如何关闭Windows 的135、139、445端口及默认共享(图文)

admin管理员组

文章数量:1531370

2023年12月21日发(作者：)

如何关闭Windows的135、139、445端口和默认共享（图文)为应对最新勒索病毒WannaCry（一种“蠕虫式”的病毒软件，大小3.3MB，由不法分子利用NSA（NationalSecurityAgency）泄露的危险漏洞“EternalBlue”（永恒之蓝）制作）攻击，各安全网站都提示除了安装最新MS17-010安全更新以外，还要关闭135、139、445端口及默认共享，但如何关闭网上提供的方法比较混乱，本文主要对各种方法进行测试及整理，分享给大家。一、关闭135端口135端口主要用于使用RPC（RemoteProcedureCall，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务。端口说明：135端口主要用于使用RPC（RemoteProcedureCall，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务，通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码；使用DCOM可以通过网络直接进行通信，能够跨包括HTTP协议在内的多种网络传输。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞，该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的一个接口，该接口侦听的端口就是135。建议关闭该端口。关闭135端口1、单击“开始”——“运行”（或windows键+R键），输入“dcomcnfg”，单击“确定”，打开组件服务。第1页

2、在弹出的“组件服务”对话框中，选择“计算机”选项，右键单击“我的电脑”，选择“属性”。3、在出现的“我的电脑属性”对话框“默认属性”选项卡中，去掉“在此计算机上启用分布式COM”前的勾。5、选择“默认协议”选项卡，选中“面向连接的TCP/IP”，单击“移除”按钮。第2页

6、单击“确定”按钮，设置完成，winXP系统重新启动后即可关闭135端口。7、对Win7及以上系统，通过以上设置无法彻底关闭135端口，需配合防火墙入站策略来进行防护，禁止外部连接135端口。（具体步骤如下：点击【开始】按钮在弹出的菜单中点击【控制面板】项，在弹出的控制面板窗口中，点击【windows防火墙】；在弹出的窗口左侧中点击【高级设置】，进入高级安全windows防火墙设置项；点击左侧【入站规则】，然后点击右侧【操作】项中的【新建规则】按钮，弹出窗口；选中【端口】点击下一步，选中【TCP】，并选中【特定本地端口】在后面的输入框中输入端口号，如135点击下一步；选中指定的操作为【禁止连接】点击下一步，选择规则应用的网络，默认是全部选中的，采用默认即可，点击下一步；为新建的规则起名并做相应的描述（如禁用135端口），点击完成即可。还可以用同样方法禁止外部所有或部分（需在应用网络中设定许可IP）对本机139、445、3389端口访问。第3页

二、关闭139端口方法139端口是为“NetBIOSSessionService”提供的，主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。端口说明：139端口是为“NetBIOSSessionService”提供的，主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。在Windows中要在局域网中进行文件的共享，必须使用该服务。端口漏洞：开启139端口虽然可以提供共享服务，但是常常被攻击者所利用进行攻击，比如使用流光、SuperScan等端口扫描工具，可以扫描目标计算机的139端口，如果发现有漏洞，可以试图获取用户名和密码，这是非常危险的。操作建议：如果不需要提供文件和打印机共享，建议关闭该端口。关闭139端口1、右键单击桌面右下角“本地连接”图标，选择“状态”。（win7以上系统右键选择打开“网络和共享中心”，然后点“更改适配器设置”）第4页

2、在弹出的“本地连接状态”对话框中，单击“属性”按钮。3、在出现的“本地连接属性”对话框中，选择“Internet协议（TCP/IP）”，双击打开。第5页

4、在出现的“Internet协议（TCP/IP）属性”对话框中，单击“高级”按钮，在出现的“高级TCP/IP设置”对话框中，选择“WINS”选项卡。在“WINS”选项卡，“NetBIOS设置”下，选择“禁用TCP/IP上的”NetBIOS。单击“确定”，重新启动后即可关闭139端口。三、关闭445端口方法445端口是一个毁誉参半的端口，有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机，但也正是因为有了它，黑客们才有了可乘之机，2017年5月12日爆发的勒索病毒就是利用该端口。1、单击“开始”——“运行”（或windows键+R键），输入“regedit”，单击“确定”按钮，第6页

