00000001;隱藏卓面上網(wǎng)上鄰居

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\HideMyComputerIcons]

\"{208D2C60-3AEA-1069-A2D7-08002B30309D}\"=dword:00000001;隱藏卓面上網(wǎng)上鄰居

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\DisallowCpl]

\"1\"=\"Ncpa.cpl\";隱藏控制面板網(wǎng)絡(luò)

\"2\"=\"Nusrmgr.cpl\";隱藏控制面板用戶

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\system]

\"DisableChangePassword\"=dword:00000001;禁止按下C+A+D更改密碼

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\DisallowCpl]

\"1\"=\"Ncpa.cpl\";隱藏控制面板網(wǎng)絡(luò)

\"2\"=\"Nusrmgr.cpl\";隱藏控制面板用戶

\"3\"=\"Appwiz.cpl\";隱藏控制面板添加或刪除程序

2.3 禁用組策略法

在禁用組策略之前，運(yùn)行“gpedit.msc\"打開組策略，里面有好多系統(tǒng)禁用和優(yōu)化。可以禁用“開始菜單不顯行收藏夾和我的音樂等”、“禁用計(jì)算機(jī)管理”、“禁用服務(wù)”、“禁用磁盤管理”、“禁用安全選項(xiàng)”、“禁用用戶和組”等。

2.4 關(guān)閉端口方法

每一項(xiàng)服務(wù)都對(duì)應(yīng)相應(yīng)的端口，比如眾如周知的WWW服務(wù)的端口是80，smtp是25，ftp是21，win2000安裝中默認(rèn)的都是這些服務(wù)開啟的。對(duì)于個(gè)人用戶來說確實(shí)沒有必要，關(guān)掉端口也就是關(guān)閉無用的服務(wù)。“控制面板”的“管理工具”中的“服務(wù)”中來配置。

（1）關(guān)閉7.9等等端口：關(guān)閉SimpleTCP/IPService，支持以下TCP/IP服務(wù)：CharacterGenerator，Daytime，Discard，Echo，以及QuoteoftheDay。

（2）關(guān)閉80端口：關(guān)掉WWW服務(wù)。在“服務(wù)”中顯示名稱為\"WorldWideWebPublishingService\"，通過Internet信息服務(wù)的管理單元提供Web連接和管理。

（3）關(guān)掉25端口：關(guān)閉SimpleMailTransportProtocol(SMTP)服務(wù)，它提供的功能是跨網(wǎng)傳送電子郵件。

（4）關(guān)掉21端口：關(guān)閉FTPPublishingService，它提供的服務(wù)是通過Internet信息服務(wù)的管理單元提供FTP連接和管理。

（5）關(guān)掉23端口：關(guān)閉Telnet服務(wù)，它允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺(tái)程序。

（6）還有一個(gè)很重要的就是關(guān)閉server服務(wù)，此服務(wù)提供RPC支持、文件、打印以及命名管道共享。關(guān)掉它就關(guān)掉了win2k的默認(rèn)共享，比如ipc$、c$、admin$等等，此服務(wù)關(guān)閉不影響您的共他操作。

（7）還有一個(gè)就是139端口，139端口是NetBIOSSession端口，用來文件和打印共享，注意的是運(yùn)行samba的unix機(jī)器也開放了139端口，功能一樣。以前流光2000用來判斷對(duì)方主機(jī)類型不太準(zhǔn)確，估計(jì)就是139端口開放既認(rèn)為是NT機(jī)，現(xiàn)在好了。關(guān)閉139口聽方法是在“網(wǎng)絡(luò)和撥號(hào)連接”中“本地連接”中選取“Internet協(xié)議(TCP/IP)”屬性，進(jìn)入“高級(jí)TCP/IP設(shè)置”“WINS設(shè)置”里面有一項(xiàng)“禁用TCP/IP的NETBIOS”，打勾就關(guān)閉了139端口。對(duì)于個(gè)人用戶來說，可以在各項(xiàng)服務(wù)屬性設(shè)置中設(shè)為“禁用”，以免下次重啟時(shí)服務(wù)也重新啟動(dòng)，端口同時(shí)開放。

3 結(jié)束語

根據(jù)實(shí)際情況，依照上述優(yōu)化配置后，將系統(tǒng)盤完成GHO鏡像放到別的分區(qū)。然后再根據(jù)需要選擇設(shè)置“禁止使用注冊(cè)表”、“禁止運(yùn)行”、“隱藏不保戶的分區(qū)”等小小操作，最后經(jīng)由少量到大批量計(jì)算機(jī)終端進(jìn)行系統(tǒng)和軟件測(cè)試了，一切都沒有問題之后，就開始網(wǎng)絡(luò)克隆了，再在客戶機(jī)上是設(shè)好IP、計(jì)算機(jī)名、工作組等，最后再安裝還原軟件，服務(wù)優(yōu)化和安全配置成功運(yùn)行。隨著現(xiàn)代技術(shù)的發(fā)展，局域網(wǎng)服務(wù)優(yōu)化和安全配置的高效、方便、簡(jiǎn)潔、實(shí)用的方法還有待進(jìn)一步探討和改進(jìn)。

參考文獻(xiàn)：

[1]韓偉峰，王祥仲.局域網(wǎng)組建實(shí)用培訓(xùn)教程[M].北京：清華大學(xué)出版社，2002.

[2]john paul.Windows xp 強(qiáng)力優(yōu)化[M].sybex，2003.

[3]鄒縣芳，李慰梁，張雁，張發(fā)凌.WindowsXP征服之旅1000例：應(yīng)用方案、優(yōu)化配置、疑難解析1000例[M].重慶：重慶出版社，2003.

作者簡(jiǎn)介：朱雪龍（1968-），男，江西九江人，實(shí)驗(yàn)師，主要從事計(jì)算機(jī)高級(jí)語言程序設(shè)計(jì)和網(wǎng)絡(luò)運(yùn)行安全管理。