Windows为了方便大家的使用,默认开了很多的端口,不过,还是有安全专家建议关闭几个端口,稍微了解了下,感觉那几个端口平时自己也用不上,留在或多或少也是个隐患,还是关掉好。
1、在“控制面板”-“系统和安全”-“Windows防火墙”,里面点击“打开或关闭Windows防火墙”,保持防火墙开启状态。如下图:
![55677b4fc13cfd75bad1d2f63de39205.png](https://i-blog.csdnimg.cn/blog_migrate/f75fe2a4d7d7067b6d77f8d282a2c51c.jpeg)
然后点击左侧的“高级设置”,并点击“新建规则”,如下图:
![294e8a5779e756e2f0544cabf1babe9f.png](https://i-blog.csdnimg.cn/blog_migrate/b6d83819e2ab159a8cff860f265f066d.jpeg)
然后,我们在这里勾选“端口”,如下图:
![01613e5f234333eb7064cb73f9904091.png](https://i-blog.csdnimg.cn/blog_migrate/f3e5476eee98c1721008806e5a3db358.jpeg)
然后在这里选择协议和端口,如果要禁用UDP则需要重新操作一遍。如下图:
![42fa6750bd1077d847eafbf18296b932.png](https://i-blog.csdnimg.cn/blog_migrate/68acf10682f55b77015996bf2b58fa03.jpeg)
然后,我们勾选“阻止连接”,如下图:
![81cac6d27cb17e76509a5252f4a80de4.png](https://i-blog.csdnimg.cn/blog_migrate/afa405d706b5bfe7f3923b5632d37e84.jpeg)
然后,继续点击下一步。如图:
![ea15635d34f377ab5cec46b4f7f80591.png](https://i-blog.csdnimg.cn/blog_migrate/771cb6957eeda015f1822a5a26edd202.jpeg)
然后我们创建一个名称,如下图:
![4532d9454aed403405f350ab94a3a624.png](https://i-blog.csdnimg.cn/blog_migrate/7889a780cef9275e02396dce5a6e4a1d.jpeg)
至此,我们就成功添加了禁止端口。如下图:
三、通过IP组策略来关闭Windows不常用端口。
1、检查端口开放情况(是否开放了137、139、445、3389端口),本机cmd命令netstat –an 查看端口监听情况,
![26ef599008042f30c7afb27203e203d3.png](https://i-blog.csdnimg.cn/blog_migrate/372ccc1a7da160cdde7d848ea69af765.jpeg)
2、然后在服务器本机以外的电脑telnet 目标主机端口,如:telnet 10.1.16.143 445(你要排查的服务器的IP地址,445表示端口),如果出现无法打开到主机连接,说明在外部无法访问该端口。
![dfedacb9ec275c33f7bd0d3e264bc392.png](https://i-blog.csdnimg.cn/blog_migrate/0d6a3c2fd1bed623822bb5182b2f52ca.jpeg)
如果处于开放状态则telnet 进入,必须对该端口进行IP策略限制和防火墙限制。
![c4ebfd2982d52c439ee5c8af3c880c95.png](https://i-blog.csdnimg.cn/blog_migrate/5e44e91cf33ae3e01cf9865eec7bc175.jpeg)
一、通过Windows防火墙禁用端口:
1、点击 “控制面板-Windows防火墙”,确保启用了Windows防火墙。在左边栏点击“高级设置”,系统会自动弹出Windows防火墙高级配置窗口。
2、点击“入站规则”,然后再点“新建规则…”,在向导窗口中选择要创建的规则类型,这里选“端口”,点击“下一步”。
3、接下来选择你要禁用的网络类型(TCP或者UDP),在“特定本地端口”写入你要禁用的端口,例如“445”,然后下一步。选择“阻止连接”,下一步,应用规则看情况修改,可以维持不变,继续下一步,填写名称“禁用445端口”,点击完成。
4、到这里应该就完成了,默认情况下新建的规则会直接启用。如果没有,那么右键 “启用规则”即可。
二、通过IP安全策略禁用端口:
1、首先,Win+R打开运行,输入gpedit.msc进入组策略编辑器。
