禁用445端口关闭445端口

禁用445端口有什么坏处？

445端口是一个毁誉参半的端口，他和139端口一起是IPC$入侵的主要通道。

有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机，但也正是因为有了它，黑客们才有了可乘之机，他们能通过该端口偷偷共享你的硬盘，甚至会在悄无声息中将你的硬盘格式化掉！我们所能做的就是想办法不让黑客有机可乘，封堵住445端口漏洞。

关闭445端口 关闭445端口的方法有很多，但是我比较推荐以下这种方法： 修改注册表，添加一个键值 Hive: HKEY_LOCAL_MACHINE Key: SystemCurrentControlSetServicesNetBTParameters Name: SMBDeviceEnabled Type: REG_DWORD Value: 0 修改完后重启机器，运行stat -an”，你将会发现你的445端口已经不再Listening了。

关闭445端口

关闭445端口的方法有很多，但是我比较推荐以下这种方法： 修改注册表，添加一个键值 Hive: HKEY_LOCAL_MACHINE Key: SystemCurrentControlSetServicesNetBTParameters Name: SMBDeviceEnabled Type: REG_DWORD Value: 0 修改完后重启机器，运行stat -an”，你将会发现你的445端口已关闭 关闭135的方法 1.把%systemroot%system32目录下的rpcss.dll拷贝出来,放到C:下 2.用ultraedit打开C: pcss.dll,寻找31 00 33 00 35(hex),并将之改成 30 00 30 00 30(hex) 3.运行regedit,打开到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSsParameters 将右窗口ServiceDll(REG_EXPAND_SZ)的值改成"C: pcss.dll" 或者将下列文件编辑成rpc.reg,导入到注册表 ######################################################################## ##### Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSsParameters] "ServiceDll"=hex(2):43,00,3a,00,5c,00,72,00,70,00,63,00,73,00,73,00,2e, 00,64, 00,6c,00,6c,00,00,00 ######################################################################## #### 4.重新启动机器 一.创建IP筛选器和筛选器操作 1."开始"->"程序"->"管理工具"->"本地安全策略".微软建议使用本地安全策略进行IPsec的设置,因为本地安全策略只应用到本地计算机上,而通常ipsec都是针对某台计算机量身定作的. 2.右击"Ip安全策略,在本地机器",选择"管理 IP 筛选器表和筛选器操作",启动管理 IP 筛选器表和筛选器操作对话框.我们要先创建一个IP筛选器和相关操作才能够建立一个相应的IPsec安全策略. 3.在"管理 IP 筛选器表"中,按"添加"按钮建立新的IP筛选器: 1)在跳出的IP筛选器列表对话框内,填上合适的名称,我们这儿使用"tcp135",描述随便填写.单击右侧的"添加..."按钮,启动IP筛选器向导. 2)跳过欢迎对话框,下一步. 3)在IP通信源页面,源地方选"任何IP地址",因为我们要阻止传入的访问.下一步. 4)在IP通信目标页面,目标地址选"我的IP地址".下一步. 5)在IP协议类型页面,选择"TCP".下一步. 6)在IP协议端口页面,选择"到此端口"并设置为"135",其它不变.下一步. 7)完成.关闭IP筛选器列表对话框.会发现tcp135IP筛选器出现在IP筛选器列表中. 4.选择"管理筛选器操作"标签,创建一个拒绝操作: 1)单击"添加"按钮,启动"筛选器操作向导",跳过欢迎页面,下一步. 2)在筛选器操作名称页面,填写名称,这儿填写"拒绝".下一步. 3)在筛选器操作常规选项页面,将行为设置为"阻止".下一步. 4)完成. 5.关闭"管理 IP 筛选器表和筛选器操作"对话框. 二.创建IP安全策略 1.右击"Ip安全策略,在本地机器",选择"创建IP安全策略",启动IP安全策略向导.跳过欢迎页面,下一步. 2.在IP安全策略名称页面,填写合适的IP安全策略名称,这儿我们可以填写"拒绝对tcp135端口的访问",描述可以随便填写.下一步. 3.在安全通信要求页面,不选择"激活默认响应规则".下一步. 4.在完成页面,选择"编辑属性".完成. 5.在"拒绝对tcp135端口的访问属性"对话框中进行设置.首先设置规则: 1)单击下面的"添加..."按钮,启动安全规则向导.跳过欢迎页面,下一步. 2)在隧道终结点页面,选择默认的"此规则不指定隧道".下一步. 3)在网络类型页面,选择默认的"所有网络连接".下一步. 4)在身份验证方法页面,选择默认的"windows 2000默认值(Kerberos V5 协议)".下一步. 5)在IP筛选器列表页面选择我们刚才建立的"tcp135"筛选器.下一步. 6)在筛选器操作页面,选择我们刚才建立的"拒绝"操作.下一步. 7)在完成页面,不选择"编辑属性",确定. 6.关闭"拒绝对tcp135端口的访问属性"对话框. 三.指派和应用IPsec安全策略 1.缺省情况下,任何IPsec安全策略都未被指派.首先我们要对新建立的安全策略进行指派.在本地安全策略MMC中,右击我们刚刚建立的""拒绝对tcp135端口的访问属性"安全策略,选择"指派". 2.立即刷新组策略.使用"secedit /refreshpolicy machine_policy"命令可立即刷新组策略. 希望大家好好看，虽然有些长，但是如果你一步一步来作，用不了2分钟就OK了，我就是的！！！！ 网络邻居——右键——属性——INTERNET协议（TCP/IP）——属性——高级——选项——TCP/IP筛选——在“只允许”中填入除了135以外的端口。

系统一装上就应该设置IP安全策略! 应该关闭的TCP端口: TCP 135、139、445、593、1025、137、2745、3127、6129、3389等. 应该关闭的UDP端口: UDP 135、137、138、445等 详细情况应该根据个人的需要设置!