3389端口对于服务器来说,是一个让人爱也不是、恨也不是的端口,因为通过它网络管理员可以远程对装有Windows Server或Windows XP的电脑进行管理和维护,不过通过它黑客或非法攻击者也能较轻易地获得服务器中的超级管理员账号。如此一来服务器的控制管理权限,就完全被黑客所掌控。为了拒绝超级管理员账号被盗,确保服务器的运行安全,将3389端口关闭掉显然是势在必行的! ?团 EO裿-
?5v璎觐?
1.停用终端服务 ^綛@*逌镸?
c?疩?8N
由于使用终端服务时,需要访问服务器的3389端口,因此如果将Win2000服务器或Win2003服务器中的“Terminal Services”停止掉的话,就能阻止黑客继续使用3389端口了,这样一来服务器的超级管理员账号就不容易被黑客窃取了。在停止终端服务时,可以先打开系统的“管理工具”窗口,然后双击其中的“服务”命令,在随后打开的服务列表界面中,找到“Terminal Services”服务名称,并用鼠标双击它。在其后弹出的服务设置界面中(如图1所示),单击启动类型设置项右侧的下拉按钮,从弹出的下拉列表中选择“已禁用”选项,再单击该对话框中的“停止”按钮,将该服务停止掉,最后单击“确定”按钮,这样就能达到屏蔽3389端口的目的了。 砽?聅5{
紶 B゜ ?H
2.关闭远程桌面 蹋 酹?阋S
U鲮 RsG8Z
倘若你使用的是WinXP操作系统的话,你还可以通过关闭系统远程桌面功能或远程协助功能的方式,来屏蔽3389网络端口。要关闭系统的远程桌面功能时,只要先用鼠标右键单击桌面上的“我的电脑”图标,从弹出的快捷菜单中选中“属性”选项,在随后打开的属性设置界面中,单击“远程”标签,并在对应的标签页面中,取消“允许用户远程连接到这台计算机”和“允许从这台计算机发送远程协助邀请”这两个选项,最后单击一下“确定”按钮,就能达到屏蔽3389端口的目的了。 篛0??lt;$ ?
嶔|8? 榇?
3.筛选TCP端口 ? # 叹=O(
竏]瘴 寯?
大家知道,Win2000或Win2003服务器系统的TCP/IP属性设置界面中,允许我们启用TCP端口筛选功能,利用该功能可以将来自3389端口的所有接受数据包和发送数据包全部过滤掉,这样的话黑客或非法攻击者就无法通过3389端口与服务器进行任何联系,如此一来服务器的安全就得到了保障。在启用TCP端口筛选功能时,可以先打开服务器中的“网络和拨号连接”窗口,右击其中的“本地连接”或“Internet连接”图标,执行快捷菜单中的“属性”命令,再选中“常规”标签,并在对应的标签页面中选中“Internet协议(TCP/IP)”。 悞 浊掜R
?W廗^惢
接着单击“属性”按钮,在随后弹出的属性设置对话框中,单击“高级”按钮,再选中高级设置界面中的“选项”标签,然后选中该页面中的“TCP/IP筛选”选项,并单击“属性”按钮,在弹出的图2所示的界面中,将“启用TCP/IP筛选”选项选中,再选中“TCP端口”处的“只允许”。然后单击“添加”按钮,在随后出现的界面中输入常用的或必须要用的端口号码,例如110端口、21端口、25端口、80端口等,而将那些平时用不到的或有安全威胁的端口,都不要添加进来,例如3389端口、139端口、445端口等;将常用的端口逐一添加完毕后,再单击对话框中的“确定”按钮,服务器将会对那些排除在外的端口数据进行过滤,以防止这些端口数据会对服务器造成安全攻击。 蒍 ]U?
"笲筂RMS;6
4.过滤接受数据 ]宜SW妢1坤
喽'?甀鼜?
如果我们能将服务器3389端口接受到的数据信息全部屏蔽掉的话,黑客或非法攻击者就无法对服务器实施攻击;要过滤服务器3389端口的接受数据时,可以利用个人防火墙的数据拦截功能来实现。例如,在用瑞星防火墙2004工具过滤掉3389端口的接受数据时,可以先打开“瑞星防火墙2004”程序界面,单击菜单栏中的“设置”选项,从下拉菜单中选中“设置规则”命令,在随后出现的设置窗口中,再依次单击菜单栏中的“规则”/“添加”命令,这样你就能看到图3所示的数据过滤设置对话框了。 儛u?Z傸cQ
菏? 軅谱?
在该对话框的“名称”文本框中,输入新规则的名称,例如这里输入的是“过滤3389端口数据”;接着单击“类别”处的下拉按钮,从弹出的下拉列表中选中“系统”选项。 ?{蕫蒟i
沈?C??
由于只是对3389端口的接受数据进行过滤,因此你必须在“方向”下拉列表中,选中“接受”选项,同时在“操作”下拉列表中,选中“禁止”选项;而且3389端口在通信时使用的是TCP协议,因此在“协议”下拉列表中,选中“TCP”选项;另外,为保证服务器的绝对安全,你还需要将“数据链”设置为“全部”,这样可以确保防火墙能对来自各个网络的攻击数据进行拦截。 蒭嘱珝?睤
"&b l-踕滠
设置好上面的参数后,再将屏幕切换到“地址”标签页面中,在其中的“源地址”处选中“任何地址”选项,在“目的地址”处选中“主机地址”选项,再在随后激活的“网络地址”处输入服务器的IP地址。 鱵r丶|p仇?
肙? K鞪eT
接下来进入到“端口号”设置页面,在“源端口设置”处选中“任何端口”选项,在“目的端口设置”处选中“一个端口”选项,再在随后激活的“服务名称或端口号”处输入服务器的3389端口号码。 H@\K萐? h
O 闱鷧?獝
到了这里就完成了拦截3389端口数据的所有参数设置操作,最后单击一下“添加”按钮,“过滤3389端口数据”这项规则就会自动生效了,这样的话任何企图通过3389端口对服务器进行的远程操作,都会被防火墙认为是一种非法入侵,从而会被防火墙“严格拒绝”。 R瀀.槠瓭?
-f! & S含
僷鬋.?4緓
倘若你使用的是WinXP操作系统的话,你还可以通过关闭系统远程桌面功能或远程协助功能的方式,来屏蔽3389网络端口。要关闭系统的远程桌面功能时,只要先用鼠标右键单击桌面上的“我的电脑”图标,从弹出的快捷菜单中选中“属性”选项,在随后打开的属性设置界面中,单击“远程”标签,并在对应的标签页面中,取消“允许用户远程连接到这台计算机”和“允许从这台计算机发送远程协助邀请”这两个选项,最后单击一下“确定”按钮,就能达到屏蔽3389端口的目的了。
ALT+F4