打开注册表。2、找到注册表项“HKEY_LOCAL_MACHINESystemControlsetServicesNetBTParameters”，选择“Parameters”项，右键单击，按照自己是32位还是64位系统，选择“新建”——“DWORD（32位）值”或“QDWORD（64位）值”，新建名为“SMBDeviceEnabled”第7页

3、右键单击“SMBDeviceEnabled”值，选择“修改”。4、在出现的“编辑DWORD值”对话框中，在“数值数据”下，输入“0”，单击“确定”按钮，完成设置。windows7系统还要把操作系统的server服务关闭，依次点击“开始”，“运行”，输入，进入服务管理控制台。找到server服务，双击进入管理控制页面。把这个服务的启动类型更改为“禁用”，服务状态更改为“停止”，最后点击应用即可（详细参加第四部分关闭默认共享）。四、关闭默认共享方法使用“NETSHARE共享文件夹/DELETE”及禁用共享方法(无法禁用IPC$共享）关闭后，但重启后仍会重新共享。以下几种方法可永久停用；1、停止服务法（推荐）还是到“计算机管理”窗口中，单击展开左侧的“服务和应用程序”并选中其中的“服务”，此时右侧就列出了所有服务项目。共享服务对应的名称是“Server”（在进程中的名称为s第8页

ervices），找到后双击它，在弹出的“常规”标签中把“启动类型”由原来的“自动”更改为“已禁用”。然后单击下面“服务状态”的“停止”按钮，再确认一下就OK了2、注册表改键值法“开始”→“运行”输入“regedit”确定后，打开注册表编辑器，找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”项，双击右侧窗口中的“AutoShareServer”项将键值由1改为0，这样就能关闭硬盘各分区的共享。如果没有AutoShareServer项，可自己新建一个再改键值。然后还是在这一窗口下再找到“AutoShareWks”项，也把键值由1改为0，关闭admin$共享。最后到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa”项处找到“restrictanonymous”，将键值设为1，关闭IPC$共享。注意：本法必须重启机器，但一经改动就会永远停止共享。第9页

3、如果不使用共享服务，也可以取消“本地连接‘属性中的Microsoft“网络的文件和打印机共享”和“Microsoft网络客户端”勾选，然后直接卸载.第10页

附件：Windows系统安全基线与配置说明1、账户管理1.1Administrator账户管理安全判定依据1）进入“控制面板->管理工具->计算机管理”，在弹出框中选择“系统工具->本地用户和组->用户”。（或计算机图标-右键-管理统工具->本地用户和组->用户）2）如果存在Administrator账号，并且隶属于Administrators组，表明不符合安全要求。重命名账户：鼠标右键->重命名，键入新的账户名称安全配置参考配置截图参考：右键点击administrator用户重命名为其它名称（注意，不要改为admin、root、user等常用名）1.2Guest账户管理进入“控制面板->管理工具->计算机管理”，在弹出框中选择“系统安全判定依据工具->本地用户和组->用户”，在右侧选择Guest，双击鼠标左键查看，如果勾选了“账户已禁用”选项，表明符合安全要求。第11页

双击guest账户，确保账户已禁用选项是被选中的则为符合要求。1.3无关账户管理1）进入“控制面板->管理工具->计算机管理”，在弹出框中选择“系安全判定依据参考操作统工具->本地用户和组->用户”，2）如果不存在无关账户，或无关账户处于禁用状态，表明符合安全要求。删除无关账户：鼠标右键->删除；如果用户里面存在guest和administrator（已改名账户）以外的其它账户则不符合安全要求须对其它用户进行右键——删除操作第12页

