服务器安全IP安全策略,批处理屏蔽危险端口

最新推荐文章于 2023-07-17 14:09:03 发布
最新推荐文章于 2023-07-17 14:09:03 发布
阅读量1.3w 收藏 12
点赞数 4
分类专栏: 系统 文章标签: 服务器 远程连接 tcp list system sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zm2714/article/details/7962694
版权

服务器的安全设置环节中,必不可少的操作环节是要屏蔽一些危险端口。如果人为的在“控制面板”、“管理工具”、“本地安全设置”中手工设置IPSEC安全策略的话,不仅麻烦,稍有疏忽就容易出错。本篇内容就介绍了利用批处理的优势来完成屏蔽危险端口的设置,当然,只要你愿意,任何端口都可屏蔽,只要在配置文件中添加需要屏蔽的端口就行了。这个批处理经过我测试使用,非常的方便、省事。

屏蔽危险端口方法一

这个工具主要有两个文件构成:一个是配置文件“禁止IP列表.txt”、一个是“屏蔽高危端口.bat”,以下为这两个文件的代码。如果你想要添加其它端口,在“禁止IP列表.txt”中根据它的格式添加就可以了。“屏蔽高危端口.bat”这个文件无需设置。

“禁止IP列表.txt”代码如下

请使用空格隔开注释,本行不可少
*+0:135:tcp #封TCP协议的135端口,与RPC有关,如有影响请删除本行。
*+0:135:udp #封UDP协议的135端口,与RPC有关,如有影响请删除本行,下同
*+0:139:tcp #封TCP协议的139端口,可有效防御MS08-067溢出攻击,与共享有关
*+0:139:udp #封UDP协议的139端口,可有效防御MS08-067溢出攻击,与共享有关
*+0:445:tcp #封TCP协议的445端口,可有效防御MS08-067溢出攻击,与共享有关
*+0:445:udp #封UDP协议的445端口,可有效防御MS08-067溢出攻击,与共享有关
*+0:1443:tcp #禁止远程连接本机1443端口,与SQL有关
*+0:1443:udp #禁止远程连接本机1443端口,与SQL有关
*+0:1444:tcp #禁止远程连接本机1444端口,与SQL有关
*+0:1444:udp #禁止远程连接本机1444端口,与SQL有关

“屏蔽高危端口.bat”代码如下

@echo off
title 屏蔽高危端口
::code by LZ-MyST  为开机通道优化代码
sc query PolicyAgent|find /i "PolicyAgent"
if %errorlevel% == 1 (
  sc create PolicyAgent binpath= "%windir%\system32\lsass.exe" type= share start= auto displayname= "IPSEC Services" depend= RPCSS/IPSec
  ping 127.1
)
sc config PolicyAgent start= auto
ipseccmd -w reg -p Block -y
set "a=0"
set "b="
set "list="
FOR /f "skip=1 delims= " %%i IN (禁止IP列表.txt) DO call :_ipsec "%%i"
if %a% leq 386 ipseccmd -w reg -p Block:1 -r filterlist%b% -f %list% -n BLOCK
ipseccmd -w reg -p Block -x

goto _next
:_ipsec
set /a a+=1
set list=%list% %~1
if %a% gtr 386 (
  ipseccmd -w reg -p Block:1 -r filterlist%b% -f %list% -n BLOCK
  set "list="
  set "a=0"
  set /a b+=1
)
goto :eof
:_next

相关说明

1、“禁止IP列表.txt”中的内容格式非常简单,我就不多解释了。根据他的格式添加你需要端口即可。
2、如果你的服务器系统没有打win2003 sp2补丁或者是标准版,可能没有“ipseccmd.exe”文件,你只需要复制这个文件到c:\windows\system32目录下就可以使用了。

