【如何禁用135和445等高危端口】在日常的网络管理与系统安全防护中,某些端口因存在较高的安全风险而被广泛认为是“高危端口”。例如,135端口(RPC 服务)和445端口(SMB 协议)常被用于恶意攻击,如勒索软件传播、远程代码执行等。为了提升系统的安全性,有必要对这些端口进行合理管控或禁用。
以下是对135和445等高危端口的禁用方法进行总结,并以表格形式列出不同操作系统下的操作步骤。
一、常见高危端口及其用途
| 端口号 | 协议 | 用途说明 | 安全风险 |
| 135 | TCP/UDP | 远程过程调用(RPC) | 易受远程代码执行攻击 |
| 137 | UDP | NetBIOS 名称服务 | 可被用于信息泄露或扫描 |
| 138 | UDP | NetBIOS 数据报服务 | 同上 |
| 139 | TCP | NetBIOS over TCP/IP | 易被利用进行文件共享攻击 |
| 445 | TCP | SMB 协议(Windows 文件共享) | 常被用于勒索软件传播 |
二、禁用高危端口的方法总结
1. Windows 系统
| 端口号 | 操作方式 | 说明 |
| 135 | 防火墙规则 | 在“高级安全Windows Defender 防火墙”中创建出站规则,阻止TCP 135端口 |
| 137-139 | 网络适配器设置 | 在网络适配器属性中禁用“Microsoft 网络客户端”和“Microsoft 网络的文件和打印机共享” |
| 445 | 注册表修改 | 修改注册表 `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters` 中的 `DisableSMB1` 和 `DisableSMB2` 值为 `1` |
| 445 | 组策略 | 通过组策略编辑器(gpedit.msc)配置“关闭SMBv1”选项 |
2. Linux 系统
| 端口号 | 操作方式 | 说明 |
| 135 | 防火墙(iptables 或 ufw) | 使用 `iptables -A INPUT -p tcp --dport 135 -j DROP` 禁止访问 |
| 445 | 防火墙配置 | 若未使用SMB服务,可通过防火墙规则禁止445端口通信 |
3. 通用方法
- 关闭不必要的服务:如停止SMB服务(`smbd`)、RPC服务(`rpcbind`)等。
- 使用防火墙:配置系统或网络级防火墙,限制特定端口的访问。
- 更新系统补丁:及时安装系统和应用程序的安全更新,减少漏洞暴露。
三、注意事项
- 在禁用端口前,请确保该端口不是系统正常运行所必需的,避免影响业务功能。
- 对于企业环境,建议结合网络设备(如路由器、交换机)和系统防火墙进行多层防护。
- 定期检查系统日志和网络流量,监控是否有异常访问行为。
通过以上方法,可以有效降低135、445等高危端口带来的安全风险,提高系统的整体安全性。在实际操作中,应根据具体环境灵活调整策略,确保既安全又不影响正常使用。