2、密码管理2.1密码复杂度密码复杂度要求：至少包含以下四种类别的字符中的三种：英文大写字母（A到Z）安全基线要求英文小写字母(a到z)阿拉伯数字(0到9)非字母字符（例如!、$、#、%）进入“控制面板->管理工具->本地安全策略”，在“账户策略->密码安全判定依据策略”中，选择“密码必须符合复杂性要求”，查看其“安全设置“，如果显示”已启用“，表明符合安全要求。2.2密码长度最小值安全基线要求对亍采用静态口令认证技术的设备，密码最小长度不少于8位进入“控制面板->管理工具->本地安全策略”，在“账户策略->密码安全判定依据策略”中，选择“密码长度最小值”，查看其“安全设置“，如果显示”8个字符“，表明符合安全要求。第13页

2.3密码最长使用期限安全基线要求对于采用静态口令认证技术的设备，口令生存期不长于90天进入“控制面板->管理工具->本地安全策略”，在“账户策略->密码安全判定依据策略”中，选择“密码最长使用期限，查看其“安全设置”，如果显示“90天“，表明符合安全要求。2.4强制密码历史安全基线要求对于采用静态口令认证技术的设备，应配置设备使用户不能重复使用最近5次（含5次）内已使用的口令进入“控制面板->管理工具->本地安全策略”，在“账户策略->密码策略->强制密码历史”，鼠标右键->属性->5->确定。进入“控制面板->管理工具->本地安全策略”，在“账户策略->密码安全判定依据策略”中，选择“强制密码历史，查看其“安全设置“，如果显示“5个记住的密码“，表明符合安全要求。检测操作参考第14页

2.5账户锁定阈值（可选）安全基线要求对亍采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过5次（不含5次），锁定该用户使用的账户，锁定时间未30分钟检测操作参考进入“控制面板->管理工具->本地安全策略”，在“账户策略->账户锁定策略->账户锁定阈值”，鼠标史键->属性->5->确定。进入“控制面板->管理工具->本地安全策略”，在“账户策略->账户安全判定依据锁定策略”中，选择“账户锁定阈值”，查看其“安全设置“，如果显示“5次无效登录“，锁定时间未30分钟,表明符合安全要求。第15页

3、认证授权3.1远程强制关机授权安全基线要求非域环境的计算机，“从远程系统强制关机“的权限只指派给Administrators组检测操作参考进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限分配->从远程系统强制关机”，鼠标右键->属性->设置为只指派给Administrators组。进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户安全判定依据权限分配”中，鼠标左键双击“从远程系统强制关机”，如果弹出的对话框中仅显示”Administrators”组，表明符合安全要求。3.2文件所有权授权安全基线要求检测操作参考“取得文件或其他对象的所有权“只指派给Administrators组进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限分配->取得文件或其他对象的所有权”，鼠标史键->属性->设置为只指派给第16页

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户安全判定依据权限分配”中，鼠标左键双击“取得文件或其他对象的所有权”，如果弹出的对话框中仅显示”Administrators”组，表明符合安全要求。4、日志审计4.1审核策略更改安全基线要求检测操作参考启用对Windows系统的审核策略更改，成功不失败都要审核进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略->审核策略更改”，鼠标右键->属性->勾选“成功”与“失败”两项。进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核安全判定依据策略“中，选择”审核策略更改”，查看其“安全设置“，默认为无审核，如果显示为“成功，失败”，表明符合安全要求。第17页

4.2审核登录事件安全基线要求应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账户，登录是否成功，登录时间，以及远程登录时使用的IP地址进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略->审核登录事件”，鼠标史键->属性->勾选“成功”和“失败”两项。安全判定依据进入“控制面板->管理工具->本地安全策略“，在“本地策略->审核策略“中，选择”审核登录事件”，查看其“安全设置“，默认为无审核，如果显示为“成功，失败”，表明符合安全要求。检测操作参考第18页

4.3审核对象访问安全基线要求检测操作参考启用对Windows系统的审核对象访问，成功不失败都要审核进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略->审核对象访问”，鼠标右键->属性->勾选“成功”和“失败”两项。进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核安全判定依据策略“中，选择”审核对象访问”，查看其“安全设置“，默认为无审核，如果显示为“成功，失败”，表明符合安全要求。第19页

