引言：端口既可以用于Windows系統(tǒng)之間的網(wǎng)絡(luò)通信，也可以作為黑客入侵的主要途徑。為了便于讀者關(guān)閉Windows系統(tǒng)的危險端口，防止黑客入侵，本文總結(jié)了幾種常見的關(guān)閉Windows系統(tǒng)端口的方法。

端口既可以用于Windows系統(tǒng)之間的網(wǎng)絡(luò)通信，也可以作為黑客入侵的主要途徑。因此端口也具有一定的安全風(fēng)險。為了便于讀者關(guān)閉Windows系統(tǒng)的危險端口，防止黑客入侵，本文總結(jié)了幾種常見的關(guān)閉Windows系統(tǒng)端口的方法。

系統(tǒng)關(guān)閉法

系統(tǒng)關(guān)閉法，就是利用Windows系統(tǒng)圖形界面的直觀操作設(shè)置來關(guān)閉危險的端口。利用該方法可以關(guān)閉常見的一些端口，如TCP23、80、135、139、445、3389 端口，UDP137、138端口等等，其典型的方法如下：

1.TCP23端口

TCP23端口主要用于為Windows系統(tǒng)提供Telnet服務(wù)。

其關(guān)閉方法為：依次選擇“控制面板”、“管理工具”打開“服務(wù)”對話框，選擇停止并禁用“Telnet”服務(wù)，如圖1所示。

圖1 Telnet屬性

2.TCP80端口

TCP80端口主要用于為Windows系統(tǒng)提供HTTP服務(wù)。

關(guān)閉方法是：依次打開“控制面板”、“管理工具”以及“服務(wù)”對話框，選擇停止并禁用“World Wide Web Publishing Service”服務(wù)選項。

3.TCP135端口

TCP135端口主要用于為Windows系統(tǒng)提供RPC（遠程過程調(diào)用）服務(wù)。

關(guān)閉方法是：依次選擇“開始”、“運 行”選項，執(zhí)行命令“dcomcnfg”，然后依次選擇“組件服務(wù)”、“計算機”和“屬性”選項，選擇“默認(rèn)屬性”，去掉“在此計算機上啟用分布式COM”前面的勾選項的設(shè)置即可完成。

4.UDP137、UDP138和TCP139端口

UDP137和UDP138端口主要用于為Windows系統(tǒng)提供計算機名稱和IP地址的查詢服務(wù)，而TCP139端口則主要用于為Windows系統(tǒng)提供基于SMB協(xié)議的文件和打印機共享服務(wù)。

這個三個端口的關(guān)閉方法是：依次選擇“網(wǎng)上鄰居”、“屬性”、“本 地 連接”、“屬性”、“TCP/IP 屬性”、“高級”以及“WINS-NetBIOS設(shè)置”選項，打開“WINSNetBIOS設(shè)置”對話框，選擇“禁用TCP/IP上的NetBIOS”選項。

5.TCP445端口

TCP445端口主要用于為Windows系統(tǒng)提供基于CIFS協(xié)議的文件和打印機共享服務(wù)。

關(guān)閉方法是：依次選 擇“開 始”、“運 行”選項，執(zhí) 行 命 令“regedit”選項，打開“注冊表”窗口，在HKEY_LOCAL_MACHINESystemControlsetServicesNetBTParameters路徑下新建名稱為“SMBDeviceEnabled”，數(shù)值為“0”的REG_DWORD選項。

6.TCP3389端口

TCP3389端口主要用于為Windows系統(tǒng)提供遠程桌面服務(wù)。

關(guān)閉方法是：依次選擇“控制面板”、“管理工具”以及“服務(wù)”選項，停止并禁用名 為“Terminal Services”的服務(wù)。

TCP/IP篩選關(guān)閉法

TCP/IP篩選關(guān)閉法，就是利用本地連接屬性中的TCP/IP篩選來過濾，該方法僅允許指定端口通過，其余端口默認(rèn)全部屏蔽與外界的通信，下面以只打開TCP100和UDP200端口為例進行描述，方法是：打開“本地連接”，右擊選擇“屬性”按鈕，依次選擇“Internet協(xié)議（TCP/IP）”、“屬性”、“高級”、“選項”標(biāo)簽頁、“TCP/IP 篩選”、“屬性”選項，在打開的“TCP/IP篩選”對話框中勾選“啟用TCP/IP篩選”， 選擇“TCP端口”，勾選“只允許添加（允許的 TCP 端口，如100）”，打開“UDP端口”，勾選“只允許添加（允許的UDP端口，如200）”，如圖2所示。為：

