Ⅰ 如何用命令關閉135埠
雖然顯示 開放. 但是 它並不對外的,你可以放心
運行dcomcnfg,展開「組件服務」→「計算機」,在「我的電腦」上點右鍵選「屬性」,切換到「默認屬性」,取消「啟用分布式COM」;然後切換到「默認協議」,刪除「面向連接的TCP/IP」。
以上選項有對應的注冊表鍵值,因此也可通過注冊表來修改:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM的值改為「N」
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\DCOM Protocols 中刪除「ncacn_ip_tcp」
此外,還需要停用「Distributed Transaction Coordinator」服務。
重啟之後, 135埠就沒有了。
下面還有其他方法:
如果我們事先設置一下伺服器,讓其不允許任何用戶通過網路登錄到伺服器的話,那麼黑客或攻擊者自然就無法通過135網路埠,來對伺服器進行攻擊破壞了。要禁止其他用戶通過網路來遠程登錄伺服器時,可以通過修改組策略設置的方法來實現:
依次單擊"開始"/"運行"命令,在彈出的運行對話框中,輸入"gpedit.msc"命令,單擊"確定"按鈕後,打開組策略編輯界面;依次展開該界面中的"計算機配置"、"Windows設置"、"安全設置"、"本地策略"、"用戶權利指派"選項,在對應"用戶權利指派"選項的右側區域中,雙擊"拒絕從網路訪問這台計算機"項目;
接著單擊其後窗口中的"添加"按鈕,將"everyone"帳號導入進來,這樣就能"命令"伺服器中的每一位用戶,都不允許通過網路訪問伺服器了(如圖3所示)。
方法4、防火牆攔截
由於防火牆都有攔截數據的功能,如果利用該功能將通往135埠的接受數據和發送數據全部攔截下來的話,這樣就能阻止黑客或非法攻擊者對伺服器進行遠程攻擊了。例如,我們在使用瑞星2004個人防火牆,攔截通往135埠的接受數據時,可以按照下面的方法來進行:
首先運行瑞星2004個人防火牆程序,在彈出的主界面中,依次單擊菜單欄中的"設置"/"設置規則"命令,在隨後打開的規則設置界面中,再依次單擊"規則"/"添加"命令,這樣我們就能看到如圖4所示的攔截設置窗口了;
為了便於日後查看規則,我們首先要在"名稱"文本框中,為當前新的過濾規則設置一個有針對性的名字,例如這里的名稱假設為"攔截135埠";
接著單擊"類別"下拉按鈕,從彈出的下拉菜單中選中"系統";再單擊"操作"下拉按鈕,並從列表中選擇"禁止"選項;然後在"方向"設置項處,將"接受"選中,同時將"數據鏈"設置為"全部"。考慮到135埠是一種TCP協議埠,因此在"協議"設置項處,請大家選中"TCP"選項。
下面再在"地址"標簽頁面中,將"源地址"設置為"任何地址",將"目的地址"設置為主機地址,同時將本地伺服器的IP地址輸入在這里;接著再切換到"埠號"標簽頁面,將該頁面中的"源埠設置"選為"任何埠",將"目的埠設置"選為"一個埠",並且將該埠設置為"135"。
完成上面的所有設置後,單擊"添加"按鈕,我們就會在瑞星2004個人防火牆程序的主界面中看到"攔截135埠"選項,將該過濾規則選中後,所有通過135埠進來的數據都被認為是非法入侵,這樣黑客通過該埠發送到伺服器中的所有數據都會被防火牆攔截住。
org方法5、自定義安全策略
如果我們手頭暫時沒有防火牆工具的話,那麼可以利用Windows伺服器自身的IP安全策略功能,來自定義一個攔截135埠的安全策略。下面就是具體的自定義步驟:
首先打開本地安全設置窗口,用滑鼠右鍵單擊"IP安全策略,在本地機器"選項,執行快捷菜單中的"管理IP篩選器表和篩選器操作"命令,在隨後的"管理IP篩選器表"標簽頁面中,單擊"添加"按鈕,然後將新建的IP篩選器名稱設置為"攔截135埠",繼續單擊"添加"按鈕,根據屏幕提示單擊"下一步"按鈕;
在接下來的"IP通信源"向導窗口中,將"源地址"設置為"任何IP地址",再將"目標地址"選為"我的IP地址",同時將IP協議類型設置為"TCP";在隨後彈出的IP協議埠設置窗口中,選中"到此埠"選項,同時將"135"埠號正確輸入;最後單擊"完成"按鈕,這樣我們就能發現在IP篩選器列表中,包含有"攔截135埠"選項了。
接著進入到"管理篩選器操作"標簽頁面,單擊"添加"按鈕,然後根據屏幕向導提示,輸入篩選器的具體操作名稱,例如這里的名稱可以設置為"拒絕135埠",在隨後彈出的"篩選器操作常規選項"設置窗口中,選中"阻止"選項,再單擊"完成"按鈕;
下面用滑鼠右鍵單擊本地安全設置窗口中的"IP安全策略,在本地機器"選項,執行快捷菜單中的"創建IP安全策略"命令,並將IP安全策略的名稱設置為"禁用135埠",在接著打開的"安全通信請求"向導窗口中,取消"激活默認響應規則"的選中狀態,再單擊"完成"按鈕;
再將前面創建好的"禁用135埠"策略選中,然後單擊"添加"按鈕,在隨後出現的"隧道終結點"設置窗口中,選中"此規則不指定隧道"選項,在"網路類型"設置窗口中,選中"所有網路連接",在"身份驗證方法"設置窗口中,選中"windows 2000默認值(Kerberos V5 協議)"選項,在"IP篩選器列表"設置窗口中,選中前面創建好的"攔截135埠"篩選器(如圖5所示),在"篩選器操作"設置窗口中,選中前面創建好的"拒絕135埠"選項,再單擊"完成"按鈕;到了這里"禁用135埠"的安全策略就自定義好了。
考慮到在默認狀態下,Windows系統不會指派任何安全策略,為此我們還需要手工來對"禁用135埠"安全策略進行指派;在指派安全策略時,只要用滑鼠右鍵單擊"禁用135埠"安全策略,從彈出的快捷菜單中執行"指派"命令就可以了。
方法6、篩選TCP埠
大家知道,Windows系統具有篩選TCP埠功能,利用該功能我們可以將來自於135網路埠的數據包,全部過濾掉,這樣各種惡意攻擊信息都無法通過135網路埠了。在過濾135埠的數據包時,可以先打開"Internet協議(TCP/IP)"屬性設置對話框;
然後打開其中的"高級"功能頁面,並切換到"選項"標簽頁面中,選擇其中的"TCP/IP篩選"項,再單擊"屬性"按鈕,在彈出的圖6設置窗口中,選中"啟用TCP/IP篩選"選項,同時在"TCP埠"處,選中"只允許",並單擊"添加"按鈕,將常用的21、23、80、110埠輸入到這里,最後單擊"確定"按鈕,這樣的話其餘埠就會被自動排除了。