也许大家都知道网上有些扫描器如letmein.exe，whoisadmin.exe等，是通过TCP的139和445端口来获取一些计算机相关信息，如计算机的名称，管理员帐号。这样便可以通过相应的攻击工具进行入侵了。当知道了管理员的帐号后，可以猜测或暴力破解其密码来获得计算机的控制权。后果将……L!怎么办呢？呵呵，利用win2000自身的策略设置，就能解决。LOOK！我们采取对本地设置里的"IP设置，在本地机器" 来进行设置，禁止TCP的139/445连接。
　　
　　在进行策略设置前，首先来了解一下相应的原理吧！
　　
　　一、基本原理
　　SMB(Server Message Block) 族，用于文件和打印共享服务。
　　
　　NBT(NetBIOS over TCP/IP) 使用137(UDP), 138(UDP) and 139 (TCP）来实现基于TCP/IP的NETBIOS网际互联。
　　
　　在 NT中SMB基于NBT实现。 而在Windows2000中，SMB除了基于NBT的实现，还有直接通过445端口实现。 当Win2000（允许NBT)作为client来连接SMB时，它会同时尝试连接139和445端口，如果445端口有响应，那么就发送RST包给139端口断开连接，以455端口通讯来继续.当445端口无响应时，才使用139端口。当Win2000（禁止NBT)作为client来连接SMB时，那么它只会尝试连接445端口，如果无响应，那么连接失败。（注意可能对方是NT4.0服务器。） 如果win2000服务器允许NBT, 那么UDP端口137, 138, TCP 端口 139, 445将开放。 如果 NBT 被禁止, 那么只有445端口开放。
　　
　　二、实战操作
　　简单的原理就这些了，那如何实现呢？方法如下，LOOK
　　
　　1. 通过对开始->设置->控制面版->管理工具 -> 本地安全策略 ->（鼠标右击）IP安全策略，在本地机器。点击"管理IP筛选器表和筛选器操作"，如图1所示。
　　　
　　图 1
　　2.在"管理IP筛选器列表"选项卡上点击"添加"。
　　　
　　图 2
　　3.弹出"IP筛选器列表"窗口。
　　　
　　图 3
　　4.分别添入名称和描述，如禁用139连接。并点击"添加"，接着会出现一个IP"筛选器向导"，单击下一步。
　　　
　　图 4
　　5.到"指定IP源地址"窗口，在"源地址"中选择"任何IP地址"，点击下一步。
　　　
　　图 5
　　6.在"IP通信目标"的"目标地址"选择"我的IP地址"，点击下一步。
　　　
　　图 6
　　7.在"IP类型"的"选择类型"选择"TCP"，点击下一步。
　　　
　　图 7
　　8.在"筛选器向导"的"设置IP协议端口"里第一栏为"从任意端口"，第二栏为"到此端口"并添上"139"，点击下一步。
　　　
　　图 8
　　9.接着点击"完成" ->然后再单击"关闭" 回到"管理IP筛选器表和筛选器操作"窗口。
　　　
　　图 9
　　10.选择"管理筛选器操作"选项卡点击"添加"。
　　　
　　图 10
　　11.同样会出现一个"筛先器操作向导"的窗口，点击"下一步"，在"名称"里添上"禁用139连接"。
　　　
　　图 11
　　12.按"下一步"，并选择"阻止"，再按"下一步"。
　　
　　图 12
　　点击"完成"和"关闭"。
　　
　　呵呵，到这里"禁止139连接"的策略算是制定好了。不用多说了，禁用445端口的"筛选器列表"和"筛选器操作"的添加是和"禁止139连接"的方法一样的! 有一点，是需要注意的在添加139和445的筛选器操作时，不能为了省事用同一个"阻止"筛选器操作，这样制定出的规则将无法使用。
--------------------next---------------------