网络安全攻防：Windows系统安全之端口安全

Delina

原文链接：网络安全攻防：Windows系统安全之端口安全

1. 常见的端口


20端口：FTP数据传输，FTP服务器使用TCP20端口主动连接到客户端进行数据的传输。

21端口：FTP消息控制，被动模式下，FTP客户端连接FTP服务器的时候，会先连接服务器的 21 端口进行协商，协商的内容包括服务器打开哪个端口来进行数据传输，如果客户端使用主动模式，则客户端告诉服务器自己打开哪个端口，等待FTP服务器用20端口连过来进行数据传输。

22端口：SSH连接，SSH连接比Telnet这种明文传输数据的方式要安全得多，Linux系统默认开放TCP22端口用于系统的远程管理。

23端口：Telnet使用的端口，在Windows命令提示符下使用“Telnet+服务器IP+端口”的方式可以进入远程主机对应的端口。例如，telnet pop.qq.com 110端口之后就可以输入对应的命令来操作邮箱里的邮件。Telnet也可以用来测试主机是否打开对应端口。

25端口：SMTP服务的传输邮件端口，客户端发送邮件以及服务器转发邮件都是通过远程主机的25端口发送数据。

53端口：DNS服务器开放这个端口为客户端提供域名解析服务。

80端口：WEB服务，一般提供网页服务。

110端口：POP3服务，收取电子邮件的端口。

135端口：远程过程调用（RPC），很多服务都依靠这个服务。

139端口：Windows文件和打印机共享，可以用于共享文件。

143端口：IMAP服务，IMAP用于接收邮件，和POP3相比，IMAP所提供的功能更丰富。

389端口：LADP协议（轻量目录访问协议）的端口。

443端口：用于HTTPS（加密的HTTP连接），提供安全的网站服务。

995端口：加密的POP3连接。

3389端口：远程桌面连接服务，默认情况下系统管理员用户具有远程登录的权限，如果设置不当，GUEST用户也可以被设置成允许登录，这样系统就暴露在了危险之下。

以上提到的都是一些常用到的端口，很多服务的默认端口也可以被改变，如 80 端口可以在服务器配置中修改端口，远程桌面连接的 3389 端口也可以通过注册表修改，或使用其他端口转发工具来实现。

2. 修改远程登录的端口

微软默认的服务器远程端口是3389，这是被很多黑客利用的端口，因此，修改远程登录端口，可以一定程度降低系统被攻击者攻破的风险。

（1）打开注册表：运行regedit命令。

（2）找到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]，如图1所示。
​
图1  查找TCP端口

（3）双击右边 PortNumber，选择“十进制”，更改值为6666，单击确定。如图2所示。
​
图2  修改PortNumber值

（4）然后找到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]，如图3所示。
​
图3  查找RDP-TCP端口

（5）双击右边 PortNumber，选择“十进制”，更改值为6666，单击确定，如图4所示。
​
图4  修改端口值

（6）然后需要在防火墙设置一下开放刚刚改好的6666端口。新建入站规则，如图5所示。
​
图5  新建入站规则

（7）选择自定义规则。

（8）选择TCP和端口号，如图6所示。
​
图6  选择TCP和端口号

（9）选择任意IP地址。

（10）选择允许连接。

（11）重启服务器，原来的端口 3389 已经不能登录了，改用新的 6666 端口可以正常远程登录。

3. 关闭135和139端口

关闭135端口操作如下。

（1）打开组件服务，输入dcomcnfg。

（2）选择组件服务属性，如图7所示。
​
图7  选择组件服务属性

（3）关闭默认属性中的在此计算机上启用分布式，如图8所示。
​
图8  关闭“在此计算机上启用分布式”

（4）移除默认协议中的面向连接的TCP/IP，如图9所示。
​
图9  移除“面向连接的TCP/IP”

关闭139端口操作如下。

（1）打开网络和共享中心，选择本地连接，如图10所示。
​
图10  打开本地连接

（2）选择本地连接Internet协议版本4的属性，如图11所示。
​
图11  选择TCP/IPv4属性

（3）选择高级，然后选择WINS，然后禁用，如图12所示。
​
图12  禁用TCP/IP上的NetBIOS