Windows系统高危端口关闭指南:135-139及445端口安全防护实践

2026年3月19日 互联网

一、高危端口安全风险解析

1.1 端口功能与潜在威胁

Windows系统默认开放的135-139及445端口属于核心网络服务端口:

  • 135端口:RPC(远程过程调用)服务入口,用于跨进程通信
  • 137-138端口:NetBIOS名称解析与数据报服务
  • 139端口:SMB over NetBIOS会话服务
  • 445端口:SMB over TCP直接连接服务

这些端口在局域网文件共享、打印机服务等场景中发挥重要作用,但同时也成为网络攻击的主要入口。2017年WannaCry勒索病毒正是通过445端口的MS17-010漏洞实现全球传播,造成数百亿美元损失。

1.2 安全防护必要性

根据行业安全报告统计:

  • 未防护的445端口遭受攻击概率是其他端口的37倍
  • 开放135-139端口的系统感染蠕虫病毒的风险提升62%
  • 90%的勒索病毒攻击通过这些端口发起初始渗透

建议企业环境必须关闭这些端口,个人用户若无需局域网共享服务也应采取防护措施。

二、端口关闭方案对比

2.1 临时关闭方案(重启失效)

2.1.1 命令行快速关闭

  1. netsh advfirewall firewall add rule name="Block_445" dir=in action=block protocol=TCP localport=445
  2. netsh advfirewall firewall add rule name="Block_135-139" dir=in action=block protocol=TCP localport=135-139

适用场景:紧急处置已发现的攻击行为
局限性:系统重启后规则失效,需配合持久化方案

2.1.2 服务管理控制台

  1. 运行services.msc打开服务管理器
  2. 停止以下服务:
    • Server(服务依赖项需一并处理)
    • TCP/IP NetBIOS Helper
    • Remote Registry
  3. 将启动类型设为”禁用”

注意事项:可能影响正常业务功能,需进行兼容性测试

2.2 持久化防护方案

2.2.1 组策略配置(企业环境推荐)

  1. 运行gpedit.msc打开本地组策略
  2. 导航至: 
    1. 计算机配置 > Windows设置 > 安全设置 > 高级安全Windows防火墙
  3. 创建入站规则:
    • 协议类型:TCP
    • 本地端口:135-139,445
    • 操作:阻止连接
    • 配置文件:域/专用/公用全部勾选

2.2.2 注册表永久禁用

  1. 运行regedit打开注册表编辑器
  2. 导航至: 
    1. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
  3. 创建DWORD值SMBDeviceEnabled并设为0
  4. 重启系统生效

风险提示:注册表操作需备份,错误修改可能导致系统无法启动

三、实施步骤详解

3.1 前期准备工作

  1. 服务依赖检查

    1. sc queryex type= service state= all | findstr /i "135 139 445"

    记录依赖这些端口的服务列表

  2. 网络连通性测试

    1. test-netconnection 127.0.0.1 -port 445

    确认当前端口开放状态

  3. 备份重要数据:特别关注共享文件夹中的业务数据

3.2 分步实施流程

3.2.1 个人用户操作指南

  1. 控制面板配置

    • 打开”网络和共享中心”
    • 点击”高级共享设置”
    • 关闭”网络发现”和”文件和打印机共享”

  2. 防火墙规则强化

    1. netsh advfirewall set allprofiles state on
    2. netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound

3.2.2 企业环境部署方案

  1. 通过SCCM推送配置

    1. $rules = @("135","136","137","138","139","445")
    2. foreach ($port in $rules) {
    3.     New-NetFirewallRule -DisplayName "Block_Port_$port" `
    4.         -Direction Inbound -Protocol TCP -LocalPort $port `
    5.         -Action Block -Enabled True
    6. }

  2. IPSec策略实施

    • 创建筛选器列表阻止目标端口
    • 配置筛选器操作”阻止”
    • 建立IPSec策略关联筛选器

3.3 验证与监控

  1. 端口状态验证

    1. netstat -ano | findstr /i ":135 :139 :445"

    正常情况应无LISTENING状态

  2. 日志监控配置

    • 启用Windows防火墙日志(默认路径:%SystemRoot%\System32\LogFiles\Firewall\pfirewall.log)
    • 设置日志轮转策略(建议保留30天)

  3. 异常告警设置

    • 通过事件查看器配置自定义视图
    • 监控ID 4625(登录失败)和5157(连接被阻止)事件

四、特殊场景处理

4.1 必要服务保留方案

对于必须使用SMB协议的环境:

  1. 升级到SMB 3.1.1协议版本
  2. 限制访问IP范围: 
    1. New-NetFirewallRule -DisplayName "Allow_SMB_from_Trusted" `
    2.     -Direction Inbound -Protocol TCP -LocalPort 445 `
    3.     -RemoteAddress 192.168.1.0/24 -Action Allow

4.2 混合云环境配置

在云服务器场景中:

  1. 结合安全组规则实现多层级防护
  2. 配置网络ACL限制入站流量
  3. 启用流量镜像进行异常检测

4.3 旧系统兼容方案

对于Windows XP等不再支持的系统:

  1. 部署第三方防火墙软件
  2. 使用主机入侵防御系统(HIPS)
  3. 实施网络分段隔离

五、最佳实践建议

  1. 最小权限原则:仅开放业务必需端口
  2. 纵深防御体系:结合防火墙、IPS、终端防护等多层机制
  3. 定期安全评估:每季度进行端口扫描和漏洞检测
  4. 应急响应计划:制定勒索病毒等安全事件的处置流程
  5. 员工安全培训:提高对钓鱼邮件、恶意附件的防范意识

通过系统化的端口管理策略,可有效降低90%以上的网络攻击风险。建议企业用户建立标准化的安全基线,定期审计配置合规性,确保系统始终处于最佳防护状态。对于个人用户,保持系统更新和使用现代防火墙是基本的安全保障措施。

最新文章