局域网服务优化和安全配置

摘要: 局域网是信息化网络不可分割的重要组成部分，其后台服务优化和安全配置是发挥其功能作用的关键。本文注重从终端客户机上配合服务器着手，综合服务功能的启动选择和安全设置法、组策略法、端口关闭法四个方面详细论述局域网服务优化和安全配置。

关键词：局域网；服务优化；安全配置

中图分类号：TP37文献标识码：A文章编号：1009-3044(2008)05-10ppp-0c

1 引言

局域网[1]的一大特点就是拥有一定数量的终端用户。它的应用可谓非常的广泛，尤其在学校机房、宿舍、家庭、企业单位、网吧等地方更是多见，服务与安全是普遍存在的任务。本人所在的一个局域网的终端用户有600多个，为了局域网后台服务优化和安全配置，我们采用的是终端分段固定IP设置的方法，采用服务启动或关闭、组策略与注册表优化的方法，在终端客户机与服务器上双管齐下，较好地进行了服务优化和安全配置。

2 服务优化和安全配置

服务优化和安全配置在操作系统WindowsXP “管理工具”下的“服务”中打开，打开后将看到服务列表，有些服务已经启动，有些则没有。选择要配置的服务，然后设置“属性”。在“常规”选项卡上选择“自动”、“手动”或“禁用”，其中“自动”表示每次系统启动时，WindowsXP都自动启动该服务；“手动”表示WindowsXP不会自动启动该服务，而是在你需要该服务时手动启动该服务；而“禁用”则表示不允许启动该服务。在实际配置时，选择“手动”或者“禁用”都可以实现关闭该服务的目的，推荐使用手动功能，这样随时可以启动一些临时需要的服务。

2.1 服务功能启动关闭选择法

有些服务是WindowsXP所必需的，不能关闭，否则将会造成系统崩溃。通过查看各项服务的功能服务[2]的说明，最后确认开启或关闭

2.1.1 关闭的服务功能

Alerter[3]：你未连上局域网并且不需要管理警报。

ApplicationLayerGatewayService：为Internet连接共享和Windows防火墙提供，不用防火墙就关了。

AutomaticUpdates:自动下载安装Windows更新。

BackgroundIntelligentTransferService：如果禁用了BITS，一些功能，如WindowsUpdate，就无法正常运行。

Clipbook：你不需要查看远程剪贴簿的剪贴页面。

distributedlinktrackingclient：维护计算机中或网络内不同计算机中NTFS档案间的连结。对于绝大多数用户来说，形同虚设。

ErrorReportingService：服务和应用程序在非标准环境下运行时允许错。

HumanInterfaceDeviceAccess：启用对智能界面设备(HID)的通用输入访问（默认禁用）。

HelpandSupport：微软提供的可以支持说明和帮助文件的服务。(微软的帮助实在太用了，我现在又不想禁用了）。

IMAPICD-BurningCOMService：用ImageMasteringApplicationsProgrammingInterface(IMAPI)管理CD录制,没有刻录机和不需要系统自带的刻入功能就关。

IndexingService：通过灵活查询语言提供文件快速访问或者没有连上局域网。

Messenger：传输客户端和服务器之间的NETSEND，比如网络之间互相传送提示信息的功能，netsend功能，如不想被骚扰话可以关闭。

NetLogon：支持网络上计算机pass-through帐户登录，一般计算机不太可能去用到登入网络审查这个服务。

NetMeetingRemoteDesktopSharing(NetMeeting远程桌面共享)：让使用者可以将计算机的控制权分享予网络上或因特网上的其它使用者，如果重视安全性不想多开后门，此项关闭。

NetworkDDE：为动态数据交换(DDE)对在相同或不同计算机上执行的程序提供网络传输和安全性。如果这个服务被停止，DDE传输和安全性将无法使用。任何明确依存于它的服务将无法启动。一般用不到可以关闭。

NetworkDDEDSDM：信息动态数据交换，网络共享。如果这个服务被停止，DDE网络共享将无法使用。任何明确依存于它的服务将无法启动。

NTLMSecuritySupportProvider：为没有使用命名管道传输的远程过程调用(RPC)程序提供安全性。如果不使用MessageQueuing或是TelnetServer那就关了它，一般用户也用不上。

PrintSpooler：将文件加载到内存中以便迟后打印，没有打印机可以关了；

RemoteDesktopHelpSessionManager：管理并控制远程协助。如果此服务停止的话，远程协助将无法使用

RemoteRegistry：使远程用户能修改此计算机上的注册表设置，安全性的理由，如果没有特别的需求，建议最好关了它，除非你需要远程协助修改你的登录设定

RoutingandRemoteAccess：提供连到局域网及广域网的公司的路由服务。提供拨号联机到网络或是VPN服务，一般用户用不到，可以关闭

SmartCard：管理这个计算机所读取智能卡的存取。如果这个服务被停止，这个计算机将无法读取智能卡，如果不使用智能卡关了。

SSDPDiscoveryService：启用对计算机使用的旧版非即插即用智能卡读取的支持，如果不使用智能卡关了。

SystemRestoreService：系统还原不用就关

TaskScheduler：用户能够在这个计算机上设定自动的工作的计划，并执行。如果停止这个服务，这些工作在它们设定的时间时将不会执行。任何明确依存于它的服务将无法启动。设定自动的工作计划，像一些定时磁盘扫瞄、..定时扫瞄、更新等等，但是一般都很少用，可以关闭

Telnet：启用一个远程使用者来登入到这台计算机和执行应用程序，以及支持各种TCP/IPTelnet客户端，基于安全性的理由，如果没有特别的需求，建议最好关了。

