Во время проверки безопасности проекта Nmap использовался для сканирования портов и обнаружил несколько незакрытых портов, которые были уязвимы для хакерских атак и вирусных заражений, поэтому их необходимо было закрыть.

Порты следующие:

Порт 111  Remote Procedure Вызов, удаленный вызов процедуры
Порт 135  CVE-2003-0352 Microsoft Windows DCOM Уязвимость удаленного переполнения буфера с длинным именем хоста интерфейса RPC (MS03-026)
Порт 139  CVE-2003-0533 Windows Local Security Authority Уязвимость переполнения удаленного буфера службы (MS04-011)
Порт 445  CVE-2008-4250  Microsoft Windows Уязвимость переполнения буфера запроса RPC службы сервера (MS08-067) от CVE-2017-0143 до CVE-2017-0148 Microsoft Windows SMB Уязвимость удаленного выполнения кода сервера  (MS17-010) (Eternal Blue и Eternal Stone используют эту уязвимость для распространения) и т. д.

Способ 1: через политику IP-безопасности (в качестве примера рассмотрим закрытие порта 135). (1) Выберите «Выполнить» в меню «Пуск», введите «gpedit.msc» и нажмите Enter, чтобы открыть редактор локальной групповой политики. По очереди разверните «Конфигурация компьютера-Параметры Windows-Параметры безопасности-Политика IP-безопасности». локальный компьютер"

(2) Щелкните правой кнопкой мыши в пустом месте в правой части редактора локальной групповой политики, выберите «Создать политику IP-безопасности», появится диалоговое окно «Мастер политики IP-безопасности», нажмите «Далее» и напишите «Закрыть»; имя появившегося диалогового окна. Порт» (можно заполнить по желанию), нажмите «Далее»; снимите флажок «Активировать правила ответа по умолчанию» в диалоговом окне, затем нажмите «Далее»; установите флажок «Изменить свойства» и нажмите «Готово».

(3) В появившемся диалоговом окне «Закрыть свойства порта» выберите вкладку «Правила», снимите флажок «Использовать мастер добавления» и нажмите кнопку «Добавить».

(4) Во всплывающем диалоговом окне «Свойства нового правила» выберите вкладку «Список IP-фильтров» и нажмите «Добавить» в левом нижнем углу.

(5) Появится диалоговое окно «Добавить», введите имя «Блокировать порт» (вы можете заполнить его по своему усмотрению), снимите флажок «Использовать мастер добавления» и нажмите кнопку «Добавить» справа.

(6) В появившемся диалоговом окне «Свойства IP-фильтра» выберите вкладку «Адрес», выберите «Любой» для «Исходный адрес» и выберите «Мой IP-адрес» для «Адрес назначения», выберите «Протокол»; вкладке , каждая настройка показана на рисунке. После настройки нажмите «ОК».

(7) Вернитесь в «Список IP-фильтров» и нажмите «ОК». Вернитесь в диалоговое окно «Свойства нового правила».

(8) Выберите «Блокировать порт», только что добавленный в список IP-фильтров, затем выберите вкладку «Фильтр», снимите флажок перед «Использовать мастер добавления» и нажмите кнопку «Добавить».

(9) В «Свойствах операции фильтра» выберите вкладку «Метод безопасности» и выберите параметр «Блокировать» на вкладке «Общие», назовите операцию и нажмите «ОК»;

(10) Выберите вновь созданный «Новый 1», нажмите «Закрыть», вернитесь в диалоговое окно «Закрыть свойства порта», подтвердите, что правило блокировки порта в «Правилах IP-безопасности» выбрано, и нажмите «ОК».

(11) В редакторе групповой политики вы можете увидеть только что созданное правило «Закрыть порт». Выберите его, щелкните его правой кнопкой мыши и выберите параметр «Назначить», чтобы начать применять правило! На этом этапе все готово. Таким же образом вы можете добавить правила для любого порта, доступ к которому хотите ограничить. смелый стиль

Способ 2. Правила для входящего трафика отключают порты

(1) Войдите в Панель управления\Система и безопасность\Брандмауэр Windows\Дополнительные параметры.

（2）Входящие правила—->新建规则

端口—->Следующий шаг

TCP—->конкретный локальный порт—->7001—->Следующий шаг

блокировать соединение—->Следующий шаг

Проверить домен, частный, общедоступный

Имя (закрыть порт веб-логики)

Создание завершено

Способ 3: Брандмауэр отключает порт

(1) Введите netstat -na в окне программы «Команда», чтобы просмотреть состояние всех портов в системе.

(2) Выполните следующую команду (на примере закрытия порта 445):

netsh advfirewall set allprofile state on netsh advfirewall firewall add rule name=deny445 dir=in action=block protocol=TCP localport=“445”

(3) Посмотреть Панель управления\Система и безопасность\Брандмауэр Windows\Дополнительные настройки\Правила для входящих подключений, будет правило закрытия 445.

Закрытие порта через брандмауэр запустит брандмауэр. Если вы пропингуете порт через другие физические машины, вы обнаружите, что все порты не могут быть проверены или все они могут быть проверены, поэтому в конце был использован первый метод.

Чтобы проверить закрыт ли порт, можно напрямую использовать команду «telnet 59.1.6.88 445». Сначала телнет, затем пробел, затем ip-адрес, затем пробел, затем номер порта. Если можно ввести, значит. порт открыт. Если отображается сообщение «Невозможно». Откройте ссылку, чтобы открыть хост. «Ошибка порта 445» означает, что порт не открыт.

Вы также можете использовать инструмент Zenmap:

Ссылка: https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html.

Заявление об авторских правах: Содержание этой статьи добровольно предоставлено пользователями Интернета, а мнения, выраженные в этой статье, представляют собой только точку зрения автора. Этот сайт предоставляет только услуги по хранению информации, не имеет никаких прав собственности и не принимает на себя соответствующие юридические обязательства. Если вы обнаружите на этом сайте какое-либо подозрительное нарушение авторских прав/незаконный контент, отправьте электронное письмо, чтобы сообщить. После проверки этот сайт будет немедленно удален.

Издатель: Лидер стека программистов полного стека, укажите источник для перепечатки: https://javaforall.cn/181030.html Исходная ссылка: https://javaforall.cn