任务目标

通过禁用已很少使用的TCP/IP上的NetBIOS、禁用其他不必要的服务以及配置IP协议安全配置，来提升系统网络的安全性。

任务步骤

1.禁用TCP/IP上的NetBIOS

禁用TCP/IP上的NetBIOS协议，可以关闭监听的UDP137（netbios-ns）、UDP138（netbios-dgm）以及TCP139（netbios-ssn）端口。

在【开始】菜单右键选择【计算机管理】，选择【服务和应用程序】-【服务】，定位到【TCP/IP NetBIOS Helper】服务，双击打开选择【启动类型】为【禁用】，然后【应用】并【确认】。

在桌面右下角右键点击【网络】连接，打开【网络和共享中心】。

在【网络和共享中心】点击【以太网】卡，然后在弹出的以太网状态控制台中点击【属性】。

在打开的以太网属性中双击【Internet 协议版本4（TCP/IPv4）】，点击【高级】，选择到【WINS】选项，去掉勾选的【启用LMHOSTS查找】并选择【禁用TCP/IP上的NetBIOS】并【确定】。

2.禁用不必要的服务

打开【服务】控制台，根据情况将以下服务改为禁用。若要禁用服务，找到该服务后双击打开并将【启动类型】改为【禁用】即可。

• Application Layer Gateway Service（为应用程序级协议插件提供支持并启用网络/协议连接）
• Background Intelligent Transfer Service（利用空闲的网络带宽在后台传输文件。如果服务被停用，例如Windows Update和MSN Explorer的功能将无法自动下载程序和其他信息，所以如果不启用自动更新，就禁止该服务）
• Computer Browser（维护网络上计算机的更新列表，并将列表提供给计算机指定浏览）
• DHCP Client（如果不使用动态IP地址，就禁用该服务）
• Diagnostic Policy Service（诊断Windows组件问题，较少使用）
• Print Spooler（管理所有本地和网络打印队列及控制所有打印工作，如果不需要打印，就禁用该服务）
• Remote Registry（使远程用户能修改此计算机上的注册表设置）
• Server（不使用文件共享可以关闭，关闭后再右键点某个磁盘选属性，【共享】这个页面就不存在了）
• Shell Hardware Detection（为自动播放硬件事件提供通知，较少使用）
• TCP/IP NetBIOS Helper（提供TCP/IP(NetBT) 服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持，从而使用户能够共享文件、打印和登录到网络）
• Task Scheduler（使用户能在此计算机上配置和计划自动任务）
• Windows Remote Management（47001端口，Windows远程管理服务，用于配合IIS管理硬件，一般用不到）
• Windows Font Cache Service（通过缓存常用字体数据优化应用程序的性能）

Windows Server 2016中有一个“同步主机_xxx”的服务，后面的xxx是一个数字，每个服务器不同。主机同步服务主要是用于系统内数据同步，例如Onedrive应用就会使用到该服务进行数据同步，其他用户数据如联系人、日历和邮件等也会通过该服务进行同步，但服务器内主机同步服务的使用场景非常有限，所以可手动关闭来提升性能和安全性。操作如下：打开注册表，然后在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下面找到OneSyncSvc、OneSyncSvc_xxx、UserDataSvc和UserDataSvc_xxx四个项，分别将其中的start值修改为4，表示禁用。

3.IP协议安全配置

启用SYN攻击保护，指定处于SYN_RCVD状态的TCP连接数的阈值为500。打开注册表，在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters路径下新建【DWORD（32位）值】命名为SynAttackProtect（推荐值为2）和TcpMaxHalfOpen（推荐值为500），输入数值时【基数】选择【十进制】。