一、关闭危险端口操作指南
针对常见的危险端口(如TCP 135/139/445,UDP 137/138),建议采用以下两种防护方式:
| 端口号 | 协议 | 关联服务 |
|---|---|---|
| 135 | TCP | RPC服务 |
| 137-138 | UDP | NetBIOS服务 |
| 445 | TCP | SMB文件共享 |
方法1:通过防火墙禁用端口
- 进入「控制面板」→「Windows 防火墙」→「高级设置」
- 在入站规则中新建规则,选择「端口」类型
- 输入需禁用的端口号(多个端口用英文逗号分隔)
- 选择「阻止连接」并应用所有配置文件
方法2:IP安全策略配置
- 使用secpol.msc打开本地安全策略
- 创建新策略并添加阻断规则
- 设置协议类型和端口范围
- 指派策略后立即生效
二、防火墙基础配置规范
建议按以下流程完成防火墙基础配置:
- 启用所有配置文件的防火墙功能
- 将默认入站/出站策略设为「阻止」
- 创建白名单规则开放必要端口(如远程桌面3389)
- 统一三个配置文件的策略设置
典型业务端口开放示例:
- Zabbix监控:10050/TCP
- OpenVPN:1194/UDP
- 远程桌面:自定义端口(建议修改默认3389)
三、系统安全加固措施
- 修改默认管理员账户名称,设置18位以上复杂密码
- 通过注册表修改远程桌面默认端口:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp - 配置NTFS权限:
- 系统盘仅保留administrators和system权限
- 用户目录移除users组写入权限
- 使用
net share命令删除默认共享
四、端口配置验证与测试
完成配置后建议执行以下验证:
- 使用
telnet 服务器IP 端口号测试端口连通性 - 通过
netstat -ano查看监听端口状态 - 使用Nmap等工具进行全端口扫描
- 检查防火墙日志中的拦截记录
通过综合运用防火墙策略、端口管理和系统加固措施,可显著提升Windows Server 2008的网络安全防护能力。建议定期审查防火墙规则,及时更新安全补丁,并结合第三方安全工具构建多层防御体系。
