Windows默認開放135、137、138、139和445五個端口,都與文件共享和打印機共享有關的,若機器連接網絡后會在用戶不知道的情況下泄露本機部分信息,這樣會給用戶帶來一部分危險,所以我們在工作中根據自己的需求定位一下是否需要關閉這些端口,以免帶來不必要的損失。
1)137,138----UDP
2) 135,139,445----TCP
下面介紹一下這些端口的用途:
135端口
在許多“網管”眼里,135端口是最讓人捉摸不透的端口,因為他們中的大多數都無法明確地了解到135端口的真正作用,也不清楚該端口到底會有哪些潛在的危險。直到一種名為“IEen”的專業遠程控制工具出現,人們才清楚135端口究竟會有什么樣的潛在安全威脅。IEen工
具能夠借助135端口輕松連接到Internet上的其他工作站,並遠程控制該工作站的IE瀏覽器。例如,在瀏覽器中執行的任何操作,包括瀏覽頁面內容、輸入帳號密碼、輸入搜索關鍵字等,都會被IEen工具監控到。甚至在網上銀行中輸入的各種密碼信息,都能被IEen工具清
楚地獲得。除了可以對遠程工作站上的IE瀏覽器進行*作、控制外,IEen工具通過135端口幾乎可以對所有的借助DCOM開發技術設計出來的應用程序進行遠程控制,例如 IEen工具也能輕松進入到正在運行Excel的計算機中,直接對Excel進行各種編輯*作。怎么樣?135端
口對外開放是不是很危險呀?當然,這種危險畢竟是理論上的,要想真正地通過135端口入侵其他系統,還必須提前知道對方計算機的IP地址、系統登錄名和密碼等。只要你嚴格保密好這些信息,你的計算機被IEen工具攻擊的可能性幾乎不存在。為什么IEen工具能利用35
端口攻擊其他計算機呢?原來該工具采用了一種DCOM技術,可以直接對其他工作站的DCOM程序進行遠程控制。DCOM技術與對方計算機進行通信時,會自動調用目標主機中的RPC服務,而RPC服務將自動詢問目標主機中的135端口,當前有哪些端口可以被用來通。
如此一來,目標主機就會提供一個可用的服務端口作為數據傳輸通道使用。在這一通信過程中,135端口的作用其實就是為RPC通信提供一種服務端口的映射功能。說簡單一點,135端口就是RPC通信中的橋梁。
137端口
137端口的主要作用是在局域網中提供計算機的名字或IP地址查詢服務,一般安裝了NetBIOS協議后,該端口會自動處於開放狀態。要是非法入侵者知道目標主機的IP地址,並向該地址的137端口發送一個連接請求時,就可能獲得目標主機的相關名稱信息。例如目標
主機的計算機名稱,注冊該目標主機的用戶信息,目標主機本次開機、關機時間等。此外非法入侵者還能知道目標主機是否是作為文件服務器或主域控制器來使用。
138端口
137、138端口都屬於UDP端口,它們在局域網中相互傳輸文件信息時,就會發生作用。而138端口的主要作用就是提供NetBIOS環境下的計算機名瀏覽功能。非法入侵者要是與目標主機的138端口建立連接請求的話,就能輕松獲得目標主機所處的局域網網絡名稱以及
目標主機的計算機名稱。有了計算機名稱,其對應的IP地址也就能輕松獲得。如此一來,就為黑客進一步攻擊系統帶來了便利。
139端口
139端口是一種TCP端口,該端口在你通過網上鄰居訪問局域網中的共享文件或共享打印機時就能發揮作用。139端口一旦被Internet上的某個攻擊者利用的話,就能成為一個危害極大的安全漏洞。因為黑客要是與目標主機的139端口建立連接的話,就很有可能瀏覽到
指定網段內所有工作站中的全部共享信息,甚至可以對目標主機中的共享文件夾進行各種編輯、刪除*作,倘若攻擊者還知道目標主機的IP地址和登錄帳號的話,還能輕而易舉地查看到目標主機中的隱藏共享信息。
445端口
445端口也是一種TCP端口,該端口在Windows 2000 Server或Windows Server 2003系統中發揮的作用與139端口是完全相同的。具體地說,它也是提供局域網中文件或打印機共享服務。不過該端口是基於CIFS協議(通用因特網文件系統協議)工作的,而139端口是基
於SMB協議(服務器協議族)對外提供共享服務。同樣地,攻擊者與445端口建立請求連接,也能獲得指定局域網內的各種共享信息。要關閉文件共享可以同時關閉139和445端口。
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------注:以上信息來自於網絡摘要
下面介紹一下如何關閉這些端口-------(根據個人需求處理)
方法一:通過防火牆來控制
打開控制面板
選擇檢查防火牆狀態
選擇高級設置
選擇入站規則,再新建規則
選擇端口,下一步
選擇端口應用於啥協議,再指定端口,再下一步
選擇阻止連接,下一步
下一步
給規則別名一下,方便管理,完成。
到這里我們就設置好了,前提是防火牆開啟狀態。
方法二:通過安全策略控制
打開開始菜單,在搜索框中輸入本地安全策略
選擇IP安全策略,創建IP安全策略---下一步----設置管理別名--下一步---下一步
上邊以139端口為例,點擊確定后可以繼續添加其他端口,都添加完后效果如右上圖,點擊確定后如下圖,然后我們再添加篩選器操作。
此時,我們選擇篩選器列表里的名稱為:阻止135/137/138/139/445的單選按鈕,在選擇篩選器操作里名稱為阻止危險端口的單選按鈕,點擊應用即可。
最后點擊確定,再右鍵點擊分配即可生效。
注意:你的系統中的“IPSEC Policy Agent”服務必須在啟動狀態,否則前面的規則會不起作用。如果當下啟動了,需要cmd執行:
C:\Users\Administrator>gpupdate /force
正在更新策略...
用戶策略更新成功完成。
計算機策略更新成功完成。
-------------------------------------
如果時不時需要開啟/關閉防火牆的話,可以考慮通過安全策略來控制。總地來說通過防火牆來控制,簡單;安全策略稍微復雜一點點。