indows為了方便大家的使用,默認(rèn)開了很多的端口,不過,還是有安全專家建議關(guān)閉幾個端口,稍微了解了下,感覺那幾個端口平時自己也用不上,留在或多或少也是個隱患,還是關(guān)掉好。
1、在“控制面板”-“系統(tǒng)和安全”-“Windows防火墻”,里面點擊“打開或關(guān)閉Windows防火墻”,保持防火墻開啟狀態(tài)。如下圖:
然后點擊左側(cè)的“高級設(shè)置”,并點擊“新建規(guī)則”,如下圖:
然后,我們在這里勾選“端口”,如下圖:
然后在這里選擇協(xié)議和端口,如果要禁用UDP則需要重新操作一遍。如下圖:
然后,我們勾選“阻止連接”,如下圖:
然后,繼續(xù)點擊下一步。如圖:
然后我們創(chuàng)建一個名稱,如下圖:
至此,我們就成功添加了禁止端口。如下圖:
三、通過IP組策略來關(guān)閉Windows不常用端口。
1、檢查端口開放情況(是否開放了137、139、445、3389端口),本機(jī)cmd命令netstat –an 查看端口監(jiān)聽情況,
2、然后在服務(wù)器本機(jī)以外的電腦telnet 目標(biāo)主機(jī)端口,如:telnet 10.1.16.143 445(你要排查的服務(wù)器的IP地址,445表示端口),如果出現(xiàn)無法打開到主機(jī)連接,說明在外部無法訪問該端口。
如果處于開放狀態(tài)則telnet 進(jìn)入,必須對該端口進(jìn)行IP策略限制和防火墻限制。
一、通過Windows防火墻禁用端口:
1、點擊 “控制面板-Windows防火墻”,確保啟用了Windows防火墻。在左邊欄點擊“高級設(shè)置”,系統(tǒng)會自動彈出Windows防火墻高級配置窗口。
2、點擊“入站規(guī)則”,然后再點“新建規(guī)則…”,在向?qū)Т翱谥羞x擇要創(chuàng)建的規(guī)則類型,這里選“端口”,點擊“下一步”。
3、接下來選擇你要禁用的網(wǎng)絡(luò)類型(TCP或者UDP),在“特定本地端口”寫入你要禁用的端口,例如“445”,然后下一步。選擇“阻止連接”,下一步,應(yīng)用規(guī)則看情況修改,可以維持不變,繼續(xù)下一步,填寫名稱“禁用445端口”,點擊完成。
4、到這里應(yīng)該就完成了,默認(rèn)情況下新建的規(guī)則會直接啟用。如果沒有,那么右鍵 “啟用規(guī)則”即可。
二、通過IP安全策略禁用端口:
1、首先,Win+R打開運行,輸入gpedit.msc進(jìn)入組策略編輯器。
2、在左側(cè)邊欄中,依次選取 “Windows 設(shè)置- 安全設(shè)置- IP安全策略,在 本地計算機(jī)”
然后單擊“完成”,編輯屬性處“勾選上”。
8、在隨后跳出的封禁端口屬性窗口中,單擊添加。
需要注意的是不要勾選右下角的“使用添加向?qū)А?/p>
9、然后在”新規(guī)則 屬性”窗口中,單擊左下角的”添加”
在IP篩選器列表窗口中,單擊右側(cè)的添加按鈕,需要注意的是這里也不要點擊右下角的”使用添加向?qū)А?/p>
在彈出的IP篩選器屬性窗口的地址選項卡中,原地址選擇“任何IP地址”,目標(biāo)地址選擇“我的IP地址”
12、然后選擇協(xié)議選項卡,選擇協(xié)議類型為:TCP,設(shè)置IP協(xié)議端口為”從任意端口”“到此端口”:445,并單擊確定。
