Windows为了方便大家的使用,默认开了很多的端口,不过,还是有安全专家建议关闭几个端口,稍微了解了下,感觉那几个端口平时自己也用不上,留在或多或少也是个隐患,还是关掉好。
1、在“控制面板”-“系统和安全”-“Windows防火墙”,里面点击“打开或关闭Windows防火墙”,保持防火墙开启状态。如下图:
然后点击左侧的“高级设置”,并点击“新建规则”,如下图:
然后,我们在这里勾选“端口”,如下图:
然后在这里选择协议和端口,如果要禁用UDP则需要重新操作一遍。如下图:
然后,我们勾选“阻止连接”,如下图:
然后,继续点击下一步。如图:
然后我们创建一个名称,如下图:
至此,我们就成功添加了禁止端口。如下图:
三、通过IP组策略来关闭Windows不常用端口。
1、检查端口开放情况(是否开放了137、139、445、3389端口),本机cmd命令netstat –an 查看端口监听情况,
2、然后在服务器本机以外的电脑telnet 目标主机端口,如:telnet 10.1.16.143 445(你要排查的服务器的IP地址,445表示端口),如果出现无法打开到主机连接,说明在外部无法访问该端口。
如果处于开放状态则telnet 进入,必须对该端口进行IP策略限制和防火墙限制。
一、通过Windows防火墙禁用端口:
1、点击 “控制面板-Windows防火墙”,确保启用了Windows防火墙。在左边栏点击“高级设置”,系统会自动弹出Windows防火墙高级配置窗口。
2、点击“入站规则”,然后再点“新建规则…”,在向导窗口中选择要创建的规则类型,这里选“端口”,点击“下一步”。
3、接下来选择你要禁用的网络类型(TCP或者UDP),在“特定本地端口”写入你要禁用的端口,例如“445”,然后下一步。选择“阻止连接”,下一步,应用规则看情况修改,可以维持不变,继续下一步,填写名称“禁用445端口”,点击完成。
4、到这里应该就完成了,默认情况下新建的规则会直接启用。如果没有,那么右键 “启用规则”即可。
二、通过IP安全策略禁用端口:
1、首先,Win+R打开运行,输入gpedit.msc进入组策略编辑器。
2、在左侧边栏中,依次选取 “Windows 设置- 安全设置- IP安全策略,在 本地计算机”
- 接下来右键单击 “IP安全策略,在 本地计算机”,并选择“创建IP安全策略”
- 随后在跳出的“IP安全策略向导”中点击“下一步”
- 在第二步的名称中输入“封禁端口”然后一路“下一步”。
- 不要选择“激活默认响应规则”,然后选择“下一步”。
然后单击“完成”,编辑属性处“勾选上”。
8、在随后跳出的封禁端口属性窗口中,单击添加。
需要注意的是不要勾选右下角的“使用添加向导”
9、然后在”新规则 属性”窗口中,单击左下角的”添加”
在IP筛选器列表窗口中,单击右侧的添加按钮,需要注意的是这里也不要点击右下角的”使用添加向导”
在弹出的IP筛选器属性窗口的地址选项卡中,原地址选择“任何IP地址”,目标地址选择“我的IP地址”
12、然后选择协议选项卡,选择协议类型为:TCP,设置IP协议端口为”从任意端口”“到此端口”:445,并单击确定。
13、然后在IP筛选器列表中,修改筛选器名称为端口号,单击确定。
重复操作,添加135、137、138、139规则
然后在新规则属性中,单击筛选器操作选项卡,单击下方的添加,并且不要勾选右侧的使用添加向导。
在新筛选器操作属性中,选择“阻止”,并切换到常规选项卡,将名称改为阻止。
单击确定,回到新规则属性窗口中的筛选器操作,勾选刚才建立的“阻止”。
切换到IP筛选器列表,勾选刚才建立的“445”。单击“应用”,然后单击“确定”。
在“封禁端口”页面再次选择添加。
选择IP筛选器列表中的“135”,
21、选择筛选器操作页面的“阻止”
22、点击页面下方的确定。
22、循环上述操作,把445、135端口都加入进去,如果命令行的端口检测中137、138、139端口也在监听,就需要把相应的端口也加入进去,如果没有开放就不要增加。
- 确定回到组策略编辑器。
- 右键单击右侧刚才创建的“封禁端口”,在右键菜单当中选择分配,就成功关闭了端口。
这种方法只是阻止了外部的端口访问,并不是关闭监听。
所以通过netstat仍然能够看到该端口。
在IP安全策略处于分配状态下,通过telnet测试,无法连接该端口。
在IP安全策略处于未分配状态下,通过telnet测试,可以直接连接该端口。
出于安全的考虑,建议两种方法都使用了,防火墙禁止了端口,ip组策略也禁止了端口。
8853
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
