[关闭]
@websec007 2017-05-16T09:17:11.000000Z 字数 2076 阅读 4628

WINDOWS 高危端口加固实践

Windows安全加固

副标题:关闭TCP135/ UDP137 /UDP138 /TCP139/ TCP445端口


一些windows常用端口的安全加固方法,以windows 2003系统为例:


1、135端口屏蔽

TCP 135端口的加固,我们可以使用IP安全策略下发基于TCP 135为目标的端口访问控制策略,具体配置请
参加如下配置步骤

1、运行gpedit.msc计入组策略配置
Markdown
2、找到IP安全策略
Markdown
3、右击“IP安全策略”空白处,创建新的“IP安全策略向导”
Markdown
4、设置IP安全策略名称,点击下一步;
Markdown
5、去除“激活默认响应规则”,点击下一步;
Markdown
6、点击“完成”,进入下一步配置;
Markdown
7、去除“使用"添加向导"”复选框,点击“添加”进入IP筛选列表配置;
Markdown
8、去除“使用添加向导”复选框,点击添加;
Markdown
9、源地址选择“任何IP地址”,目标地址选择“我的IP地址”,去除“镜像”复选框,点击“协议”选项卡
Markdown
10、在协议选项卡下,我们配置协议类型为“TCP”,从此端口,到此端口都填写135,然后确认;
Markdown
11、再次添加TCP 139
Markdown
12、源地址选择“任何IP地址”,目标地址选择“我的IP地址”,去除“镜像”复选框,点击“协议”选项卡
Markdown
13、仍然在协议选项卡下,选择协议类型为“TCP”,从此端口,到此端口都填写为139,然后确认;
Markdown
14、点击确定;
Markdown
15、选中“新IP筛选器列表”,然后点击“筛选器操作”选项卡;
Markdown
16、在“筛选器操作”选项卡下,我们去除“使用"添加向导"”复选框,点击添加;
Markdown
17、在安全措施选项卡中,我们选项“阻止”动作应用和确认;
Markdown
18、选中“新筛选器操作”点击应用;
Markdown
19、点击确认;
Markdown
20、选中“新IP安全策略”右击,选中指派,下发策略;
Markdown
21、配置完成;
Markdown

相关配置方法可参考:http://blog.csdn.net/wangjialiang/article/details/7241875

本篇文档以下的端口加固,同样可以采用 “135端口IP安全筛选的方法”进行相应的加固。



2、137,138,139端口加固

TCP 139提供的是SMB 文件与打印机共享服务,在服务器不使用的共享服务的情况想,建议关闭此“SMB文件共享服务”,具体方法如下。

  1. 第一步:关闭netbios服务
  2. 右键网上邻居->属性->本地连接属性->internet协议(tcp/ip)->高级->wins->禁用tcp/ip上的netbios
  1. 第二步:关闭“microsoft网络的文件和打印机共享”
  2. 右键网上邻居-属性-本地连接属性-去掉“microsoft网络的文件和打印机共享”前的勾

Markdown



3、445端口加固

TCP 445 为我们提供的是SMB文件共享服务,在服务器上没有使用文件共享服务的情况,建议直接使用修改注册表的方式对本服务进行关闭,具体方法如下。

  1. 开始-> 运行-> regedit-> hkey_local_machine/system/currentcontrolset/services/netbt/parameters
  2. 下新DWORDSMBDeviceEnabled,数值为0,然后退出重启。
  3. 我们可以使用关键字“EnableLMHOSTS”,直接查找netbt服务的位置,然后在“parameters”直接添加 DWORD值为0的“SMBDeviceEnabled”项

Markdown
Markdown



4、3389端口加固

TCP 3389 众所周知,起是为我们提供远程桌面服务的,在无法关闭此服务的情况下,针对本次方程式工具箱的工具,可以建议关闭“智能卡”选项服务,具体方法如下。

  1. 右键网上邻居-属性-本地连接属性-验证,去除“启用此网络的 IEEE802.1X验证”勾选项。

Markdown


5、主机加固小结

在进主机加固的过程中(无论是windows还是Linux系统),针对端口下发访问控制和关闭不必要的高危服务,其是比较贴近实际应用与常见的安全加固方法。而启用主机防火墙是大家第一个能够想到的端口访问控制下发的方法,但是在实际的生产环境中,往往无法明确当前应用服务的实际使用端口情况,我们就不能盲目的启用主机防火墙,盲目的启用主机防火墙后,可能由于对正常的业务系统具体使用了那些服务端口不了解,而错误的下发了访问控制,最终导致正常业务的无法使用,这是不被允许的。当然,如果我们明确了业务系统的具体服务端口后,启用防火墙是最有效也是最安全的主机加固实现方式。

所以,我们这里主要总结windows主机的实际生产环节中较为有效的主机加固实现方法。

我们在明确主机上存在“不在用的”或者“存在高危漏洞的”服务,我们首先可以考虑将本服务关闭,从而实现主机的加固。具体的服务关闭方式,有通关想配置或者修改注册表来实现,相关常见windows高危端口服务关闭方式可以参加第“2、3、4”节内容。

对于windows主机,我们在无法关闭具体服务的情况下,同时我们又不能启用防火墙来实现端口访问控制是,我们可以考虑下发“IP安全策略”,来实现端口的访问控制,具体方法可以参见“135端口的屏蔽”一节。

添加新批注
在作者公开此批注前,只有你和作者可见。
回复批注