关闭与开启危险端口修改注册表关闭445端口:HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\NetBT\\Parameters新建DWORD值:SMBDeviceEnabled设为0关闭自己的139端口,ipc和RPC漏洞存在于此。关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。同时也关闭了UDP137、138端口。关闭Windows默认端口139、445等—closeport.bat的使用说明自从Windows2000以来,Windows系统增强了网络服务功能,这同时也降低了安全性,各种蠕虫病毒一波波的肆虐,Windows的网络安全为人们所诟病。网络本来是一个欢乐缤纷的五彩乐园,但是安全问题使美好的网络蒙上了阴影,使人们小心翼翼如履薄冰,难以在网络上自由顺畅的呼吸,网络成为许多用户心中难舍的痛难解的结。造成这种结果的主要原因是是windows系统默认开启了一些网络功能开启一些端口,从而置广大用户于危地。这些功能用户一般用不到,反而成为了重要的安全隐患,给了蠕虫和骇客们可乘之机,成为他们大显身手的乐土。人们不得求助于防火墙、助手和补丁等等莫名其妙乌七八糟的东西,把一切搞得越来越复杂,因为它们往往给你带来更多的烦恼。其实,把Windows的一些默认端口关掉,就可以解决绝大部分的问题。这两天,研究了一下端口的问题。写了一个脚本用来关掉这些默认端口,后面有解释,我的理解不一定正确,其中或有不当之处,欢迎各位批评指正。这个脚本我在Windows2003Server上测试通过,在WinXP和Win2000上面应该也能适用。[使用说明]将以下代码复制下来,存为closeport.bat(注意,每个命令应该在一行中)。运行closeport,重启计算机即可。cmd下运行netstat-an,你会发现相应的端口都已经停止了。如果希望打开所有端口,运行closeport-o,重启计算机即可。你可以自己将脚本中你不希望的功能命令去掉,然后再运行它。[注意事项]1.运行本程序前,最好手工停用DCOM。方法如下,利用WindowsNT/2000/XP标准集成的“dcomcnfg.exe”工具。从命令行执行,打开分布式COM属性窗口,取消“在这台计算机上启用分布式COM”选项即可。(Window2000\\XP\\2003的配置对话框有所不同)。虽然,这个脚本可以停用DCOM,但是它是通过修改注册表的键值。我不知道效果是否与之相同。2.重启计算机后,出现过TCP/IPDriver不能启动。因此无法上网的情况。如果遇到这种情况。请在“设备管理器”中,选择显示隐藏的设备,按连接查看设备,找到TCP/IPprotocoldriver,在驱动程序页面设置为自动。重启计算机即可。3.本脚本完全没有任何担保,请慎重使用。最好阅读后面的解释。你可以更好的了解和定制使用它。================================@echooffremremcloseport.batversion0.2rembySpirituel@SMTHremremThisfileclosethedefaultportsofWindows.remWhyandhowtouseit,pleaseconducttotheREADME.txt.windows2000aswell.withme.remItesteditonWindows2003Server.AnditshouldworkonWindowsXPandremIfyouunderstanditandfindsomeerror,youcandescribeitclearlyandcontactremCorrectionsarewelcome.remNOTICE:NOWARRANTYtotally.Pleaseuseitcarefully.echoClosethedefaultportsofWindowssystem.echo[usage]Usetheparameter-otoopentheportsagain.echoYoucanchangethefiletocustomizethemforyourself.if"%1"=="-o"goto:open@rem-----------------------------------------------notwantiteffectsechoon@remdisabletheNetBT(NetBiosovertcp/ip)devicedriver,closeport@remdisablesomeservices,youcanadd"rem"onthecommandifyoudoTCP139/UDP137/UDP138/TCP445REG_DWORD/d0x4/fregadd"HKLM\\SYSTEM\\CurrentControlSet\\Services\\NetBT"/vStart/t@remdisabletheLmHosts(TCP/IPNetBIOSHelper)devicedriver,itdependsonNetBTREG_DWORD/d0x4/fregadd"HKLM\\SYSTEM\\CurrentControlSet\\Services\\LmHosts"/vStart/t@remdisablethelanmanserver(server)service,stopIPC$netshareregStart/tREG_DWORD/d0x4/fadd"HKLM\\SYSTEM\\CurrentControlSet\\Services\\lanmanserver"/v@remdisablethedfs(DistributeFileSystem)service,itdependsonserverREG_DWORD/d0x4/fregadd"HKLM\\SYSTEM\\CurrentControlSet\\Services\\Dfs"/vStart/t@remdisabletheBrowser(ComputerBrowser)service,itdependsonserverREG_DWORD/d0x4/fregadd"HKLM\\SYSTEM\\CurrentControlSet\\Services\\Browser"/vStart/t@remdisabletheW32Time(WindowsTimer)service,closeportUDP123REG_DWORD/d0x4/fregadd"HKLM\\SYSTEM\\CurrentControlSet\\Services\\W32Time"/vStart/t@remdisabletheTermService(TerminalServices)service,itsdefaultportisTCP33/tREG_DWORD/d0x4/fregadd"HKLM\\SYSTEM\\CurrentControlSet\\Services\\TermService"/vStart@remdisableDCOMregadd"HKLM\\SOFTWARE\\Microsoft\\Ole"/vEnableDCOM/tREG_SZ/dN/fgoto:end:open@rem-----------------------------------------------notwantiteffectsechoon@remenabletheNetBT(NetBiosovertcp/ip)devicedriver,port@remenablesomeservices,youcanadd"rem"onthecommandifyoudoTCP139/UDP137/UDP138/TCP445REG_DWORD/d0x1/fregadd"HKLM\\SYSTEM\\CurrentControlSet\\Services\\NetBT"/vStart/t@remenabletheLmHosts(TCP/IPNetBIOSHelper)devicedriver,itdependsonNetBTREG_DWORD/d0x2/fregadd"HKLM\\SYSTEM\\CurrentControlSet\\Services\\LmHosts"/vStart/t@remenablethelanregStart/tREG_DWORD/d0x2/fadd"HKLM\\SYSTEM\\CurrentControlSet\\Services\\lanmanserver"manserver(server)service,stopIPC$netshare/v@remenablethedfs(DistributeFileSystem)service,itdependsonserverREG_DWORD/d0x2/fregadd"HKLM\\SYSTEM\\CurrentControlSet\\Services\\Dfs"/vStart/t@remenabletheBrowser(ComputerBrowser)service,itdependsonserverREG_DWORD/d0x2/fregadd"HKLM\\SYSTEM\\CurrentControlSet\\Services\\Browser"/vStart/t@remenabletheW32Time(WindowsTimer)service,portUDP123REG_DWORD/d0x2/fregadd"HKLM\\SYSTEM\\CurrentControlSet\\Services\\W32Time"/vStart/t@remenabletheTermService(TerminalServices)service,itsdefaultportisTCP33/tREG_DWORD/d0x2/fregadd"HKLM\\SYSTEM\\CurrentControlSet\\Services\\TermService"/vStart@remenableDCOM/fregadd"HKLM\\SOFTWARE\\Microsoft\\Ole"/vEnableDCOM/tREG_SZ/dY:end@remenabletcpipdevicedriverREG_DWORD/d0x2/fregadd"HKLM\\SYSTEM\\CurrentControlSet\\Services\\Tcpip"/vStart/t@echooffpause================================[解释说明]Windows问题主要来自TCP135、TCP139、TCP445等默认端口、提供的IPC$默认共享,以及没有默认开启但非常危险的终端服务(TerminialServices)。