Windows為了方便大家的使用,默認開了很多的端口,不過,還是有安全專家建議關閉幾個端口,稍微了解了下,感覺那幾個端口平時自己也用不上,留在或多或少也是個隱患,還是關掉好。
1、在“控制面板”-“系統和安全”-“Windows防火墻”,里面點擊“打開或關閉Windows防火墻”,保持防火墻開啟狀態。如下圖:
然后點擊左側的“高級設置”,并點擊“新建規則”,如下圖:
然后,我們在這里勾選“端口”,如下圖:
然后在這里選擇協議和端口,如果要禁用UDP則需要重新操作一遍。如下圖:
然后,我們勾選“阻止連接”,如下圖:
然后,繼續點擊下一步。如圖:
然后我們創建一個名稱,如下圖:
至此,我們就成功添加了禁止端口。如下圖:
三、通過IP組策略來關閉Windows不常用端口。
1、檢查端口開放情況(是否開放了137、139、445、3389端口),本機cmd命令netstat –an 查看端口監聽情況,
2、然后在服務器本機以外的電腦telnet 目標主機端口,如:telnet 10.1.16.143 445(你要排查的服務器的IP地址,445表示端口),如果出現無法打開到主機連接,說明在外部無法訪問該端口。
如果處于開放狀態則telnet 進入,必須對該端口進行IP策略限制和防火墻限制。
一、通過Windows防火墻禁用端口:
1、點擊 “控制面板-Windows防火墻”,確保啟用了Windows防火墻。在左邊欄點擊“高級設置”,系統會自動彈出Windows防火墻高級配置窗口。
2、點擊“入站規則”,然后再點“新建規則…”,在向導窗口中選擇要創建的規則類型,這里選“端口”,點擊“下一步”。
3、接下來選擇你要禁用的網絡類型(TCP或者UDP),在“特定本地端口”寫入你要禁用的端口,例如“445”,然后下一步。選擇“阻止連接”,下一步,應用規則看情況修改,可以維持不變,繼續下一步,填寫名稱“禁用445端口”,點擊完成。
4、到這里應該就完成了,默認情況下新建的規則會直接啟用。如果沒有,那么右鍵 “啟用規則”即可。
二、通過IP安全策略禁用端口:
1、首先,Win+R打開運行,輸入gpedit.msc進入組策略編輯器。
2、在左側邊欄中,依次選取 “Windows 設置- 安全設置- IP安全策略,在 本地計算機”
然后單擊“完成”,編輯屬性處“勾選上”。
8、在隨后跳出的封禁端口屬性窗口中,單擊添加。
需要注意的是不要勾選右下角的“使用添加向導”
9、然后在”新規則 屬性”窗口中,單擊左下角的”添加”
在IP篩選器列表窗口中,單擊右側的添加按鈕,需要注意的是這里也不要點擊右下角的”使用添加向導”
在彈出的IP篩選器屬性窗口的地址選項卡中,原地址選擇“任何IP地址”,目標地址選擇“我的IP地址”
12、然后選擇協議選項卡,選擇協議類型為:TCP,設置IP協議端口為”從任意端口”“到此端口”:445,并單擊確定。
13、然后在IP篩選器列表中,修改篩選器名稱為端口號,單擊確定。
重復操作,添加135、137、138、139規則
然后在新規則屬性中,單擊篩選器操作選項卡,單擊下方的添加,并且不要勾選右側的使用添加向導。
在新篩選器操作屬性中,選擇“阻止”,并切換到常規選項卡,將名稱改為阻止。
單擊確定,回到新規則屬性窗口中的篩選器操作,勾選剛才建立的“阻止”。
切換到IP篩選器列表,勾選剛才建立的“445”。單擊“應用”,然后單擊“確定”。
在“封禁端口”頁面再次選擇添加。
選擇IP篩選器列表中的“135”,
21、選擇篩選器操作頁面的“阻止”
22、點擊頁面下方的確定。
22、循環上述操作,把445、135端口都加入進去,如果命令行的端口檢測中137、138、139端口也在監聽,就需要把相應的端口也加入進去,如果沒有開放就不要增加。
這種方法只是阻止了外部的端口訪問,并不是關閉監聽。
所以通過netstat仍然能夠看到該端口。
在IP安全策略處于分配狀態下,通過telnet測試,無法連接該端口。
在IP安全策略處于未分配狀態下,通過telnet測試,可以直接連接該端口。
出于安全的考慮,建議兩種方法都使用了,防火墻禁止了端口,ip組策略也禁止了端口。
如何禁用電腦的USB接口?一般電腦的USB接口都是默認開放使用的,但是如果電腦中有很多重要文件的話,為了防止泄露,一般會通過禁用USB的方式防止他人拷走,那么如何禁用電腦的USB接口功能?請看下文兩種解決辦法。
通過注冊表禁用USB存儲設備驅動、禁止U盤驅動的方式禁止U盤使用。
1、首先,打開記事本,復制下面的內容,粘貼進去。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
“Start”=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum]
“Count”=dword:00000000
“NextInstance”=dword:00000000
2、點【文件】-【另存為】,命名為disableusb.reg (注意“保存類型”選“所有”),保存到桌面。
3、再把“Start”=dword:00000004中的4改為3 ,同樣另存為enableusb.reg ,保存到桌面。
以后要禁用USB時,雙擊disableusb.reg ,要解鎖雙擊enableusb.reg即可。
通過一些電腦USB端口禁用軟件、禁用USB存儲設備軟件來實現u盤禁用。
雖然通過上面的方法可以禁止U盤、屏蔽USB存儲設備的使用,但是由于是采用注冊表禁止U盤使用,因此一些懂技術的員工也可以通過反向修改注冊表達到重新使用U盤的目的。因此,如果想實現對USB存儲設備更為有效的禁用,則就需要一些電腦USB端口禁用軟件、USB存儲設備屏蔽軟件來實現了。
例如有一款“大勢至電腦USB禁用軟件”(http://www.grabsun.com/monitorusb.html),只需要在電腦安裝完畢,就可以完全禁止U盤、禁用usb存儲設備的使用,同時還可以只讓使用特定的USB存儲設備或者只讓使用指定的U盤;還可以只讓從U盤向電腦復制文件而禁止從電腦向USB存儲設備復制文件,從而保護了電腦文件安全,防止通過USB存儲設備復制出去的行為。如下圖所示:
此外,通過本系統還可以禁止郵件發送文件、禁止網盤上傳電腦文件、禁止FTP文件上傳以及禁止QQ發送文件、禁止微信發送文件等,防止通過網絡途徑泄露電腦文件的行為。總之,單位局域網電腦禁止U盤使用,一方面可以通過注冊表禁用USB存儲設備、通過組策略禁止U盤的使用;另一方面,也可以借助一些電腦U口禁用軟件、USB存儲設備屏蔽軟件來實現。