Ⅰ 如何用命令关闭135端口
虽然显示 开放. 但是 它并不对外的,你可以放心
运行dcomcnfg,展开“组件服务”→“计算机”,在“我的电脑”上点右键选“属性”,切换到“默认属性”,取消“启用分布式COM”;然后切换到“默认协议”,删除“面向连接的TCP/IP”。
以上选项有对应的注册表键值,因此也可通过注册表来修改:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM的值改为“N”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\DCOM Protocols 中删除“ncacn_ip_tcp”
此外,还需要停用“Distributed Transaction Coordinator”服务。
重启之后, 135端口就没有了。
下面还有其他方法:
如果我们事先设置一下服务器,让其不允许任何用户通过网络登录到服务器的话,那么黑客或攻击者自然就无法通过135网络端口,来对服务器进行攻击破坏了。要禁止其他用户通过网络来远程登录服务器时,可以通过修改组策略设置的方法来实现:
依次单击"开始"/"运行"命令,在弹出的运行对话框中,输入"gpedit.msc"命令,单击"确定"按钮后,打开组策略编辑界面;依次展开该界面中的"计算机配置"、"Windows设置"、"安全设置"、"本地策略"、"用户权利指派"选项,在对应"用户权利指派"选项的右侧区域中,双击"拒绝从网络访问这台计算机"项目;
接着单击其后窗口中的"添加"按钮,将"everyone"帐号导入进来,这样就能"命令"服务器中的每一位用户,都不允许通过网络访问服务器了(如图3所示)。
方法4、防火墙拦截
由于防火墙都有拦截数据的功能,如果利用该功能将通往135端口的接受数据和发送数据全部拦截下来的话,这样就能阻止黑客或非法攻击者对服务器进行远程攻击了。例如,我们在使用瑞星2004个人防火墙,拦截通往135端口的接受数据时,可以按照下面的方法来进行:
首先运行瑞星2004个人防火墙程序,在弹出的主界面中,依次单击菜单栏中的"设置"/"设置规则"命令,在随后打开的规则设置界面中,再依次单击"规则"/"添加"命令,这样我们就能看到如图4所示的拦截设置窗口了;
为了便于日后查看规则,我们首先要在"名称"文本框中,为当前新的过滤规则设置一个有针对性的名字,例如这里的名称假设为"拦截135端口";
接着单击"类别"下拉按钮,从弹出的下拉菜单中选中"系统";再单击"操作"下拉按钮,并从列表中选择"禁止"选项;然后在"方向"设置项处,将"接受"选中,同时将"数据链"设置为"全部"。考虑到135端口是一种TCP协议端口,因此在"协议"设置项处,请大家选中"TCP"选项。
下面再在"地址"标签页面中,将"源地址"设置为"任何地址",将"目的地址"设置为主机地址,同时将本地服务器的IP地址输入在这里;接着再切换到"端口号"标签页面,将该页面中的"源端口设置"选为"任何端口",将"目的端口设置"选为"一个端口",并且将该端口设置为"135"。
完成上面的所有设置后,单击"添加"按钮,我们就会在瑞星2004个人防火墙程序的主界面中看到"拦截135端口"选项,将该过滤规则选中后,所有通过135端口进来的数据都被认为是非法入侵,这样黑客通过该端口发送到服务器中的所有数据都会被防火墙拦截住。
org方法5、自定义安全策略
如果我们手头暂时没有防火墙工具的话,那么可以利用Windows服务器自身的IP安全策略功能,来自定义一个拦截135端口的安全策略。下面就是具体的自定义步骤:
首先打开本地安全设置窗口,用鼠标右键单击"IP安全策略,在本地机器"选项,执行快捷菜单中的"管理IP筛选器表和筛选器操作"命令,在随后的"管理IP筛选器表"标签页面中,单击"添加"按钮,然后将新建的IP筛选器名称设置为"拦截135端口",继续单击"添加"按钮,根据屏幕提示单击"下一步"按钮;
在接下来的"IP通信源"向导窗口中,将"源地址"设置为"任何IP地址",再将"目标地址"选为"我的IP地址",同时将IP协议类型设置为"TCP";在随后弹出的IP协议端口设置窗口中,选中"到此端口"选项,同时将"135"端口号正确输入;最后单击"完成"按钮,这样我们就能发现在IP筛选器列表中,包含有"拦截135端口"选项了。
接着进入到"管理筛选器操作"标签页面,单击"添加"按钮,然后根据屏幕向导提示,输入筛选器的具体操作名称,例如这里的名称可以设置为"拒绝135端口",在随后弹出的"筛选器操作常规选项"设置窗口中,选中"阻止"选项,再单击"完成"按钮;
下面用鼠标右键单击本地安全设置窗口中的"IP安全策略,在本地机器"选项,执行快捷菜单中的"创建IP安全策略"命令,并将IP安全策略的名称设置为"禁用135端口",在接着打开的"安全通信请求"向导窗口中,取消"激活默认响应规则"的选中状态,再单击"完成"按钮;
再将前面创建好的"禁用135端口"策略选中,然后单击"添加"按钮,在随后出现的"隧道终结点"设置窗口中,选中"此规则不指定隧道"选项,在"网络类型"设置窗口中,选中"所有网络连接",在"身份验证方法"设置窗口中,选中"windows 2000默认值(Kerberos V5 协议)"选项,在"IP筛选器列表"设置窗口中,选中前面创建好的"拦截135端口"筛选器(如图5所示),在"筛选器操作"设置窗口中,选中前面创建好的"拒绝135端口"选项,再单击"完成"按钮;到了这里"禁用135端口"的安全策略就自定义好了。
考虑到在默认状态下,Windows系统不会指派任何安全策略,为此我们还需要手工来对"禁用135端口"安全策略进行指派;在指派安全策略时,只要用鼠标右键单击"禁用135端口"安全策略,从弹出的快捷菜单中执行"指派"命令就可以了。
方法6、筛选TCP端口
大家知道,Windows系统具有筛选TCP端口功能,利用该功能我们可以将来自于135网络端口的数据包,全部过滤掉,这样各种恶意攻击信息都无法通过135网络端口了。在过滤135端口的数据包时,可以先打开"Internet协议(TCP/IP)"属性设置对话框;
然后打开其中的"高级"功能页面,并切换到"选项"标签页面中,选择其中的"TCP/IP筛选"项,再单击"属性"按钮,在弹出的图6设置窗口中,选中"启用TCP/IP筛选"选项,同时在"TCP端口"处,选中"只允许",并单击"添加"按钮,将常用的21、23、80、110端口输入到这里,最后单击"确定"按钮,这样的话其余端口就会被自动排除了。