4.4审核进程跟踪安全基线要求检测操作参考启用对Windows系统的审核特权使用，成功不失败都要审核进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略->审核特权使用”，鼠标右键->属性->勾选“成功”与“失败”两项。进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核安全判定依据策略“中，选择”审核特权使用”，查看其“安全设置“，默认为无审核，如果显示为“成功，失败”，表明符合安全要求。第20页

4.5日志文件大小安全基线要求设置日志容量和覆盖规则，保证日志存储进入“控制面板->管理工具->事件查看器”，选择“事件查看器（本地）->Windows日志”，1）在“应用程序”中，鼠标史键单击选择“属性”，将“日志最大大小”设置为“40960KB”，“达到事件日志最大大小时“选择“按需要覆盖事件（旧事件优先）”。检测操作参考2）在“安全”中，鼠标右键单击选择“属性”，将“日志最大大小”设置为“40960KB”，“达到事件日志最大大小时“选择“按需要覆盖事件（旧事件优先）”。3）在“系统”中，鼠标右键单击选择“属性”，将“日志最大大小”设置为“40960KB”，“达到事件日志最大大小时“选择“按需要覆盖事件（旧事件优先）”。安全判定依据进入“控制面板->管理工具->事件查看器，选择“事件查看器（本地）->Windows日志”，鼠标史键点击“应用程序“、“安全”、“系统”，选择“属性“，查看这三项的“日志最大大小”和“达到事件日志最大大小时“的选项，如果显示为”40960”和“按需要覆盖事件（旧事件优先）“，表明符合安全要求。对windows日志中的‘应用程序’‘安全’‘系统’三项均进行上图配置第21页

5、系统服务5.1启用Windows防火墙安全基线要求检测操作参考启用Windows防火墙进入“控制面板->Windows防火墙->打开或关闭Windows防火墙”，查看“家庭或工作（专用）网络位置设置“与”公用网络位置设置“中防火墙的配置情况。进入“控制面板->Windows防火墙->打开或关闭Windows防火墙”，安全判定依据查看“家庭或工作（专用）网络位置设置“与”公用网络位置设置“，如果均选择”启用Windows防火墙“，并勾选“Windows防火墙阻止新程序时通知我”，表明符合安全要求。点击高级设置，单击“入站规则”，右边下拉找到“文件和打印机共享进阶设置（ICMPV4-IN）”，并右击，选“启用规则”，可阻止外部计算机对本机ping探测，同时可通过添加入站出站规则，拦截135、137、138、139、445、3389等高危端口。第22页

5.2关闭自劢播放功能安全基线要求检测操作参考关闭Windows自劢播放，防止从移劢设备不光盘感染恶意代码开始->运行->，打开本地组策略编辑器，在“计算机配置->管理模板->Windows组件->自劢播放策略”中，选择“关闭自劢播放”，查看其状态。开始->运行->，打开本地组策略编辑器，在“计算机配置安全判定依据->管理模板->Windows组件->自动播放策略”中，选择“关闭自劢播放”，查看其状态，默认为“未配置“，如果为”已启用“，表明符合安全要求。6、补丁不防护软件第23页

6.1系统安全补丁管理安全基线要求所有联网终端计算机必须及时进行漏洞检查及补丁修复使用360定期体检及漏洞修复，确保体检分数不低于100分，且没有未检测操作参考安装安全更新。安全判定依据6.2防病毒管理安全基线要求开始->运行->，输入systeminfo，查看系统补丁的安装情况。所有联网终端计算机安全防病毒软件，且不能同时安装多种防病毒软件检查防病毒软件安装情况及病毒库升级情况，定期查杀情况，定期全屏检测操作参考扫描情况，检查查杀记录。检查是否用多款防病毒软件共存情况。防病毒软件运行正常且病毒库为最新，有最近一周病毒查杀记录，没有安全判定依据其他防病毒软件同时运行为符合要求。7、共享文件夹及访问权限7.1关闭默认共享安全基线要求在非域环境下，关闭Windows硬盘默认共享，例如C$,D$开始->运行->，进入注册表编辑器，更改注册表键值：检测操作参考HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters下，增加REG_DWORD类型的AutoShareServer键，值为0。开始->运行->，进入注册表编辑器，查看注册表键值：安全判定依据HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters下，如果有AutoShareServer项，并且值为0，表明符合安全要求。第24页