UninterruptiblePowerSupply：管理连接到这台计算机的不间断电源供应(UPS)。不间断电源供应(UPS)一般不用，可以关闭。

基于以上是基本上可以关的服务，如果不想手动一个一个关闭，可以使用服务真实的名称“start=disabled”命令做一个批外理。

如：sc config TrkWks start= demand

sc config helpsvc start= demand

sc config PolicyAgent start= demand

sc config dmserver start= demand

sc config WmdmPmSn start= demand

sc config Spooler start= demand

sc config RemoteRegistry start= demand

sc config NtmsSvc start= demand

sc config seclogon start= demand

sc config Schedule start= demand

sc config WebClient start= demand

sc config W32Time start= demand

sc config WZCSVC start= demand

sc config ERSvc start= demand

sc config Themes start= demand

sc config FastUserSwitchingCompatibility start= disabled

sc config Messenger start= disabled

sc config ProtectedStorage start= disabled

sc config SSDPSRV start= disabled

sc config TermService start= disabled

sc config ShellHWDetection start= disabled

2.1.2 保留的服务功能

PlugandPlay启用计算机以使用者没有或很少的输入来识别及适应硬件变更，停止或停用这个服务将导致系统不稳定。

RemoteProcedureCall(RPC)-系统核心服务。

WindowsAudio-控制着你听到的声音。关了就没声音了！

WindowsManagementInstrumentation-满重要的服务，是管＂服务依靠＂的，但关了会出现奇怪的问题。

Workstation-很多服务都依靠这个服务，支持联网和打印／文件共享的。

Server支持此计算机通过网络的文件、打印、和命名关这个无法给别人共享文件夹，如果你不用用不着可以关了这个。

NetworkConnections管理“网络和拨号连接”文件夹中对象关了这个改ip很麻烦。

2.2.2 安全设置法

（1）修改SHELL32.DLL防止格式化，和删除文件和文件夹需要密码。隐藏不保护的分区，将格式化命令“FORMAT"重命名；

（2）禁用来宾[2]

netshare/deletec$

netshare/deleteADMIN$

netshare/deleted$

netshare/deletee$(有多少默认共享就删多少）[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{450D8FBA-AD25-11D0-98A8-0800361B1103}]

@=""

"RemovalMessage"="@mydocs.dll,-900";隐藏卓面上我的文档

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]

"{208D2C60-3AEA-1069-A2D7-08002B30309D}"=dword:00000001;隐藏卓面上网上邻居

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideMyComputerIcons]

"{208D2C60-3AEA-1069-A2D7-08002B30309D}"=dword:00000001;隐藏卓面上网上邻居

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowCpl]

"1"="Ncpa.cpl";隐藏控制面板网络

"2"="Nusrmgr.cpl";隐藏控制面板用户

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system]

"DisableChangePassword"=dword:00000001;禁止按下C+A+D更改密码

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowCpl]

"1"="Ncpa.cpl";隐藏控制面板网络

"2"="Nusrmgr.cpl";隐藏控制面板用户

"3"="Appwiz.cpl";隐藏控制面板添加或删除程序

2.3 禁用组策略法

在禁用组策略之前，运行“gpedit.msc"打开组策略，里面有好多系统禁用和优化。可以禁用“开始菜单不显行收藏夹和我的音乐等”、“禁用计算机管理”、“禁用服务”、“禁用磁盘管理”、“禁用安全选项”、“禁用用户和组”等。

2.4 关闭端口方法

每一项服务都对应相应的端口，比如众如周知的WWW服务的端口是80，smtp是25，ftp是21，win2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要，关掉端口也就是关闭无用的服务。“控制面板”的“管理工具”中的“服务”中来配置。

（1）关闭7.9等等端口：关闭SimpleTCP/IPService,支持以下TCP/IP服务：CharacterGenerator,Daytime,Discard,Echo,以及QuoteoftheDay。

（2）关闭80端口：关掉WWW服务。在“服务”中显示名称为"WorldWideWebPublishingService"，通过Internet信息服务的管理单元提供Web连接和管理。

（3）关掉25端口：关闭SimpleMailTransportProtocol(SMTP)服务，它提供的功能是跨网传送电子邮件。

（4）关掉21端口：关闭FTPPublishingService,它提供的服务是通过Internet信息服务的管理单元提供FTP连接和管理。

（5）关掉23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。

（6）还有一个很重要的就是关闭server服务，此服务提供RPC支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享，比如ipc$、c$、admin$等等，此服务关闭不影响您的共他操作。

（7）还有一个就是139端口，139端口是NetBIOSSession端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放既认为是NT机，现在好了。关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启时服务也重新启动，端口同时开放。

3 结束语

根据实际情况，依照上述优化配置后，将系统盘完成GHO镜像放到别的分区。然后再根据需要选择设置“禁止使用注册表”、“禁止运行”、“隐藏不保户的分区”等小小操作，最后经由少量到大批量计算机终端进行系统和软件测试了，一切都没有问题之后，就开始网络克隆了，再在客户机上是设好IP、计算机名、工作组等，最后再安装还原软件，服务优化和安全配置成功运行。随着现代技术的发展，局域网服务优化和安全配置的高效、方便、简洁、实用的方法还有待进一步探讨和改进。

参考文献：

[1]韩伟峰,王祥仲.局域网组建实用培训教程[M].北京：清华大学出版社,2002.

[2]john paul.Windows xp 强力优化[M].sybex,2003.

[3]邹县芳,李慰梁,张雁,张发凌.WindowsXP征服之旅1000例：应用方案、优化配置、疑难解析1000例[M].重庆：重庆出版社,2003.

作者简介：朱雪龙（1968-），男，江西九江人，实验师，主要从事计算机高级语言程序设计和网络运行安全管理。