windows server 2019 安全加固（135，139，445等高危端口关闭）
2024-11-09 11:06:52   来源：我爱运维网   评论：0 点击：

勒索病毒横行，威胁IT信息系统安全。windows安全加固必不可少，特别是默认高危端口，在服务器上公网之前，必须首先考虑关闭。

安装好基本的windows server之后，首先通过netstat -na|more看有哪些端口默认打开了。特别关注类似：
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
...
TCP 192.168.0.103:139 0.0.0.0:0 LISTENING
...

这种在0.0.0.0及本地外网IP的监听端口。
那如何关闭它们呢：

一、关闭135端口
1、端口概述
利用135端口的黑客想要得到管理员的口令，过程往往很简单，他们似乎都有自己的方法和手段。关闭135端口，停止可能被黑客利用的RPC服务，不给他们任何能够利用系统弱点的机会。 但单纯地将RPC服务停止会对某些网络用户造成不必要的麻烦。在网络中，只有使用微软DCOM技术的程序才会调用RemoteProcedure Call，也就是135端口服务，所以在面临这个问题时，将DCOM服务停止是最好的方法。
2、关闭步骤
①首先，运行或命令行窗口输入“dcomcnfg”打开组件服务；
②在组件服务界面中，选择“计算机”选项，然后右键单击“我的电脑”，选择“属性”；
③在“我的电脑属性”对话框中，找到“默认属性”选项卡，去掉“在此计算机上启用分布式COM”前的勾选；
④接着选择该对话框中“默认协议”选项卡，选中“面向连接的TCP/IP”，然后点击“移除”按钮；
⑤单击“确定”按钮完成设置，选择“是”，并重新启动计算机以使更改生效。‌
接下来修改注册表，以彻底关闭：
⑥通过命令行输入“regedit”打开注册表编辑器；
⑦依次单击“HKEY_LOCAL_MACHINE/Software/Microsoft/Rpc；
⑧在右侧框内，点击鼠标右键，先新建“项”，输入“Internet”；
⑨关闭注册表编辑界面，将系统重新启动，135服务端口就会被彻底的关闭了。

二、关闭137、138端口
1、端口概述
在关闭137和138端口之前，先介绍一下NetBIOS服务。很多人认为NetBIOS服务是一个网络协议，其实不然。NetBIOS只是网络基本的输入/输出系统，是一个应用于程序接口，用于数据源与目的地之间的数据交换。不过它所包含的端口及一些命名原则属于OSI(Open System Interconnection)模式的上三层，与低层的通讯协议是全然独立的。因此NetBIOS服务能够成功地建构于不同的通讯协议上，让它支持访问计算机应用程序和设备通信时所要用到各种服务。正是由于考虑到了NetBIOS服务这种基于TCP/IP协议下的特点，而NetNBIOS又完全依靠137、138端口支撑，因此如果停止了NetBIOS，就能够将137和138端口的危险根除。
2、关闭步骤
①鼠标右击桌面上的“网络”图标,然后从弹出的快捷菜单中选择“属性”命令;点击“更改适配器设置”。
②在本地连接的网卡中再一次点击右键，选择属性。
③在弹出的窗口中找到并打开“Internet协议 4（TCP/IP）”参数设置窗口。
④单击“高级”按钮，在随后弹出的设置框中选中“WINS”标签，打开WINS的标签页面后，选中“禁用TCP/IP上的NetBIOS（S）”，最后单击一直点击“确定”按钮完成关闭即可。

三、关闭139端口
1、端口概述
139端口是一种TCP端口，该端口在你通过网络访问局域网中的共享文件或共享打印机时就能发挥作用。139端口一旦被Internet上的某个攻击者利用的话，就能成为一个危害极大的安全漏洞。因为黑客要是与目标主机的139端口建立连接的话，就很有可能浏览到指定网段内所有工作站中的全部共享信息，甚至可以对目标主机中的共享文件夹进行各种编辑、删除操作，倘若攻击者还知道目标主机的IP地址和登录帐号的话，还能轻而易举地查看到目标主机中的隐藏共享信息。 仅仅停止TCP/IP协议下的NetBIOS服务，是不能将139端口完全关闭的。因为网络中的打印机共享服务是通过139端口实现的，你还必须将打印机服务停止掉。
2、关闭步骤
①首先鼠标右键单击桌面的“网络”图标；选择属性；然后在本地连接的网卡中再一次点击右键；选择属性；在弹出的界面中取消“Microsoft网络的文件和打印机共享”选项；再单击确定完成操作。只有这样才能够配合NetBIOS的关闭将139端口完全关闭。

四、关闭445端口
1、端口概述
445端口也是一种TCP端口，该端口在Windows系统中发挥的作用与139端口是完全相同的。具体地说，它也是提供局域网中文件或打印机共享服务。不过该端口是基于CIFS协议（通用因特网文件系统协议）工作的，而139端口是基于SMB协议（服务器协议族）对外提供共享服务。同样地，攻击者与445端口建立请求连接，也能获得指定局域网内的各种共享信息。要关闭文件共享可以同时关闭139和445端口。
2、关闭步骤
①按（Win+R）输入“regedit”打开注册表编辑器；然后依次单击“HKEY-LOCAL-MACHINE\SYSTEM\Current ControlSet\Services\NetBT\Parameters”
②新建一个名为“SMBDeviceEnabled”的多字符串值；最后双击“SMBDeviceEnabled”选项，在弹出的数值设置界面中，将其数值设置为“0”；点击“确定”；
③关闭注册表编辑界面，将系统重新启动，445服务端口就会被彻底的关闭了。