一、屏蔽1433端口（以win2000為例）：

設(shè)置安全策略： 

“控制面板”—〉“管理工具”—〉“本地安全策略”

選擇IP安全策略—〉創(chuàng)建IP安全策略—〉建立名稱—〉“激活默認(rèn)響應(yīng)規(guī)則”下一步—〉初始身份驗(yàn)證方法選擇“win2000默認(rèn)（V5）”—〉彈出的警告界面直接確認(rèn)—〉完成建立安全策略。

選擇你新建的策略—〉屬性—〉添加—〉選擇“此規(guī)則不指定隧道” —〉網(wǎng)絡(luò)類型選擇“所有網(wǎng)絡(luò)連接”—〉身份驗(yàn)證方法“win2000默認(rèn)（V5）” —〉彈出的警告界面直接確認(rèn)—〉“所有IP通訊”—〉篩選器選擇“要求安全設(shè)置”—〉繼續(xù)下一步完成選中“所有 IP 通訊”—〉點(diǎn)“編輯”按鈕，打開“IP篩選器列表”—〉繼續(xù)點(diǎn)“編輯”按鈕，打開“篩選器 屬性” —〉在“尋址”中，源地址選擇“任何IP地址”，目的地址選擇“我的IP地址”，同時選中“鏡像”—〉在“協(xié)議”中，協(xié)議選擇“TCP”，設(shè)置協(xié)議端口為“從任意端口”到“到此端口：1433” —〉確定，為了安全起見，最好再新建一個IP篩選器屏蔽1434端口。

完成上面配置后，在剛配置的策略點(diǎn)擊右鍵，選擇指派，完成后重新啟動機(jī)器。 

如何驗(yàn)證數(shù)據(jù)庫的1433已經(jīng)不能連接？ 

1） 局域網(wǎng)內(nèi)找一個機(jī)器（非本機(jī)）安裝企業(yè)管理，添加注冊剛剛配制過安全策略的服務(wù)器，應(yīng)該是那個等待注冊的畫面，狀態(tài)中顯示：“正在驗(yàn)證注冊信息”或拒絕連接或服務(wù)未開啟的提示。 

2）局域網(wǎng)內(nèi)找一個機(jī)器（非本機(jī)），在dos控制臺下，輸入telnet EP服務(wù)器IP 1433 如果安全策略應(yīng)用成功的話，應(yīng)該不能夠連接，會出現(xiàn)如下的話：正在連接到xxxxxxx...無法打開到主機(jī)的連接 在端口 1433 : 連接失敗。如果應(yīng)用安全策略失敗，則能夠連接成功。 

二、關(guān)閉不安全的服務(wù)

第一步只是屏蔽了其它機(jī)器連接數(shù)據(jù)庫的端口，但是操作系統(tǒng)本身還存在一些漏洞，這些漏洞同樣會導(dǎo)致數(shù)據(jù)庫不安全。可以運(yùn)行services.msc進(jìn)入本地服務(wù)管理，禁用WMI和Server服務(wù)（屏蔽WMI和IPC共享漏洞），但是有些網(wǎng)吧需要用到Server服務(wù)的部分功能，所以對于Server服務(wù)，可以使用以下兩種較為靈活的方法來屏蔽：

1）批處理自啟動法：

打開記事本，輸入以下內(nèi)容（記得每行最后要回車）：

net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete
net share e$ /delete 
……（你有幾個硬盤分區(qū)就寫幾行這樣的命令）

保存為NotShare.bat（注意后綴?。?，然后把這個批處理文件拖到“程序”→“啟動”項(xiàng)，這樣每次開機(jī)就會運(yùn)行它，也就是通過net命令關(guān)閉共享。

如果哪一天你需要開啟某個或某些共享，只要重新編輯這個批處理文件即可（把相應(yīng)的那個命令行刪掉）。

2）注冊表改鍵值法

“開始”→“運(yùn)行”輸入“regedit”確定后，打開注冊表編輯器，找到

以下是引用片段：
“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters”

【編輯推薦】

1. 防止ACCESS數(shù)據(jù)庫被下載的9種方法
2. 如何保證遠(yuǎn)程登錄服務(wù)器安全(圖)
3. 阻止攻擊者對系統(tǒng)注冊表的遠(yuǎn)程訪問