winserver服务器关闭危险端⼝135,137,138,139,445的⽅法
Windows默认开放135、137、138、139和445五个端⼝,都与⽂件共享和打印机共享有关的,若机器连接⽹络后会在⽤户不知道的情况下泄露本机部分信息,这样会给⽤户带来⼀部分危险,所以我们在⼯作中根据⾃⼰的需求定位⼀下是否需要关闭这些端⼝,以免带来不必要的损失。
1)137,138----UDP
2) 135,139,445----TCP
下⾯介绍⼀下这些端⼝的⽤途:
135端⼝
在许多“⽹管”眼⾥,135端⼝是最让⼈捉摸不透的端⼝,因为他们中的⼤多数都⽆法明确地了解到135端⼝的真正作⽤,也不清楚该端⼝到底会有哪些潜在的危险。直到⼀种名
为“IEen”的专业远程控制⼯具出现,⼈们才清楚135端⼝究竟会有什么样的潜在安全威胁。IEen⼯
具能够借助135端⼝轻松连接到Internet上的其他⼯作站,并远程控制该⼯作站的IE浏览器。例如,在浏览
器中执⾏的任何操作,包括浏览页⾯内容、输⼊帐号密码、输⼊搜索关键字等,都会被IEen⼯具监控到。甚⾄在⽹上银⾏中输⼊的各种密码信息,都能被IEen⼯具清
楚地获得。除了可以对远程⼯作站上的IE浏览器进⾏*作、控制外,IEen⼯具通过135端⼝⼏乎可以对所有的借助DCOM开发技术设计出来的应⽤程序进⾏远程控制,例如 IEen⼯具也能轻松进⼊到正在运⾏Excel的计算机中,直接对Excel进⾏各种编辑*作。怎么样?135端
⼝对外开放是不是很危险呀?当然,这种危险毕竟是理论上的,要想真正地通过135端⼝⼊侵其他系统,还必须提前知道对⽅计算机的IP地址、系统登录名和密码等。只要你严格保密好这些信息,你的计算机被IEen⼯具攻击的可能性⼏乎不存在。为什么IEen⼯具能利⽤35
端⼝攻击其他计算机呢?原来该⼯具采⽤了⼀种DCOM技术,可以直接对其他⼯作站的DCOM程序进⾏远程控制。DCOM技术与对⽅计算机进⾏通信时,会⾃动调⽤⽬标主机中的RPC服务,⽽RPC服务将⾃动询问⽬标主机中的135端⼝,当前有哪些端⼝可以被⽤来通。
如此⼀来,⽬标主机就会提供⼀个可⽤的服务端⼝作为数据传输通道使⽤。在这⼀通信过程中,135端⼝的作⽤其实就是为RPC通信提供⼀种服务端⼝的映射功能。说简单⼀
点,135端⼝就是RPC通信中的桥梁。
137端⼝
关闭135端口137端⼝的主要作⽤是在局域⽹中提供计算机的名字或IP地址查询服务,⼀般安装了NetBIOS协议后,该端⼝会⾃动处于开放状态。要是⾮法⼊侵者知道⽬标主机的IP地址,并向该地址的137端⼝发送⼀个连接请求时,就可能获得⽬标主机的相关名称信息。例如⽬标
主机的计算机名称,注册该⽬标主机的⽤户信息,⽬标主机本次开机、关机时间等。此外⾮法⼊侵者还能知道⽬标主机是否是作为⽂件服务器或主域控制器来使⽤。
138端⼝
137、138端⼝都属于UDP端⼝,它们在局域⽹中相互传输⽂件信息时,就会发⽣作⽤。⽽138端⼝的主要作⽤就是提供NetBIOS环境下的计算机名浏览功能。⾮法⼊侵者要是与⽬标主机的138端⼝建⽴连接请求的话,就能轻松获得⽬标主机所处的局域⽹⽹络名称以及
⽬标主机的计算机名称。有了计算机名称,其对应的IP地址也就能轻松获得。如此⼀来,就为⿊客进⼀步攻击系统带来了便利。
139端⼝
139端⼝是⼀种TCP端⼝,该端⼝在你通过⽹上邻居访问局域⽹中的共享⽂件或共享打印机时就能发挥作⽤。139端⼝⼀旦被Internet上的某个攻击者利⽤的话,就能成为⼀个危害极⼤的安全漏洞。因为⿊客要是与⽬标主机的139端⼝建⽴连接的话,就很有可能浏览到
指定⽹段内所有⼯作站中的全部共享信息,甚⾄可以对⽬标主机中的共享⽂件夹进⾏各种编辑、删除*作,倘若攻击者还知道⽬标主机的IP地址和登录帐号的话,还能轻⽽易举地查看到⽬标主机中的隐藏共享信息。
445端⼝
445端⼝也是⼀种TCP端⼝,该端⼝在Windows 2000 Server或Windows Server 2003系统中发挥的作⽤与139端⼝是完全相同的。具体地说,它也是提供局域⽹中⽂件或打印机共享服务。不过该端⼝是基于CIFS协议(通⽤因特⽹⽂件系统协议)⼯作的,⽽139端⼝是基
于SMB协议(服务器协议族)对外提供共享服务。同样地,攻击者与445端⼝建⽴请求连接,也能获得指定局域⽹内的各种共享信息。要关闭⽂件共享可以同时关闭139和445端⼝。
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------注:以上信息来⾃于⽹络摘要
下⾯介绍⼀下如何关闭这些端⼝-------(根据个⼈需求处理)
⽅法⼀:通过防⽕墙来控制
打开控制⾯板
选择检查防⽕墙状态
选择⾼级设置
选择⼊站规则,再新建规则
选择端⼝,下⼀步
选择端⼝应⽤于啥协议,再指定端⼝,再下⼀步
选择阻⽌连接,下⼀步
下⼀步
给规则别名⼀下,⽅便管理,完成。
到这⾥我们就设置好了,前提是防⽕墙开启状态。
⽅法⼆:通过安全策略控制
打开开始菜单,在搜索框中输⼊本地安全策略
选择IP安全策略,创建IP安全策略---下⼀步----设置管理别名--下⼀步---下⼀步
上边以139端⼝为例,点击确定后可以继续添加其他端⼝,都添加完后效果如右上图,点击确定后如下图,然后我们再添加筛选器操作。
此时,我们选择筛选器列表⾥的名称为:阻⽌135/137/138/139/445的单选按钮,在选择筛选器操作⾥名称为阻⽌危险端⼝的单选按钮,点击应⽤即可。最后点击确定,再右键点击分配即可⽣效。
注意:你的系统中的“IPSEC Policy Agent”服务必须在启动状态,否则前⾯的规则会不起作⽤。如果当下启动了,需要cmd执⾏:
C:\Users\Administrator>gpupdate /force
正在更新策略...
⽤户策略更新成功完成。
计算机策略更新成功完成。
-------------------------------------
如果时不时需要开启/关闭防⽕墙的话,可以考虑通过安全策略来控制。总地来说通过防⽕墙来控制,简单;安全策略稍微复杂⼀点点。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论