让我们看看哪些进程打开了哪些端口,以 Windows 本身特有的端口为例:
C:\Windows\system32>netstat -anb
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
RpcEptMapper
[svchost.exe]
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
Can not obtain ownership information
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
[wininit.exe]
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
eventlog
[svchost.exe]
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING
Schedule
[svchost.exe]
TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING
[services.exe]
TCP 0.0.0.0:1036 0.0.0.0:0 LISTENING
[lsass.exe]
这些端口也对 IPv6 地址开放[::],我相信这意味着监听任意 IPv6 地址。
135:远程过程调用:为什么这些是必要的吗?我不想让别人调用某些东西。
445:NetBIOS/SMB:我没有使用这个并试图禁用它,但端口仍然在监听......
1025:NFS 或 IIS:也许是 SMB?因为我的 IIS 相关服务被禁用了。
1026:远程过程调用,DCOM:由事件日志保持打开,原因与 135 相同。
1027:IIS:但是为什么在IIS相关服务被禁用后,这个端口仍然会出现?
1028:NFS 或 IIS:原因与 1025 相同。
1036:星云安全段传输协议:这是做什么用的?似乎是一个随机端口……
因此,我的问题是:
我相信我不需要任何这些端口,有没有办法禁用它们全部?
如果您认为不应禁用端口,您能解释一下原因吗?
如果您认为某项服务不应该被禁用,您还能向我解释如何禁用该端口吗?
我并不是要求防火墙阻止这些端口,而是想通过注册表设置来禁用它们。
答案1
端口 135:禁用 RPC 服务(在“服务”页面下)
端口 445:在网络属性中禁用 NetBIOS,或者通过运行(以管理员身份):https://github.com/hvs-consulting/disable-netbios
1024 以上的端口:就不用担心了。
您在这里的风险状况如何?无论如何,您都希望您的边缘路由器/防火墙能够阻止所有这些,那么您只担心您的内部网络吗?