这个脚本可以把它们关掉。下面是脚本中命令的解释。1.NetBios和IPC$的问题。regadd"HKLM\\SYSTEM\\CurrentControlSet\\Services\\NetBT"/vStart/tREG_DWORD/d0x4/f禁用NetBT的驱动程序。这可以关闭TCP139/UDP137/UDP138/TCP445。由于IPC$是利用了这些端口,因此应该已经不能使用了,这会使你的网络打印机和网络文件共享无效。regadd"HKLM\\SYSTEM\\CurrentControlSet\\Services\\LmHosts"/vStart/tREG_DWORD/d0x4/f禁用LmHosts服务,它依赖于NetBT,如果不禁用它,启动的时候会出现服务错误。regadd"HKLM\\SYSTEM\\CurrentControlSet\\Services\\lanmanserver"/vStart/tREG_DWORD/d0x4/f禁用server服务。如果不禁用,由于NetBT已经禁用,IPC$、C$等等应该也已经不能连接了。如果该服务启动,你仍然可以在共享文件夹中看到它们。regadd"HKLM\\SYSTEM\\CurrentControlSet\\Services\\Dfs"/vStart/tREG_DWORD/d0x4/fdfs服务依赖于server服务,禁用之。regadd"HKLM\\SYSTEM\\CurrentControlSet\\Services\\Browser"/vStart/tREG_DWORD/d0x4/fBrowser服务依赖于server服务,禁用之。2.135和DCOM的问题。由于135端口运行的是RpcSs服务,如果禁用,计算机不能正常使用。但是可以把DCOM停用。regadd"HKLM\\SOFTWARE\\Microsoft\\Ole"/vEnableDCOM/tREG_SZ/dN/f停用DCOM,建议手工停用。方法见注意事项。3.其他regadd"HKLM\\SYSTEM\\CurrentControlSet\\Services\\W32Time"/vStart/tREG_DWORD/d0x4/f停用W32Time服务,关闭UDP123。这是一个网络时钟同步的服务。regadd"HKLM\\SYSTEM\\CurreREG_DWORD/d0x4/fntControlSet\\Services\\TermService"/vStart/t禁用远程终端服务。默认没有开启,默认端口33,但比较危险,除非你自己要使用它。regadd"HKLM\\SYSTEM\\CurrentControlSet\\Services\\Tcpip"/vStart/tREG_DWORD/d0x2/f启用Tcpip(Tcp/IPprotocolDriver)驱动程序。如果它不启用,你就无法上网了。[关于端口的说明]我觉得关闭这些端口应该可以比较安全的上网了,不知是否正确,那位给予指正。这些功能对于绝大多数用户是用不到的,如果你需要某些功能可以打开它。那么,那些端口是需要开放的呢。TCP135由于RpcSs服务是要打开的。UDP500\\UDP4500是lass.exe打开的。1025以后的几个端口是程序自由分配的,通常是正常的,你可以检查一下。其他端口应该都是可以关闭的,如果有可疑端口,你要仔细检查一下。可以结合使用netstat-ano和tasklist/SVC结合使用,查看那个端口运行的是什么服务,属于哪个进程。[小结]本脚本主要停用DCOM,禁用了NetBT,关闭了$IPC,禁用了时钟服务和远程终端服务,连那个讨厌的信使服务应该也顺带不起作用了(因为它使用UDP138)。怎么样,现在在使用netstat-an察看端口,世界清静了吧。以上的方法是比较方便直接的治本的方法。当然升级windows的更新也是一个解决漏洞治本之法,不过我觉得不如直接关掉没用的端口来的简单、干净、彻底。关闭不用的端口默认情况下Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑,为了让你的系统铜墙铁壁,应该封闭这些端口,主要有:TCP139、445、593、1025端口和UDP123、137、138、445、1900端口,一些流行病毒的后门端口(如TCP2513、2745、3127、6129端口),以及远程服务访问端口33。137、138、139、445端口都是为共享而开的,是NetBios协议的应用,你应该禁止别人共享你的机器,所以要把这些端口全部关闭,方法是:单击“开始”/控制面板/系统/硬件/设备管理器,单击“查看”菜单下的“显示隐藏的设备”,单击“非即插即用驱动程序”,找到NetbiosoverTcpip禁用该设备,重新启动后即可。关闭UDP123端口:单击“开始”/设置/控制面板,双击“管理工具”/服务,停止windowstime服务即可,关闭UDP123端口,可以防范某些蠕虫病毒。关闭UDP1900端口:在控制面板中双击“管理工具”/服务,停止SSDPDiscoveryService服务即可。关闭这个端口,可以防范DDoS攻击。其他端口你可以用网络防火墙关闭之,或者在控制面板中,双击“管理工具”/本地安全策略,选中“IP安全策略,在本地计算机”,创建IP安全策略来关闭这些端口。