圖2 TCP/IP篩選

IP安全策略關(guān)閉法

IP安全策略關(guān)閉法，就是通過IP安全策略來關(guān)閉Windows系統(tǒng)的端口，該方法可以關(guān)閉任意的Windows端口，下面以關(guān)閉TCP4899和UDP135端口為例進行描述，其關(guān)閉方法

1.打開本地安全策略

依次打開“控制面板”、“管理工具”和“本地安全策略”選項，打開“本地安全策略”窗口。

2.創(chuàng)建IP安全策略

在“本地安全策略”窗口中，右擊依次選擇“IP安全策略”和“創(chuàng)建IP安全策略”選項，點擊“下一步”選項之后填寫策略名稱，單擊“下一步”選項，去掉“激活默認(rèn)響應(yīng)規(guī)則”前面的勾選項，點擊“下一步”以及“完成”選項，打開“新建的IP安全策略屬性”窗口。

3.添加IP安全規(guī)則

在“新建的IP安全策略屬性”窗口中，去掉“使用‘添加向?qū)А鼻懊娴墓催x項，添加“IP安全規(guī)則”，打開“新規(guī)則屬性”窗口。

4.添加篩選器操作

在“新規(guī)則屬性”窗口中選擇“篩選器操作”選項，去掉“使用‘添加向?qū)А鼻懊娴墓催x項的設(shè)置，選擇添加“篩選器操作”的選項，打開“篩選器屬性”對話框，依次打開“安全方法”標(biāo)簽頁、“阻止”和“常規(guī)”對話框，填寫好“篩選器操作”名稱后完成操作。

5.添加篩選器

在“新規(guī)則屬性”窗口中，選擇“IP篩選器列表”，添加“篩選器列表”，打開“篩選器列表”窗口，填寫“篩選器列表”名稱，去掉“使用‘添加向?qū)А鼻懊娴墓催x項，添加“篩選器”，打開“篩選器屬性”窗口、“地址”標(biāo)簽頁以及“源地址”選項，分別選擇“任何IP地址”和“目標(biāo)地址”選項，選擇“我的IP地址”與“協(xié)議”標(biāo)簽頁，選擇“協(xié)議類型”為“TCP”，選擇“到此端口”填寫為“4899”，然后點擊“確定”按鈕。在“篩選器列表”窗口繼續(xù)點擊“添加”按鈕，同理可以繼續(xù)添加“UDP135端口”，也可以添加其他需要關(guān)閉的端口，如圖3所示。

6.關(guān)聯(lián)并生效該規(guī)則

在“IP安全規(guī)則屬性”窗口中，選擇“IP篩選器列表”標(biāo)簽頁，依次選擇新建的“IP篩選器列表”和“篩選器操作”標(biāo)簽頁，選擇新建的“篩選器操作”選項，然后點擊“確定”按鈕。最后，返回“本地安全策略”窗口中，右擊新建的“IP安全策略”，選擇“指派”選項，重啟計算機后，即可關(guān)閉TCP4899和UDP135端口。

圖3 IP篩選器列表

圖4 防火墻設(shè)置

防火墻關(guān)閉法

防火墻關(guān)閉法主要是利用防火墻對Windows系統(tǒng)端口進行屏蔽，該方法僅允許指定端口通過，其余端口默認(rèn)全部屏蔽與外界的通信。下面以Windows防火墻只允許TCP80端口通信為例進行具體描述，方法是：依次打開“控制面板”、“Windows防火墻”、“例外”和“添加端口”對話框，填寫好名稱，然后填寫端口號為“80”，選擇協(xié)議為“TCP”，如圖4所示。

經(jīng)驗總結(jié)

系統(tǒng)關(guān)閉法相對而言比較直觀，操作較為簡便，直接從操作系統(tǒng)層面對危險端口進行了關(guān)閉，但是不同端口的關(guān)閉方法各不相同，因而該方法僅適用于常見端口的關(guān)閉。TCP/IP篩選關(guān)閉法、IP安全策略關(guān)閉法和防火墻關(guān)閉法通用性較強，其中，TCP/IP篩選關(guān)閉法和防火墻關(guān)閉法可以只放開任意指定的端口通信，對其他所有端口進行屏蔽，IP安全策略關(guān)閉法則可以對任意指定的端口進行屏蔽。

但是由于這三種方法實質(zhì)上是從網(wǎng)絡(luò)協(xié)議層對端口進行了屏蔽，讓攻擊者無法訪問受保護的指定端口。因而建議：關(guān)閉常見端口時，使用系統(tǒng)關(guān)閉法；關(guān)閉不常見的端口時，使用IP安全策略關(guān)閉法；而如果只放開指定端口通信時，則使用TCP/IP篩選關(guān)閉法或防火墻關(guān)閉法。