Windows系统网络端口的安全防范

Windows系统网络端口的安全防范
汤建龙
【摘要】针对网络端口的安全性问题,分析了Windows系统默认开放网络端口的作用和安全性,介绍了查看开放网络端口和关闭默认网络端口的方法和过程,实现了Windows系统的网络安全.
【期刊名称】《沙洲职业工学院学报》
【年(卷),期】2010(013)002
【总页数】5页(P8-12)
【关键词】Windows;端口;网络服务;网络安全
【作者】汤建龙
【作者单位】沙洲职业工学院,江苏,张家港,215600
【正文语种】中文
【中图分类】TP393.08
Windows是目前Internet中一个被广泛使用的计算机操作系统，它在给人们带来操作直观、连网方便的同时也存在着一些安全隐患。

Windows系统中默认开放的网络端口给计算机病毒传播和黑客攻击开了一道方便之门，因此有必要了解Windows系统中默认开放的网络端口的作用，掌握常用网络端口的关闭方法，对自己的计算机系统进行安全防护，最终实现安全上网。

计算机“端口”是英文port的意译，是计算机与外界通讯交流的出口。

其中硬件领域的端口又称接口，如：USB端口、串行端口等。

软件领域的端口一般指网络
中面向连接服务和无连接服务的通信协议端口，是一种抽象的软件结构，包括一些数据结构和I/O（基本输入输出）缓冲区。

联网的计算机要能相互通信必须用同一种协议。

协议就是计算机通信的语言，计算机之间必须说同一种语言才能彼此通信。

Internet的通用语言是 TCP/TP，它是一组协议，它规定在网络的第四层传输层有两种协议 TCP、UDP。

端口就是这两个
协议打开的，端口分为源端口和目的端口，源端口是本机打开的，目的端口是正在和本机通信的另一台计算机的端口。

在Internet中，访问一个网站时就是在本机
开个端口去连网站服务器的一个端口。

在Windows系统下，当装好系统后默认就开放了很多网络端口。

查看自己的计算机系统开放了哪些网络端口有多种不同的方法，其中最常用的是利用系统命令netstat和专门的工具TCPView来进行查看。

在Windows系统中查看系统开放了哪些网络端口，可以利用系统自带的查看网络端口的命令netstat来完成。

打开 Windows系统“开始”菜单的“程序”中的“附件”中的“命令提示符”，在命令提示符窗口中输入“netstat –an”后回车。

其中-a参数表示显示所有连接和监听端口，-n参数表示以数字形式显示网络地址和端口号。

命令输入后显示的就是打开的网络端口，结果如下：
从显示结果可以知道本机默认开放了135，139，445的TCP端口和123，137，138，445，500，1900，4500的UDP端口，TCP端口都处于侦听状态，等待连接，但还没有被连接。

为了更好地实时分析网络端口，了解哪些程序开放了这些网络端口，可以用TCPView这个工具动态显示端口开放情况，该软件很小，只有93KB，而且是个
绿色软件，不用安装。

图1是TCPView的运行界面图，其中本地地址下显示的就是本机的IP地址和开
放端口。

TCPView还可以看出哪个端口是由哪个程序发起的，从图1可以看出
500，4500端口是由lsass.exe开放的，123，135，1900端口是由svchost.exe 开放的，137，138，139，445端口都是由System开放的。

目前常用的Windows系统在安装完后，系统中就已经开放了一些网络端口，这些网络端口是Windows系统默认的网络服务需要用到的。

对于一般个人用户而言，Windows系统默认的网络服务也不是必须的，而且开放了这些网络端口后给计算机系统带来了不同程度的安全隐患。

在不需要用到这些网络服务的情况下，可以关闭这些网络端口，提高计算机系统的安全性。

123端口是网络时间协议（NTP）端口，是UDP端口。

Windows系统默认开放此端口的作用是维护网络上的所有客户端和服务器的时间和日期同步。

有些蠕虫病毒可利用UDP 123端口进行传播。

禁止 123端口的影响是服务器不能进行时间和日期同步，与非服务器的普通用户无关，可以禁止。

关闭的方法是停止Windows time服务。

135端口是远程过程调用网络端口，是TCP端口。

Windows系统默认开放此端口的作用是为进行远程控制通信提供一种网络端口的映射功能。

因为漏洞太大，开放以后会被黑客利用，实现远程控制。

禁止 135端口的影响是不能进行远程管理，普通个人用户不需要，建议禁止，需要时再恢复。

135端口的关闭可以在 Windows系统“开始”菜单的“运行”中输入“dcomcnfg”打开“组件服务”窗口，在该窗口中点开“组件服务”中的“计算机”，在“我的电脑”上点右键选“属性”，切换到“默认协议”，删除“面向连接的TCP/IP”后重新启动计算机。