![efc58dd668c87209522ed7c5cd23cc99.png](https://i-blog.csdnimg.cn/blog_migrate/e09cb5af9d807cbfec454410b1c476e3.jpeg)
2、在左侧边栏中,依次选取 “Windows 设置- 安全设置- IP安全策略,在 本地计算机”
![99c6f5795c0c527e856c9f93b1e838ab.png](https://i-blog.csdnimg.cn/blog_migrate/b0d4681873de68b0a91c5808d294fa58.jpeg)
- 接下来右键单击 “IP安全策略,在 本地计算机”,并选择“创建IP安全策略”
![8f34a663e3f7b86e62b16b1ae5e248e0.png](https://i-blog.csdnimg.cn/blog_migrate/51d6bc72d158301bfaf5e18aa26bbd0a.jpeg)
- 随后在跳出的“IP安全策略向导”中点击“下一步”
![83725d53fdb352c90b58d192fe39806b.png](https://i-blog.csdnimg.cn/blog_migrate/4130f144f4dc922aab4361c514d32d39.jpeg)
- 在第二步的名称中输入“封禁端口”然后一路“下一步”。
![bdbb1a0b461f90950fa2bbad2285138a.png](https://i-blog.csdnimg.cn/blog_migrate/aa55f09b3e38b280a34f93ba1f623839.jpeg)
- 不要选择“激活默认响应规则”,然后选择“下一步”。
![922ec5ae4a6dee5731bb51a2427bc170.png](https://i-blog.csdnimg.cn/blog_migrate/d61b6ff7099a21e6bd42122a551da4d5.jpeg)
然后单击“完成”,编辑属性处“勾选上”。
![175c1bff7f186acd2f03e2c93595cf68.png](https://i-blog.csdnimg.cn/blog_migrate/3ec8b7c9a6c2e6e88423b2a12bd99d4d.jpeg)
8、在随后跳出的封禁端口属性窗口中,单击添加。
需要注意的是不要勾选右下角的“使用添加向导”
![14335228cb77d5c1fd40f200c72cef92.png](https://i-blog.csdnimg.cn/blog_migrate/a871f6db292fa34eace303d3333b095c.jpeg)
9、然后在”新规则 属性”窗口中,单击左下角的”添加”
![8cb3b4112a3c328ab9eb1e28fb56261e.png](https://i-blog.csdnimg.cn/blog_migrate/9b147539bdc5efcc447dab916e3deb9c.jpeg)
在IP筛选器列表窗口中,单击右侧的添加按钮,需要注意的是这里也不要点击右下角的”使用添加向导”
![2cd1ca5848695a6c90d5bd236d9fb1ee.png](https://i-blog.csdnimg.cn/blog_migrate/785747fa947e43128ddc65b53383609f.jpeg)
在弹出的IP筛选器属性窗口的地址选项卡中,原地址选择“任何IP地址”,目标地址选择“我的IP地址”
![4058791b90e27b838022c07445f2c3aa.png](https://i-blog.csdnimg.cn/blog_migrate/0ffab8b9e34daa5881bf29fba717d519.jpeg)
12、然后选择协议选项卡,选择协议类型为:TCP,设置IP协议端口为”从任意端口”“到此端口”:445,并单击确定。
![eedafc930cd998129faf67c906788e25.png](https://i-blog.csdnimg.cn/blog_migrate/fe2b71b3289b7fce644426a6924de229.jpeg)
13、然后在IP筛选器列表中,修改筛选器名称为端口号,单击确定。
![e1953796a462a662b421b65ae3ee5f0d.png](https://i-blog.csdnimg.cn/blog_migrate/9ebe864a57676d23b8bb9e5ed3d222ae.jpeg)
重复操作,添加135、137、138、139规则
![bbd53d6a87d111b7a405ba87a5403b92.png](https://i-blog.csdnimg.cn/blog_migrate/c927aec7cacb2eb94fa71702f9111f38.jpeg)
然后在新规则属性中,单击筛选器操作选项卡,单击下方的添加,并且不要勾选右侧的使用添加向导。
