关闭Windows高危端口,彻底满足等级保护合规
在Windows系统中,一些端口由于其广泛使用和高风险性,常常被视为高危端口。为了满足网络安全等级保护基线要求,以下是需要特别关注的高危端口及其管理建议:
端口135、136、137、139和445与Windows操作系统的网络服务密切相关,特别是与NetBIOS和SMB(Server Message Block)协议有关。这些端口在企业网络中常常被利用进行文件共享、打印服务和远程过程调用,但同时也容易成为攻击目标。
端口135 (RPC)
- 服务:远程过程调用(RPC)
- 用途:RPC用于允许一个程序请求另一个程序在不同计算机上执行服务,常用于DCOM(分布式组件对象模型)。
- 风险:此端口容易受到DDoS攻击和其他远程利用攻击。
- 管理建议:
- 除非必要,关闭此端口。
- 使用防火墙规则限制外部访问,仅允许可信网络访问。
- 确保系统和应用程序的安全更新和补丁。
端口136
- 服务:未明确使用
- 用途:通常不分配给具体服务,但可能被一些特定的应用程序或恶意软件利用。
- 风险:未明确使用的端口可能被攻击者探测和利用。
- 管理建议:
- 一般情况下应关闭端口136,除非有特定应用需求。
- 通过防火墙规则限制未明确使用端口的访问。
端口137 (NetBIOS Name Service)
- 服务:NetBIOS名称服务
- 用途:主要用于NetBIOS名称解析,帮助计算机在网络中找到彼此。
- 风险:容易受到NetBIOS名称解析攻击和信息泄露风险。
- 管理建议:
- 在仅仅需要网络名字解析时启用。
- 使用防火墙规则限制外部访问,仅在本地网络中开放。
端口138 (NetBIOS Datagram Service)
- 服务:NetBIOS数据报服务
- 用途:用于NetBIOS网络的浏览和会话管理。
- 风险:容易受到信息泄漏和中间人攻击。
- 管理建议:
- 在仅仅需要网络会话管理时启用。
- 使用防火墙规则限制外部访问,仅在本地网络中开放。
端口139 (NetBIOS Session Service)
- 服务:NetBIOS会话服务
- 用途:主要用于NetBIOS会话服务,支持文件和打印共享。
- 风险:易受各种攻击,如暴力破解、信息泄露和远程代码执行。
- 管理建议:
- 如果不需要文件和打印共享,关闭此端口。
- 使用防火墙规则限制访问范围,仅允许可信网络访问。
端口445 (SMB)
- 服务:Server Message Block(SMB)
- 用途:用于文件共享、打印服务和远程管理。
- 风险:易受勒索软件、蠕虫和远程代码执行攻击(如EternalBlue漏洞)。
- 管理建议:
- 如果不需要SMB服务,关闭此端口。
- 启用SMB签名和加密,使用强密码策略。
- 使用防火墙规则限制访问范围,并通过VPN或其他安全方式进行远程访问。
综合管理措施
- 防火墙和ACL:使用防火墙和访问控制列表(ACL)限制对这些端口的外部访问。
- 定期更新:保持操作系统和应用程序的及时更新和补丁管理。
- 监控和审计:实施网络监控和日志审计,及时发现和响应异常行为。
- 网络分段:将关键服务和应用分离到不同的网络段,减少潜在的攻击面。
通过以上措施,可以有效降低这些高风险端口带来的安全隐患,提升网络整体安全性。
