關(guān)閉Windows系統(tǒng)危險(xiǎn)端口

引言：端口既可以用于Windows系統(tǒng)之間的網(wǎng)絡(luò)通信，也可以作為黑客入侵的主要途徑。為了便于讀者關(guān)閉Windows系統(tǒng)的危險(xiǎn)端口，防止黑客入侵，本文總結(jié)了幾種常見的關(guān)閉Windows系統(tǒng)端口的方法。

端口既可以用于Windows系統(tǒng)之間的網(wǎng)絡(luò)通信，也可以作為黑客入侵的主要途徑。因此端口也具有一定的安全風(fēng)險(xiǎn)。為了便于讀者關(guān)閉Windows系統(tǒng)的危險(xiǎn)端口，防止黑客入侵，本文總結(jié)了幾種常見的關(guān)閉Windows系統(tǒng)端口的方法。

系統(tǒng)關(guān)閉法

系統(tǒng)關(guān)閉法，就是利用Windows系統(tǒng)圖形界面的直觀操作設(shè)置來關(guān)閉危險(xiǎn)的端口。利用該方法可以關(guān)閉常見的一些端口，如TCP23、80、135、139、445、3389 端口，UDP137、138端口等等，其典型的方法如下：

1.TCP23端口

TCP23端口主要用于為Windows系統(tǒng)提供Telnet服務(wù)。

其關(guān)閉方法為：依次選擇“控制面板”、“管理工具”打開“服務(wù)”對(duì)話框，選擇停止并禁用“Telnet”服務(wù)，如圖1所示。

圖1 Telnet屬性

2.TCP80端口

TCP80端口主要用于為Windows系統(tǒng)提供HTTP服務(wù)。

關(guān)閉方法是：依次打開“控制面板”、“管理工具”以及“服務(wù)”對(duì)話框，選擇停止并禁用“World Wide Web Publishing Service”服務(wù)選項(xiàng)。

3.TCP135端口

TCP135端口主要用于為Windows系統(tǒng)提供RPC（遠(yuǎn)程過程調(diào)用）服務(wù)。

關(guān)閉方法是：依次選擇“開始”、“運(yùn) 行”選項(xiàng)，執(zhí)行命令“dcomcnfg”，然后依次選擇“組件服務(wù)”、“計(jì)算機(jī)”和“屬性”選項(xiàng)，選擇“默認(rèn)屬性”，去掉“在此計(jì)算機(jī)上啟用分布式COM”前面的勾選項(xiàng)的設(shè)置即可完成。

4.UDP137、UDP138和TCP139端口

UDP137和UDP138端口主要用于為Windows系統(tǒng)提供計(jì)算機(jī)名稱和IP地址的查詢服務(wù)，而TCP139端口則主要用于為Windows系統(tǒng)提供基于SMB協(xié)議的文件和打印機(jī)共享服務(wù)。

這個(gè)三個(gè)端口的關(guān)閉方法是：依次選擇“網(wǎng)上鄰居”、“屬性”、“本 地 連接”、“屬性”、“TCP/IP 屬性”、“高級(jí)”以及“WINS-NetBIOS設(shè)置”選項(xiàng)，打開“WINSNetBIOS設(shè)置”對(duì)話框，選擇“禁用TCP/IP上的NetBIOS”選項(xiàng)。

5.TCP445端口

TCP445端口主要用于為Windows系統(tǒng)提供基于CIFS協(xié)議的文件和打印機(jī)共享服務(wù)。

關(guān)閉方法是：依次選 擇“開 始”、“運(yùn) 行”選項(xiàng)，執(zhí) 行 命 令“regedit”選項(xiàng)，打開“注冊(cè)表”窗口，在HKEY_LOCAL_MACHINESystemControlsetServicesNetBTParameters路徑下新建名稱為“SMBDeviceEnabled”，數(shù)值為“0”的REG_DWORD選項(xiàng)。

6.TCP3389端口

TCP3389端口主要用于為Windows系統(tǒng)提供遠(yuǎn)程桌面服務(wù)。

關(guān)閉方法是：依次選擇“控制面板”、“管理工具”以及“服務(wù)”選項(xiàng)，停止并禁用名 為“Terminal Services”的服務(wù)。

TCP/IP篩選關(guān)閉法

TCP/IP篩選關(guān)閉法，就是利用本地連接屬性中的TCP/IP篩選來過濾，該方法僅允許指定端口通過，其余端口默認(rèn)全部屏蔽與外界的通信，下面以只打開TCP100和UDP200端口為例進(jìn)行描述，方法是：打開“本地連接”，右擊選擇“屬性”按鈕，依次選擇“Internet協(xié)議（TCP/IP）”、“屬性”、“高級(jí)”、“選項(xiàng)”標(biāo)簽頁、“TCP/IP 篩選”、“屬性”選項(xiàng)，在打開的“TCP/IP篩選”對(duì)話框中勾選“啟用TCP/IP篩選”， 選擇“TCP端口”，勾選“只允許添加（允許的 TCP 端口，如100）”，打開“UDP端口”，勾選“只允許添加（允許的UDP端口，如200）”，如圖2所示。為：