![28d8a3cad421924112e2d760988552b3.png](https://i-blog.csdnimg.cn/blog_migrate/9825aeaad85e703416734c36cbaace6e.jpeg)
在新筛选器操作属性中,选择“阻止”,并切换到常规选项卡,将名称改为阻止。
![86bc6c8f752e901aa9f0ae5a33fee0f3.png](https://i-blog.csdnimg.cn/blog_migrate/76850470256fcd8fc991f489623d9930.jpeg)
![a74cd09b10f922280beb389649d7b04d.png](https://i-blog.csdnimg.cn/blog_migrate/d8af6b360749f71fbfef02680572636f.jpeg)
单击确定,回到新规则属性窗口中的筛选器操作,勾选刚才建立的“阻止”。
![db2106d6246166bcfd4324e43c61921f.png](https://i-blog.csdnimg.cn/blog_migrate/2c36786efafba6e85a33924d5a42f6ec.jpeg)
切换到IP筛选器列表,勾选刚才建立的“445”。单击“应用”,然后单击“确定”。
![89a590e897288d44df55c6c39cc1c78b.png](https://i-blog.csdnimg.cn/blog_migrate/ea703c5c24a1295b240082097aebe57a.jpeg)
![ff3d96e555a14529c94f05a289255ff6.png](https://i-blog.csdnimg.cn/blog_migrate/2ec5b3d538eec59417057256186a19d6.jpeg)
在“封禁端口”页面再次选择添加。
![126185402189e0411579c8ca006dddca.png](https://i-blog.csdnimg.cn/blog_migrate/4d1c8882b79ea891fbd22f4304b01db7.jpeg)
选择IP筛选器列表中的“135”,
![e6d0704da881360fe06530d05d0b8d22.png](https://i-blog.csdnimg.cn/blog_migrate/cddbaef1eb148053b67e906125e4253e.jpeg)
21、选择筛选器操作页面的“阻止”
![c0ecb9570bde79a7c11fa23b12b26066.png](https://i-blog.csdnimg.cn/blog_migrate/0b8c478e9d68dd76d16de8b6e3781532.jpeg)
22、点击页面下方的确定。
![45a3af4b5c36592cf8c1e3759ad894a8.png](https://i-blog.csdnimg.cn/blog_migrate/2884b3f0ceb8978df016c8b011bd30fa.jpeg)
22、循环上述操作,把445、135端口都加入进去,如果命令行的端口检测中137、138、139端口也在监听,就需要把相应的端口也加入进去,如果没有开放就不要增加。
![679433f0d05aa85bec476cdabfa8bbc9.png](https://i-blog.csdnimg.cn/blog_migrate/48c4e946848cfab363c2b002ac15ea52.jpeg)
- 确定回到组策略编辑器。
- 右键单击右侧刚才创建的“封禁端口”,在右键菜单当中选择分配,就成功关闭了端口。
![b1dab1cb4049714c1323da5fcdb7c6a7.png](https://i-blog.csdnimg.cn/blog_migrate/69cbe26f2771c879a2cd8202bc70a103.jpeg)
这种方法只是阻止了外部的端口访问,并不是关闭监听。
所以通过netstat仍然能够看到该端口。
在IP安全策略处于分配状态下,通过telnet测试,无法连接该端口。
![a92c615bed0c58270da9c4d9d145ff27.png](https://i-blog.csdnimg.cn/blog_migrate/cc9af1d60a670d10cfb4d906640811b0.jpeg)
在IP安全策略处于未分配状态下,通过telnet测试,可以直接连接该端口。
![0116a66dbd4fc8c3f8f00ff58dcd84ea.png](https://i-blog.csdnimg.cn/blog_migrate/5cce64c650c48bea33996e7c84185c74.jpeg)
出于安全的考虑,建议两种方法都使用了,防火墙禁止了端口,ip组策略也禁止了端口。