屏蔽危险端口方法二

下面这个方法实质上和上面的方法一样,区别的是,上面将执行部分和配置部分分开了而已。

@echo off
title 禁止危险端口##
cls
::code by Sunward  
sc query PolicyAgent|find /i "PolicyAgent"
if %errorlevel% == 1 (
  sc create PolicyAgent binpath= "%windir%\system32\lsass.exe" type= share start= auto displayname= "IPSEC Services" depend= RPCSS/IPSec
)
sc config PolicyAgent start= auto
sc start PolicyAgent Services
ipseccmd  -w REG -p "SUNWARD" -o -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block TCP/135" -f *+0:135:TCP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block TCP/139" -f *+0:139:TCP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block TCP/445" -f *+0:445:TCP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block TCP/1443" -f *+0:1443:TCP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block TCP/1444" -f *+0:1444:TCP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block UDP/135" -f *+0:135:UDP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block UDP/139" -f *+0:139:UDP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block UDP/445" -f *+0:445:UDP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block UDP/1443" -f *+0:1443:UDP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block UDP/1444" -f *+0:1444:UDP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -x >nul
cls
@echo 端口屏蔽完成!
ping 127.0.0.1 -n 5 1>nul

 

zm2714
关注
专栏目录
Windows封堵高危端口脚本(IP安全策略
ZhYu的博客
11-23 4887
IP安全策略是一个给予通讯分析的策略,它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合,然后决定是允许还是拒绝通讯的传输,它弥补了传统TCP/IP设计上的’随意信任’重大安全漏洞,可以实现更仔细更精确的TCP/IP安全 根据五元组来实现本机的访问控制功能 @echo off REM 封堵高危端口示例 ::删除所有安全策略 netsh ipsec static del all ::新建安全策略 netsh ipsec static add policy name="端口封堵" ::新建IP
Windows2008R2 一键安全优化脚本
qq_42719108的博客
02-27 499
::author vim ::QQ 82996821 ::filename Windows2008R2_safe_auto_set.bat :start @echo off color 0a @echo 请选择要服务操作类型: @echo 1.更改远程端口,重启后生效 @echo 2.目录权限优化 @echo 3.系统服务优化 @echo 4.网络安全优化[修改注册表] @ech...
批处理屏蔽高危端口,135、137、138、139、445、22、21、445 等端口
05-31
屏蔽135、137、138、139、445、22、21、445 等端口
Ip安全策略批处理脚本
weixin_30619101的博客
03-04 582
REM =================开始================   netsh ipsec static ^   add policy name=bim      REM 添加2个动作,block和permit   netsh ipsec static ^   add filteraction name=Permit action=permit   netsh ips...
IP安全策略批处理脚本.tx
07-02
windows IP安全策略批处理脚本
利用IP安全策略关闭危险端口
醉亭记
09-18 4320
默认情况下,Windows服务器有很多端口是开放的,网络病毒和黑客可以通过这些端口连上你的服务器并进行攻击。
自动化——bat——关闭高危端口
最新发布
stqer的博客
07-17 2012
