Windows高危端口

3389

服务器上开启远程管理是必须的,但开启 默认的远程端口容易被默认参数的扫描工具攻击,修改端口能减少一部分被攻击的可能。

修改端口

Win + R > regedit >

  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ TerminalServer\ Wds\ rdpwd\ Tds\ tcp
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ Terminal Server\ WinStations\ RDP-Tcp
    PortNumber 的默认值 3389 修改为其他端口,重启系统即可。

进一步加固:
为了达到启用远程管理而不受攻击的目的,同时在 Windows 防火墙 (wf.msc) 配置:入站规则 > 远程桌面-用户模式(TCP-In/UDP-In) > 作用域 > 配置仅指定 IP 可远程 (通常仅可通过堡垒机远程)。

关闭端口(关闭远程服务)

  • Win + R > services.msc > Terminal Services > 属性\常规 > 启动类型: 手动/禁用 | 服务状态: 停止
  • 计算机/此电脑 >属性 > 高级系统属性 > 远程 > 不允许 远程桌面远程协作

135

RPC(Remote Procedure Call,远程过程调用)服务使用的就是 135 端口。RPC是 Windows 操作系统使用的一个远程过程调用服务。RPC 提供了一种进程间的通信机制,通过这一机制,允许在某台计算机上运行的程序流畅地在远程系统上执行代码。协议本身源自OSF(开放式软件基础)RPC 协议,但增加了一些 Microsoft 特定的扩展 。由于使用 RPC 的程序不必了解支持通信的网络协议的情况,因此 RPC 提高了程序的互操作性。

因为在 RPC 中发出请求的程序是客户程序,而提供服务的程序是服务器。在非加密状态下,使用IEen可以看到对方电脑本应受到SSL保护的数据,甚至能够直接看到密码等信息。攻击者能在受影响的系统上以本地系统权限运行代码,执行任何操作,包括安装程序,查看、更改或者删除数据,或者建立系统管理员权限的帐户。针对这一漏洞的蠕虫病毒有许多。早期的这些蠕虫病毒只是攻击此漏洞,造成远端系统的崩溃,而大名鼎鼎的 “冲击波” 漏洞则会利用这一漏洞进行快速传播,轻而易举地控制他人的IP地址和注册名。

DCOM(分布式对象模型)是一种能够使软件组件通过网络直接进行通信的协议,可以远程操作其他电脑中的DCOM应用程序,该技术使用的是 RPC 服务。

  • IEen工具能够借助135端口轻松连接到 Internet 上的其他工作站,并远程控制该工作站的IE浏览器。例如,在浏览器中执行的任何操作,包括浏览页面内容、输入帐号密码、输入搜索关键字等,都会被IEen工具监控到。甚至在网上银行中输入的各种密码信息,都能被IEen工具清楚地获得。
  • 除了可以对远程工作站上的IE浏览器进行操作、控制外,IEen工具通过135端口几乎可以对所有的借助DCOM开发技术设计出来的应用程序进行远程控制,例如 IEen工具也能轻松进入到正在运行Excel的计算机中,直接对Excel进行各种编辑操作。

关闭端口

如果不使用 DCOM 特定的应用程序如 Web 服务器、邮件或DNS服务器等,即便关闭135端口,也不会出现任何问题。

  • 打印服务需要 DCOM 服务支撑
  • Win + R > dcomcnfg > 组件服务 > 计算机 > 计算机/此电脑 > 属性 > 默认属性 > 取消勾选 在此计算机上启用分布式 COM > 默认协议 > 面向连接的 TCP/IP > 移除
  • Win + R > regedit > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc > 新建 internet ,重启系统。

限制访问

关闭 RPC 服务后会给 Windows 的运行带来很大的影响。因为 Windows 的很多服务都依赖于RPC,而这些服务在将 RPC 关闭后将无法正常起动。比如,关闭了135端口,就无法使用Outlook 连接 Exchange Server。因为管理分布式处理的 MSDTC、负责应用程序之间的信息交换的 MSMQ 以及动态地向连接网络的电脑分配地址的 DHCP 等服务也都使用这个端口。

关闭RPC服务弊端非常大,一般不轻易关闭。但为了避免遭受攻击,网络客户端却可以禁止远程登录电脑。

  • Win + R > 计算机配置\Windows 设置\安全设置\本地策略\用户权限分配 > 拒绝从网络访问这台计算机 > 指定拒绝访问的对象,建议指定为 Everyone (拒绝所有的访问)。

137、138

NetBIOS,为网路基本输入输出系统(Network Basic Input/Output System)的缩写,它提供了 OSI 模型中的会话层服务,让在不同电脑上运行的不同程序,可以在局域网网路中交换数据。 NetNBIOS 又完全依靠137、138端口支撑,因此如果停止了 NetBIOS ,就能够将137和138端口关闭。

  • 攻击者知道目标主机的IP地址,并向该地址的137端口发送一个连接请求时,就可能获得目标主机的相关名称信息。例如目标主机的计算机名称,注册该目标主机的用户信息,目标主机本次开机、关机时间等
  • 攻击者要是与目标主机的138端口建立连接请求的话,就能轻松获得目标主机所处的局域网网络名称以及目标主机的计算机名称。

关闭端口

控制面板\所有控制面板项\网络和共享中心 > 更改适配器设置 > XX网卡 > 属性 > Internet协议版本4(TCP/IPv4) > 属性 > 常规\高级 > WINS\NetBIOS设置 > 禁用 TCP/IP 上的 NetBIOS(s)

139、445

139 和 445 端口的通信过程是通过 SMB(服务器信息块)协议实现的,在通过网上邻居访问局域网中的共享文件或共享打印机时就能发挥作用。即根据DNS服务器中的名字列表信息,寻找需要通信的对象。如果顺利地得到对象的IP地址,就可以访问共享资源 。Windows 2000 以前版本的 Windows 使用 NetBIOS 协议解决各计算机名的问题。通过向WINS 服务器发送通信对象的 NetBIOS 名,取得IP地址。而Windows2000以后的版本所采用的 CIFS 则利用 DNS 解决计算机的命名问题。

  • 攻击者要是与目标主机的 139 端口建立连接的话,就很有可能浏览到指定网段内所有工作站中的全部共享信息,甚至可以对目标主机中的共享文件夹进行各种编辑、删除操作,倘若攻击者还知道目标主机的IP地址和登录帐号的话,还能轻而易举地查看到目标主机中的隐藏共享信息。
  • 同样地,攻击者与 445 端口建立请求连接,也能获得指定局域网内的各种共享信息。

关闭端口

  • 关闭139端口,与137和138端口一样,可以选择禁用 NetBIOS
  • 关闭共享服务器来关闭 445 端口
    • Win + R > services.msc > Server > 属性\常规 > 启动类型: 禁用 | 服务状态: 停止
      想关闭 445 端口则必须修改注册表
      Win + R > regedit >
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters
    • 新建 DWORD(64/32 位)值 命名为 SMBDeviceEnabled,值设置为0,重新系统。

参考

TCP和UDP的135、137、138、139、445端口的作用 ._路上的技术博客_51CTO博客

135、137、138、139和445端口 - 墨鱼菜鸡 - 博客园

关闭高危端口135、139、445& 关闭默认共享 - 海龙。 - 博客园

135、137、138、139、445等端口解释和关闭方法_月亮弯弯2013的博客-CSDN博客

-------------本文结束感谢阅读-------------

欢迎关注我的其它发布渠道