7.2设置共享文件夹访问权限安全基线要求检测操作参考设置共享文件夹访问权限，只允许授权的账户拥有权限共享此文件夹进入“控制面板->管理工具->计算机管理”，在“系统工具->共享文件夹”下，查看每个共享文件夹的共享权限，只将权限授权于指定账户。进入“控制面板->管理工具->计算机管理”，在“系统工具->共享文件夹”下，查看每个共享文件夹的共享权限。安全判定依据8、远程维护8.1远程协助安全管理安全基线要求检测操作参考如无特别需要，关闭远程协助鼠标右键点击“我的电脑”，选择“属性”，选中“远程设置”，查看“远程协助”的状态。鼠标右键点击“我的电脑”，选择“属性”，选中“远程设置”，在”远安全判定依据程协助“的下方查看，如果勾选了“允许远程协助连接这台计算机”，表明开启了远程协助，不符合安全要求。8.2远程桌面安全管理第25页

安全基线要求检测操作参考终端计算机如无特别需要，关闭远程桌面，修改默认端口鼠标右键点击“我的电脑”，选择“属性”，选中“远程设置”，查看“远程桌面”的状态。鼠标右键点击“我的电脑”，选择“属性”，选择“远程设置”，在“远安全判定依据程桌面”的下方查看，如果勾选了“不允许连接到这台计算机”，表明关闭了远程桌面，符合安全要求。如必须使用远程桌面，参照如下方法修改默认端口，应急手段HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWdsrdpwdTdstcp，双击文件，切换到十进制，默认是3389，将他修改为其他数字，比如9838,23456（小于65555）等，同时找到HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninalServerWinStationsRDP-Tcp，修改PortNamber为同样的值（修改默认端口）9、数据保护9.1数据执行保护安全基线要求配置系统核心的数据执行保护，提高系统抵抗非法修改文件的能力第26页

进入“控制面板->系统”，在“高级系统设置”选项卡的“性能”下点检测操作参考击设置，选择“数据执行保护”选项卡，选择“仅为基本Windows程序和服务启用DEP”。进入“控制面板->系统”，在“高级系统设置”选项卡的“性能”下点击设置，选择“数据执行保护”选项卡，如果设置为“仅为基本Windows程序和服务启用DEP”，表明符合安全要求。安全判定依据10禁用NetBioswin7以上系统右键选择打开“网络和共享中心”，然后点“更改适配器设置”，“本地连接属性”对话框中，选择“Internet协议（TCP/IP）”，单击“高级”按钮，选择“WINS”选项卡。在“WINS”选项卡，选择“禁用TCP/IP上的NetBIOS”。第27页

11关闭不必要的服务11.1关闭不必要的windows系统服务关闭windows系统服务里不必要且危险的服务，（如RemoteRegistry服务和Telnet服务(win7以后产品没有默认安装)）。按住“Win”键+“R”键，打开“运行”窗口，输入后回车。找到“RemoteRegistry”服务，点击“停止”。第28页

右击“RemoteRegistry”服务属性，在“启动类型”处选择“禁止”，之后点击“应用”和“确定”。如不适用共享文件及打印服务，可以用同样方法禁用server服务；第29页

11.2关闭其他软件安装的不必要服务按住“Win”键+“R”键，打开“运行”窗口，输入msconfig后回车。在“系统配置”窗口中选择“服务”->“隐藏所以Microsoft服务(H)”打钩，则显示所有非Microsoft服务，将不必要服务前面的钩去掉，点击“应用”和“确定”。在系统配置”窗口中选择“启动”，查看哪些服务是开机启动，将没必要的开机启动服务前面的钩去掉。也可以使用360安全卫士、QQ助手等工具进行优化，禁用不必要的服务及计划任务、启动项。第30页

第31页

本文标签： 要求选择共享服务端口