设置如图2所示。

也可通过注册表来修改：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM 的值改为“N”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\DCOM Protocols 中删
除“ncacn_ip_tcp”
137端口主要用于Windows系统“NetBIOS Name Service”（NetBIOS名称
服务），是UDP端口。

Windows系统默认开放此端口的主要作用是在局域网中
提供计算机的名字或IP地址查询服务。

138端口的主要作用就是Windows系统
中提供NetBIOS环境下的计算机名浏览功能，也是UDP端口。

139端口主要用
于windows系统文件和打印机共享和SAMBA服务，是TCP端口。

黑客利用137，138端口获得目标主机的相关名称信息（机器名，工作组/域名，当前登陆
用户名等），利用139端口可以轻而易举地入侵Windows系统。

禁止 137，138，139端口的影响是不能连接网上邻居共享文件和打印机，普通个人用户可不用，建议禁止，需要时再恢复。

关闭137，138，139端口的方法在Windows系统桌面的“网上邻居”上点右键选“属性”，在“网络连接”窗口中的“本地连接”上点右键选“属性”，在“本地连接属性”窗口中选“Internet
协议TCP/IP”后点“属性”，在“Internet协议（TCP/IP）属性”窗口中点“高级”，在“高级 TCP/IP设置”窗口中选“WINS”，在“NetBIOS设置”中选择“禁用TCP/IP上的NetBIOS”，设置如图3所示。

445端口是Microsoft-DS允许远程用户连接端口，是TCP端口，也是UDP端口。

Windows系统默认开放此端口的主要作用也是提供局域网中文件或打印机共享服务。

不过该端口是基于CIFS协议（通用因特网文件系统协议）工作的，而 139端口是基于 SMB协议（服务器协议族）对外提供共享服务。

如果Windows服务器允许NetBIOS，那么UDP端口137，138，TCP端口139，445将开放。

客户端在连接服务器时首先和服务器445端口连接，如能连上就用445端口提供共享服务，如果445端口连不上就用139端口和服务器连接共享。

如果Windows服务
器NetBIOS被禁止，那么只有445端口开放等待客户端连接。

黑客也常利用这个端口入侵Windows系统。

禁止 445端口的影响是无法共享网上邻居文件和网上邻居打印功能，普通个人用
户可不用，建议禁止，需要时再恢复。

445端口的关闭可以通过修改注册表来实现：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Param eters\TransportBindName删除缺省的“\Device\”，留一个空值。

500端口是IPsec Internet 安全关联和密钥管理协议端口，是TCP端口。

Windows系统默认开放此端口的主要作用是提供对所有需要安全认证的程序进行安全认证。

由于存在Lsass漏洞，“震荡波”病毒专门利用此端口进行传播和攻击。

4500端口是IPsec 网络地址转换穿越NAT-T端口，是UDP端口。

Windows系
统默认开放此端口的主要作用是在NAT环境下对IPsec的支持。

禁止500，4500端口的影响是无法通过网络对IPsec进行安全认证，普通个人用户不需要，建议禁止，需要时再恢复。

关闭的方法是停止IPSEC Services服务。

1900端口是SSDP Discovery Service 网络端口，是TCP端口。

Windows XP系统中默认开放UDP 1900端口是windows XP和UPnP设备（比如支持UPnP的路由器）通信用的，用来交换设备信息。

在Windows防火墙设置里选中“Upnp 支持”复选框后，就表示防火墙允许这种数据交换。

黑客常利用该端口进行拒绝服务攻击。

禁用1900端口的影响是Windows XP无法和UPnP设备交换信息，如果网络中
没有UPnP设备，建议禁止，需要时再恢复。

关闭1900端口的方法是停止SSDP Discovery Service服务。

关于计算机的安全有很多方面要设置，对于一般用户来说，首先要安装防病毒软件，打开防病毒软件的实时监控功能，并及时升级病毒库。

其次安装网络防火墙，有些防病毒软件也带有网络防火墙功能，可以开启防病毒软件的网络防火墙功能。

如果防病毒软件没有网络防火墙功能，需要启动Windows系统自身的防火墙或安装专
业的防火墙软件。

再次经常对Windows系统进行漏洞扫描，一旦发现漏洞及时去微软网站下载漏洞补丁进行修复。

最后经常用netstat命令或Tcpview软件查看
系统开放的网络端口和连接的端口，防止病毒和黑客对系统的入侵。

如果把这几个方面都做好了，Windows系统在安全性上就有了很大的提高，可以实现安全上网。

【相关文献】
[1] Andy Walker. Windows安全防范手册[M]. 北京: 机械工业出版社, 2009.
[2] 郑斌. 黑客攻防入门与进阶[M]. 北京: 清华大学出版社, 2009.
[3] 徐宇杰. TCP/IP协议深入分析[M]. 北京: 清华大学出版社, 2009.。