默认情况下,Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389。
135
端口说明:135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务,通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码;使用DCOM可以通过网络直接进行通信,能够跨包括HTTP协议在内的多种网络传输。
139
端口说明:139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。在Windows中要在局域网中进行文件的共享,必须使用该服务。
端口漏洞:开启139端口虽然可以提供共享服务,但是常常被攻击者所利用进行攻击,比如使用流光、SuperScan等端口扫描工具,可以扫描目标计算机的139端口,如果发现有漏洞,可以试图获取用户名和密码,这是非常危险的
445
端口说明:445端口是一个毁誉参半的端口,有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机,但也正是因为有了它,黑客们才有了可乘之机,他们能通过该端口偷偷共享你的硬盘,甚至会在悄无声息中将你的硬盘格式化掉!2017年10月,由于病毒“坏兔子”来袭,国家互联网应急中心等安全机构建议用户及时关闭计算机以及网络设备上的445和139端口
593
593端口(TCP、UDP)是DCOM分布式组件对象模型协议使用的端口号,它允许C/S结构的应用通过DCOM使用RPC overHTTP service,该协议端口的开放很容易被攻击者执行远程代码。要求关闭,若必须开启要求做源地址访问控制
137、138、139端口(TCP、UDP)
是NetBIOS名称服务(NetBIOSName Service)使用的端口号,用于局域网中提供计算机的名字或IP地址查询服务以及文件共享服务,该协议端口的开放很容易被攻击者获取到很多敏感信息,容易被攻击者执行远程代码。要求关闭,若必须开启要求做源地址访问控制
69
69端口(UDP)是TFTP简单文件传输协议的端口号,该协议端口的开放很容易被攻击者利用。要求关闭,若必须开启要求做源地址访问控制
3333、4433、4444、6112端口(TCP、UDP)是病毒木马利用端口,要求在防火墙上做阻断。
22端口是SSH远程管理的默认端口,该端口的开放使得攻击者可以猜解密码、远程执行代码以及DDOS攻击影响业务使用。建议保持SSH版本为最新版本,更改成其他端口号,增强账户登录密码强度,做源地址访问控制。
23端口是Telnet远程管理默认端口,该端口的开放使得攻击者可以猜解密码,远程执行代码,且为明文传输,易被嗅探泄露敏感信息。要求禁用telnet服务,关闭该端口。
3389端口是微软RDP远程桌面通信端口,该端口的开放使得攻击者可以猜解密码。建议增强账户登录密码强度,设置登录失败锁定时间,更改成其他端口号,做源地址访问控制。
端口说明: 3389又称Terminal Service,服务终端。在WindowsNT中最先开始使用的一种终端,在Win2K的Professional版本中不可以安装,在Server 或以上版本才可以安装这个服务,其服务端口为3389。由于使用简 单,方便等特点,一直受系统管理员的青昧。也正式因为他的简便,不产生交互式登陆,可以在后台操作,因此也受到了黑客朋友的喜爱,事实可以说明,现在大多数朋友在入侵之后,都想打开windows 终端服务,甚至不惜重启对方的计算机,也要把终端服务安装上,由此可见他的普遍性。另,在在XP系统中又叫做“远程桌面”。
21端口是用于FTP服务端口,该端口的开放使得攻击者可以猜解密码,执行远程代码。建议增强账户登录密码强度,禁用匿名登录,更改成其他端口号,做源地址访问控制。
80、8000、8080、7001等端口是用于提供Web服务的端口。建议梳理业务是否需要对外开放,加强web应用系统自身安全性,考虑部署web应用防护手段,保持关注。