title 创建IP安全策略屏蔽135、139 . . . 等端口。echo “恭喜您,危险端口已经关闭”echo “3389端口已经关闭”echo “1444端口已经关闭”echo “135端口已经关闭”echo “136端口已经关闭”echo “137端口已经关闭”echo “138端口已经关闭”echo “139端口已经关闭”echo “445端口已经关闭”echo “正在关闭,请等待”echo “按任意键退出 ”
计算机等级考试四级信息安全工程师
qq_42092076的博客
01-29 5587
计算机等级考试信息安全四级试题及解析 第一套试题 1.在进行操作系统设计时,下列哪一个是构造操作系统的方法?(C) A)网络式结构 B)并行式结构 C)微内核结构 D)主从式结构 【参考答案及解析】 C【解析】为了提高操作系统的“...
禁止默认共享的批处理文件
01-28
导入IP安全策略 关闭事件跟踪程序 禁用粘滞键 禁止默认共享 静默安装_NET 屏蔽迅雷广告 清除系统垃圾 清除远程桌面记录 同步IIS备份文件 修复SQL2K安装挂起 修复SQL2K配置服务器失败 修复SQL2K企业管理器注册失败 ...
简单的“TCP/IP筛选”
zly22169846的专栏
10-29 4081
   ---- Windows 2000配备的TCP/IP滤波机构只能进行简单控制,不能将IP地址和IP包的流向作为控制参数。 “TCP/IP筛选”操作方法:在“本地连接属性”画面,双击“Internet协议(TCP/IP)”后,选定对话框右下侧的“高级”按钮; 然后,选择“高级TCP/IP设定”*“选项”*“TCP/IP筛选”,弹出“TCP/IP筛选”画面(如图2所示)即可。  
利用ip安全策略关闭危险端口
03-24
今天教大家利用ip安全策略关闭危险端口,比如:135,23,3389,445,139等…… 这些端口都给黑客入侵提供了便利。为了更好的防护我们的电脑,我们该把这些端口进行关闭! 好了,进入正题,打开开始菜单-所有程序-管理工具-本地安全策略 我本机上是关闭了的,那么我演示就在虚拟机上演示吧! 没有管理工具?那么就请右键点击开始菜单,选择属性 选择开始 菜单选项卡 点自定义 高级选项卡 开始菜单项目里面选择 系统管理工具(在所有程序菜单上显示) 如果大家的开始菜单中没有,可以按上面的方法做,看操作 我们来看看虚拟机开放了哪些端口。 方法:开始-运行-cmd (netstat -an) Proto Local Address Foreign Address State TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 127.0.0.1:1025 0.0.0.0:0 LISTENING TCP 192.168.128.128:139 0.0.0.0:0 LISTENING UDP 0.0.0.0:445 *:* UDP 192.168.128.128:137 *:* UDP 192.168.128.128:138 *:* 我们来看看:tcp开放的端口:135,445,1025(这个端口貌似没多大的危险,就不关闭了!),139 这里说下:关闭139的还有种方法,用ip策略相当于防火墙,能阻止访问。 还有种就是禁用netbios!在本地连接里修改!为了更安全,我还是把139端口添加进去 下面我们来说该如何关闭呢? 打开系统管理工具里的 本地安全策略 我们选中ip安全策略! 看我操作,这里过程有点复杂哦。大家一定要仔细看,如果打字的话要打很多,所以我直接操作给大家看…… ok全部设置完成,最后别忘了激活(指派) 这里说下,这个必须要启动ipsec服务才行 IPSEC Services 好了,这样危险端口就关闭掉了 但是以后大家要注意的是:IPSEC Services这个服务千万不能停止哦,停止了ip策略就失去作用了。
使用BAT命令关闭:135端口、139端口、445端口
09-21
主要介绍了使用BAT命令关闭:135端口、139端口、445端口等,其实就是利用组策略批量添加,需要的朋友可以参考下
高危端口关闭批处理.bat
12-25
高危端口关闭批处理.bat ,关闭常见的高危端口135,139,445,3389之类端口
超强批处理关闭有害端口,让系统固若金汤.
02-02
批处理修改IP安全策略让木马无孔可入,另附二人程序修改组策略,把你的系统优化到最佳状态.
可以关闭危险端口批处理
07-25
可以关闭危险端口批处理可以关闭危险端口批处理可以关闭危险端口批处理可以关闭危险端口批处理可以关闭危险端口批处理可以关闭危险端口批处理可以关闭危险端口批处理
网络安全与管理知识点总结
孤独的博客
09-10 4242
网络安全与管理 第一章 概述 第二章 信息收集 第三章 网络隐身 第四章 网络扫描 第五章 网络攻击 第六章 网络后门及痕迹清除 第七章 访问控制与防火墙 第八章 入侵防御 思维导图在下载资源,需要自行下载 第一章 概述 网络安全体系 物理层 系统层 网络层 应用层 管理层 物理层安全 物理环境的安全性 {通信线路的安全、物理设备的安全、机房的安全} 防范措施:防盗、防火、防静电、防雷击 系统层安全 操作系统的安全性 {整个网络与计算机系统的安全基础} 防范措施:及时修复系统漏洞、防止系统的安全
关闭端口脚本.bat
windowsliusheng的专栏
08-15 9332
@echo off title 创建IP安全策略屏蔽135、139 . . . 等端口 (win7) echo “正在关闭,请等待” netsh ipsec static add policy name=qianye netsh ipsec static add filterlist name=Filter1 netsh ipsec static add filter filterli
封堵高危端口,预防勒索病毒
杨群的博客
10-09 1700
封堵高危端口,预防勒索病毒
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值