应用程
序设置 并把启用父目录项取消HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
的 SSIEnableCmdDirective设置为1禁止远程调用command shell。
现在你的系统已相当地安全,通过网络进入系统的唯一途径是利用运行在系统上应用软件(也可能是MS的IP Stack)中存
在的弱点,执行一些危险代码,破坏系统安全特性(?)。
经过上述配置的系统从管理或普通应用角度来说,基本上不能操作。WINNT不提供远程注册功能(如UNIX Telnet)。NT的
管理工具象事件查看器和服务器管理器都是基于NETBIOS,而NETBIOS存在的问题使其不会被用于网络边界环境(SMB/CIFS,
管理和其它应用使用命名管道:Named pipes),你不可能在路由器访问控制列表中制定合理安全控制来分离这些使用同一
端口的应用。因此需要找到其他的方式来管理和监视WINDOWS NT主机。
附件Windows NT 4.0 使用的端口号列表
Browsing UDP:137.138
DHCP Lease UDP:67,68
DHCP Manager TCP:135
Directory Replication UDP:138 TCP/139
DNS Administration UDP/53
Event Viewer TCP:139
File Sharing TCP:139
Logon Sequence UDP:137,138 TCP139
NetLogon UDP:138
Pass Through Validation UDP:137,138 TCP:139
Performance Monitor TCP:139
PPTP TCP:1723 IP Protocol:47(GRE)
Printing UDP:137,138 TCP 139
Registry Editor TCP 139
Server Manager TCP:139
Trusts UDP:137,138 TCP:139
User Manager TCP:139
Winnt diagnostics TCP:139
WinnT Secure Channel UDP:137,138 TCP:139
WINS Replication TCP:42
WINS Manager TCP:135
WINS Registration TCP:137
Exchange
Client/Server Comm. TCP:135
Exchange Administrator TCP:135
IMAP TCP:143
IMAP(SSL) TCP:993
LDAP TCP:389
LDAP(SSL) TCP:636
MTA-X.400 Over TCP/IP TCP:102
POP3 TCP:110
POP3(SSL) TCP:995
RPC TCP:135
SMTP TCP:25
NNTP TCP:119
NNTP(SSL) TCP:563
Terminal Server
RDP Client (Microsoft) TCP:3389(pre Beta2:1503)
ICA Client (Citrix) TCP:1494
DCOM RPC高端口
缺省状态下DCOM为每个进程动态分配一个高端口(>1023),你可以限制端口映射范围,根据DCOM与外部连接的进程数来决
定在防火墙上允许的端口数,并且在防火墙上打开对应的TCP/UDP端口号,同时需要打开TCP/UDP 135。
另外,需要通过注册表主键告诉DCOM那些端口被保留。
HKEY_LOCAL_MACHINES\Software\Microsoft\Rpc\Internet
一个例子
将DCOM限制在10个端口内
Named value:Ports
Type :REG_MULTI_SZ
Setting :Rang of port.Can be multiple lines such as :3001-3010 135.
Named Value: PortInternetAvailable
Type :REG_MULTI_AZ
Setting :”Y”
Named Value: UseInternetPorts
Type :REG_MULTI_AZ
Setting :”Y”
关键词:WindowsNT4.0+IIS4.0安全设置向导(转)