圖2 TCP/IP篩選

IP安全策略關(guān)閉法

IP安全策略關(guān)閉法，就是通過IP安全策略來關(guān)閉Windows系統(tǒng)的端口，該方法可以關(guān)閉任意的Windows端口，下面以關(guān)閉TCP4899和UDP135端口為例進(jìn)行描述，其關(guān)閉方法

1.打開本地安全策略

依次打開“控制面板”、“管理工具”和“本地安全策略”選項(xiàng)，打開“本地安全策略”窗口。

2.創(chuàng)建IP安全策略

在“本地安全策略”窗口中，右擊依次選擇“IP安全策略”和“創(chuàng)建IP安全策略”選項(xiàng)，點(diǎn)擊“下一步”選項(xiàng)之后填寫策略名稱，單擊“下一步”選項(xiàng)，去掉“激活默認(rèn)響應(yīng)規(guī)則”前面的勾選項(xiàng)，點(diǎn)擊“下一步”以及“完成”選項(xiàng)，打開“新建的IP安全策略屬性”窗口。

3.添加IP安全規(guī)則

在“新建的IP安全策略屬性”窗口中，去掉“使用‘添加向?qū)А鼻懊娴墓催x項(xiàng)，添加“IP安全規(guī)則”，打開“新規(guī)則屬性”窗口。

4.添加篩選器操作

在“新規(guī)則屬性”窗口中選擇“篩選器操作”選項(xiàng)，去掉“使用‘添加向?qū)А鼻懊娴墓催x項(xiàng)的設(shè)置，選擇添加“篩選器操作”的選項(xiàng)，打開“篩選器屬性”對(duì)話框，依次打開“安全方法”標(biāo)簽頁、“阻止”和“常規(guī)”對(duì)話框，填寫好“篩選器操作”名稱后完成操作。

5.添加篩選器

在“新規(guī)則屬性”窗口中，選擇“IP篩選器列表”，添加“篩選器列表”，打開“篩選器列表”窗口，填寫“篩選器列表”名稱，去掉“使用‘添加向?qū)А鼻懊娴墓催x項(xiàng)，添加“篩選器”，打開“篩選器屬性”窗口、“地址”標(biāo)簽頁以及“源地址”選項(xiàng)，分別選擇“任何IP地址”和“目標(biāo)地址”選項(xiàng)，選擇“我的IP地址”與“協(xié)議”標(biāo)簽頁，選擇“協(xié)議類型”為“TCP”，選擇“到此端口”填寫為“4899”，然后點(diǎn)擊“確定”按鈕。在“篩選器列表”窗口繼續(xù)點(diǎn)擊“添加”按鈕，同理可以繼續(xù)添加“UDP135端口”，也可以添加其他需要關(guān)閉的端口，如圖3所示。

6.關(guān)聯(lián)并生效該規(guī)則

在“IP安全規(guī)則屬性”窗口中，選擇“IP篩選器列表”標(biāo)簽頁，依次選擇新建的“IP篩選器列表”和“篩選器操作”標(biāo)簽頁，選擇新建的“篩選器操作”選項(xiàng)，然后點(diǎn)擊“確定”按鈕。最后，返回“本地安全策略”窗口中，右擊新建的“IP安全策略”，選擇“指派”選項(xiàng)，重啟計(jì)算機(jī)后，即可關(guān)閉TCP4899和UDP135端口。

圖3 IP篩選器列表

圖4 防火墻設(shè)置

防火墻關(guān)閉法

防火墻關(guān)閉法主要是利用防火墻對(duì)Windows系統(tǒng)端口進(jìn)行屏蔽，該方法僅允許指定端口通過，其余端口默認(rèn)全部屏蔽與外界的通信。下面以Windows防火墻只允許TCP80端口通信為例進(jìn)行具體描述，方法是：依次打開“控制面板”、“Windows防火墻”、“例外”和“添加端口”對(duì)話框，填寫好名稱，然后填寫端口號(hào)為“80”，選擇協(xié)議為“TCP”，如圖4所示。

經(jīng)驗(yàn)總結(jié)

系統(tǒng)關(guān)閉法相對(duì)而言比較直觀，操作較為簡(jiǎn)便，直接從操作系統(tǒng)層面對(duì)危險(xiǎn)端口進(jìn)行了關(guān)閉，但是不同端口的關(guān)閉方法各不相同，因而該方法僅適用于常見端口的關(guān)閉。TCP/IP篩選關(guān)閉法、IP安全策略關(guān)閉法和防火墻關(guān)閉法通用性較強(qiáng)，其中，TCP/IP篩選關(guān)閉法和防火墻關(guān)閉法可以只放開任意指定的端口通信，對(duì)其他所有端口進(jìn)行屏蔽，IP安全策略關(guān)閉法則可以對(duì)任意指定的端口進(jìn)行屏蔽。

但是由于這三種方法實(shí)質(zhì)上是從網(wǎng)絡(luò)協(xié)議層對(duì)端口進(jìn)行了屏蔽，讓攻擊者無法訪問受保護(hù)的指定端口。因而建議：關(guān)閉常見端口時(shí)，使用系統(tǒng)關(guān)閉法；關(guān)閉不常見的端口時(shí)，使用IP安全策略關(guān)閉法；而如果只放開指定端口通信時(shí)，則使用TCP/IP篩選關(guān)閉法或防火墻關(guān)閉法。