13、然后在IP篩選器列表中,修改篩選器名稱為端口號,單擊確定。
重復(fù)操作,添加135、137、138、139規(guī)則
然后在新規(guī)則屬性中,單擊篩選器操作選項卡,單擊下方的添加,并且不要勾選右側(cè)的使用添加向?qū)А?/p>
在新篩選器操作屬性中,選擇“阻止”,并切換到常規(guī)選項卡,將名稱改為阻止。
單擊確定,回到新規(guī)則屬性窗口中的篩選器操作,勾選剛才建立的“阻止”。
切換到IP篩選器列表,勾選剛才建立的“445”。單擊“應(yīng)用”,然后單擊“確定”。
在“封禁端口”頁面再次選擇添加。
選擇IP篩選器列表中的“135”,
21、選擇篩選器操作頁面的“阻止”
22、點擊頁面下方的確定。
22、循環(huán)上述操作,把445、135端口都加入進(jìn)去,如果命令行的端口檢測中137、138、139端口也在監(jiān)聽,就需要把相應(yīng)的端口也加入進(jìn)去,如果沒有開放就不要增加。
這種方法只是阻止了外部的端口訪問,并不是關(guān)閉監(jiān)聽。
所以通過netstat仍然能夠看到該端口。
在IP安全策略處于分配狀態(tài)下,通過telnet測試,無法連接該端口。
在IP安全策略處于未分配狀態(tài)下,通過telnet測試,可以直接連接該端口。
出于安全的考慮,建議兩種方法都使用了,防火墻禁止了端口,ip組策略也禁止了端口。
注意:此方法只針對防火墻已開啟的情況下才能實現(xiàn)禁用端口
(1)打開控制面板\系統(tǒng)和安全\Windows Defender 防火墻,在左側(cè)選擇“高級設(shè)置”。
(2)打開“入站規(guī)則”窗口,在右側(cè)框中點擊“新建規(guī)則”,出現(xiàn)如下界面,選擇“端口”,點擊下一步后,選擇‘阻止連接’,繼續(xù)下一步
(3)在‘特定本地端口’中輸入需要禁用的端口,如445;點擊‘下一步’后選擇‘阻止連接’,繼續(xù)‘下一步’。
(4)輸入名稱,點擊完成;即可完成端口的禁用。
注:入站及出站都需要進(jìn)行端口禁用,操作同理。
1.按win+R鍵打開運行,輸入“gpedit.msc”打開本地組策略編輯器–windows設(shè)置–安全設(shè)置–IP安全策略,在本地計算機(jī),右擊選中‘創(chuàng)建IP安全策略’,輸入名稱(如下圖)點擊下一步一直到‘完成’直至彈出‘編輯屬性窗口’;
2.在屬性窗口中點擊‘添加’,注意不要勾選‘使用添加向?qū)А凇乱?guī)則’屬性窗口中點擊‘添加’
2.1輸入‘名稱’及‘描述’(不需要勾選使用添加向?qū)В┖螅c擊‘添加’后;
源地址:任何IP地址;目標(biāo)地址:我的IP地址。
2.2還是在該窗口,點擊協(xié)議,選擇協(xié)議類型為“TCP”,設(shè)置IP協(xié)議端口為:從任意端口到此端口(輸入需要禁用的端口)。點擊確定。
2.3在‘新規(guī)則 屬性’中點擊‘篩選器操作’,點擊左下角‘添加’(不需要勾選使用添加向?qū)В趶棾隹蛑羞x擇‘阻止’,在常規(guī)中名稱命名為‘阻止’。點擊確定。
3.在‘新規(guī)則屬性’窗口,IP篩選器列表中夠勾選禁用的端口,同時在篩選器操作中勾選阻止。點擊確定。
5.添加完端口后,還需要在策略上右擊選擇‘分配’,即完成對端口的封禁工作。
在分配完IP安全策略后,使用nmap進(jìn)行滲透掃描時,其端口掃描結(jié)果狀態(tài)是filtered。則表示已被禁止。