一、屏蔽1433端口(以win2000为例)：

设置安全策略：

“控制面板”—〉“管理工具”—〉“本地安全策略”

选择IP安全策略—〉创建IP安全策略—〉建立名称—〉“激活默认响应规则”下一步—〉初始身份验证方法选择“win2000默认(V5)”—〉弹出的警告界面直接确认—〉完成建立安全策略。

选择你新建的策略—〉属性—〉添加—〉选择“此规则不指定隧道” —〉网络类型选择“所有网络连接”—〉身份验证方法“win2000默认(V5)” —〉弹出的警告界面直接确认—〉“所有IP通讯”—〉筛选器选择“要求安全设置”—〉继续下一步完成选中“所有 IP 通讯”—〉点“编辑”按钮，打开“IP筛选器列表”—〉继续点“编辑”按钮，打开“筛选器 属性” —〉在“寻址”中，源地址选择“任何IP地址”，目的地址选择“我的IP地址”，同时选中“镜像”—〉在“协议”中，协议选择“TCP”，设置协议端口为“从任意端口”到“到此端口：1433” —〉确定，为了安全起见，最好再新建一个IP筛选器屏蔽1434端口。

完成上面配置后，在刚配置的策略点击右键，选择指派，完成后重新启动机器。

如何验证数据库的1433已经不能连接?

1) 局域网内找一个机器(非本机)安装企业管理，添加注册刚刚配制过安全策略的服务器，应该是那个等待注册的画面，状态中显示：“正在验证注册信息”或拒绝连接或服务未开启的提示。

2)局域网内找一个机器(非本机)，在dos控制台下，输入telnet EP服务器IP 1433 如果安全策略应用成功的话，应该不能够连接，会出现如下的话：正在连接到xxxxxxx...无法打开到主机的连接 在端口 1433 : 连接失败。如果应用安全策略失败，则能够连接成功。

二、关闭不安全的服务

第一步只是屏蔽了其它机器连接数据库的端口，但是操作系统本身还存在一些漏洞，这些漏洞同样会导致数据库不安全。可以运行services.msc进入本地服务管理，禁用WMI和Server服务(屏蔽WMI和IPC共享漏洞)，但是有些网吧需要用到Server服务的部分功能，所以对于Server服务，，可以使用以下两种较为灵活的方法来屏蔽：

1)批处理自启动法：

打开记事本，输入以下内容(记得每行最后要回车)：

net share ipc$ /delete

net share admin$ /delete

net share c$ /delete

net share d$ /delete

net share e$ /delete

……(你有几个硬盘分区就写几行这样的命令)

保存为NotShare.bat(注意后缀!)，然后把这个批处理文件拖到“程序”→“启动”项，这样每次开机就会运行它，也就是通过net命令关闭共享。

如果哪一天你需要开启某个或某些共享，只要重新编辑这个批处理文件即可(把相应的那个命令行删掉)。

2)注册表改键值法

“开始”→“运行”输入“regedit”确定后，打开注册表编辑器，找到

以下是引用片段：“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters”

项，双击右侧窗口中的“AutoShareServer”项将键值由1改为0，这样就能关闭硬盘各分区的共享。如果没有AutoShareServer项，可自己新建一个再改键值。然后还是在这一窗口下再找到“AutoShareWks”项，也把键值由1改为0，关闭admin$共享。最后到

“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa”项处找到“restrictanonymous”，将键值设为1，关闭IPC$共享。