1. 關閉139端口
一般説來,一台個人用的電腦,在正常情況下,開機後不會開放過多的端口,比方説會使用137、138、139端口等。若上網衝浪會有其它端口開放,這是本機與網上主機通訊時打開的,比方説,用IE瀏覽網頁會打開連續的端口:1025,1026 ,1027……使用QQ會打開4000、4001端口……而木馬多用1024以上的端口。因此,發現有數字比較大的端口被打開,則很有可能是木馬所開,要小心!查看自己的電腦開放了哪些端口的最簡單的方法,可以使用DOS下的netslat命令。如果輸入nbtstst—A ip,則可以查看139端口是否開放。如果139端口開放則計算機就會泄露你的機器的一些信息.其中第一行中的NB便是這台計算機的機器名,WORKGROUP則説明這台機器是工作組模式。最後一行還列出了機器的MAC地址(網卡地址)。因此,對於個人用户來説139端口實在沒有必要開放,由於Windows是通過139端口與其他安裝Windows系統的電腦進行連接,所以關閉此端口,可防範絕大多數的攻擊。
對於Windows 9x關閉139端口的方法為.“網絡”→“配置”→“TCP/IP”→“屬性”→“綁定”→“Microsoft網絡客户端”,把此項前面的“√”去掉,若無此項可不作變動。
對於Windows 2000/XP來説,關閉139端口的方法是;先用鼠標右鍵單擊“網絡鄰居”,選擇“屬性”進入“網絡和撥號連接”,再用鼠標右鍵單擊“本地連接”,選擇“屬性”,進入“本地連接屬性”。在下拉列表框中找到“Internet協議(TCP/IP)”,雙擊“Internet協議(TCP/IP)”“進入Internet協議(TCP/IP)屬性”窗口。點擊該窗口中的“高級”按鈕,會進入“高級TCP/IP設置”窗口,接下來選擇“選項”標籤下的“TCP/IP篩選”項,點“屆性”按鈕,會來到“TCP/IP篩選”的窗口(圖3),記住一定要在該窗口的“啓用TCP/IP篩選(所有視配器)”前面打上“√”才行,最後在“只允許”中填入除了139之外要用到的端口即可。
注意,以上的方法都是給不需要連接入局域網的單機用户提供的,如果你是一台撥號上網的單機那麼完全可以禁止NetBIOS服務。但是如果你需要接入局域網的話,則不能關閉NetBIOS服務,否則局域網上的其他機器將無法訪問你的資源了,關閉該服務後,你不能連接到局域網上的任何用户,局域網上也無法看到你的計算機。
下面,給出一個對Windows 9x/NT/2000/XP都行之有效的解決辦法——通過防火牆來屏蔽NetBIOS對應的139端口,這樣別人就無法攻擊我們了。以天網個人防火牆為例選擇一條空規則,點擊“修改”按鈕,在彈出的“IP規則修改”窗口中設定如下規則:“數據包方向”選“接收”,“對方IP地址”選“任何” “協議”選“TCP”,“本地端口”選“139到139”,“對方端口”選“O到O”,“TCP標誌位“選“SYN”,然後在“當滿足上面條件時”下拉列表框選“攔截”(圖4)最後點擊“確定”即可增加一條新規則。這樣就可以屏蔽對方對139端口的訪問,從而保證了我們上網的安全。
2. 關閉135端口
另外,利用系統自帶防火牆關閉端口(適用系統Windows XP/Server 2003)也可關閉不必要的端口,實現的步驟也很簡單。下面我們以關閉135端口為例來説明。
點擊“控制面板”→“本地連接”→“高級”,把“Internet連接防火牆”下面的選項勾選上,然後點擊“設置”,出現如圖5所示窗口。假設我們要關閉135端口(強烈建議,所有使用Windows 2000/XP的用户馬上關閉135端口,因為最新的漏洞可以利用這個端口攻擊服務器獲取權限),135端口用於啓動與遠程計算機的RPC連接。我們可以在“高級設置”窗口的“服務”選項卡中點擊“添加”按鈕,出現如圖6所示窗口。在“服務設置”對話框中把各項按圖中所示填寫好之後一路確定就可以了。這樣防火牆就自動啓動了,啓動以後“本地連接”圖標會出現一把小鎖。
3. 關閉445端口
對於Windows 2000來説,在查看共享資源的時候,系統會先嚐試連接139端口。如果139端口關閉的話就會嘗試445端口的連接(在黑客進行IPCS入侵時同樣離不開它們),所以不僅要關閉139端口,還要關閉445端口。除了可以利用防火牆 還可以採用下面的方法:在“開始”菜單的“運行”中輸入regedit,打開註冊表編輯器。然後找到HKEY_LOCAL_MACHlNE\SYSTEM/CurentControlSet/Sevioes\NetBT\Parameters,在它的下面新建一個DWORD值SMBDeviceEnabled,其鍵值為1即可。
4. 關閉3389端口
最後説説3389端口。3389端口開放表示服務器提供了終端服務,如果黑客獲得了管理員的用户名和密碼那麼他就可以通過這個服務完全控制主機,要想關閉此端口,需要關閉終端服務。
在Windows 2000中關閉3389端口的方法;在Windows 2000 Server中,可以點擊“開始→程序→管理工具→服務”,找到Terminal Services服務項.選中“屬性”選項將啓動類型改成手動,並停止該服務;在Windows 2000 PRO中,可以點擊“開始→設置→控制面板→管理工具→服務”,找到Terminal Services服務項,選中“屬性”選項將啓動類型改成手動,並停止該服務。
在Windows XP關閉3389端口的方法:在“我的電腦”上點擊鼠標右鍵,選擇彈出菜單中的“屬性一遠程”將裏面的“遠程協助”和“遠程桌面”兩個選項框裏的“√”去掉即可。
