445端口是一个毁誉参半的端口,有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机,但也正是因为有了它,黑客们才有了可乘之机,他们能通过该端口偷偷共享你的硬盘,甚至会在悄无声息中将你的硬盘格式化掉!我们所能做的就是想办法不让黑客有机可乘,封堵住445端口漏洞。简单起见,本文中都以Window 2000为例,对于Window XP,步骤基本类似。 1.端口排除法 这种方法利用了Window 2000系统的端口排除功能将来自于445端口的所有信息包全部禁止掉,让“大恶人”们无法接近你的主机,下面是这种方法的具体实现步骤:
打开Window 2000系统的开始菜单,选中“设置”项下面的“网络和拨号连接”图标,并用鼠标右键单击之,从其后的快捷菜单中,单击“浏览”命令; 在接着出现的窗口中,右击“Internet连接”图标,选中“属性”选项,弹出Internet连接属性窗口;打开“常规”标签页面,将其中的“Internet协议(TCP/IP)”项选中,然后再单击一下“属性”按钮,打开Internet协议(TCP/IP)属性设置页面; 继续单击该页面中的“高级”按钮,打开高级TCP/IP设置窗口,选中其中的“选项”标签,并在该标签页面的“可选的设置”项中,将“TCP/IP筛选”选中,再单击一下对应的“属性”按钮,打开如图1所示的设置窗口; 由于445端口属于一种TCP端口,你可以在对应“TCP端口”的设置项处,将“只允许”项选中,激活下面的“添加”按钮,单击该按钮,在其后打开的“添加筛选器”窗口中,将必须用到的几个服务端口号码,都添加进来,而将用不到的445端口号码排除在外,设置完毕后,单击“确定”按钮,就可以让设置生效了。
2.服务关闭法 考虑到文件夹或打印机共享服务才会利用到445端口,因此直接将文件夹或打印机共享服务停止掉,同样也能实现关闭445端口的目的,让黑客无法破坏各种共享资源,下面是关闭文件夹或打印机共享服务的具体步骤:
打开Window 2000系统的开始菜单,选中“设置”项下面的“网络和拨号连接”图标,并用鼠标右键单击之,从其后的快捷菜单中,单击“浏览”命令; 在接着出现的窗口中,右击“Internet连接”图标,选中“属性”选项,弹出Internet连接属性窗口;打开“常规”标签页面,并在“此连接使用下列选定的组件”列表框中,将“Microsoft网络的文件或打印机共享”选项前面的勾号取消,如图2所示。最后单击“确定”按钮,重新启动系统,Internet上的“大恶人”们就没有权利访问到各种共享资源了。
当然,你也可以在不停止共享服务的条件下,剥夺“大恶人”们的共享访问权利;利用本地安全设置中的“用户权利指派”功能,指定Internet上的任何用户都无权访问本地主机,具体步骤为: 在Window 2000系统的开始菜单中,依次单击“程序” “管理工具” “本地安全设置”选项,接着展开“安全设置” “本地策略” “用户权利指派”文件夹,在对应的右边子窗口中选中“拒绝从网络访问这台计算机”选项,并用鼠标左键双击之; 打开如图3所示的设置窗口,单击“添加”按钮,从弹出的“选择用户或组”对话框中选中“everyone”选项,再单击“添加”按钮,最后单击“确定”,这样任何一位用户都无法从网络访问到本地主机。不过该方法“打击”范围比较广,造成的后果是无论是“敌人”还是“良民”,都无法访问到共享资源了,因此这种方法适宜在保存有绝对机密信息的服务器中使用。
3.注册表设置法 这种方法是通过修改注册表将用于文件夹或打印机共享的服务禁止掉,具体操作方法为:
在Window 2000系统的开始菜单中,单击“运行”命令,打开运行对话框,输入“regedit”注册表编辑命令,弹出注册表编辑界面;
在该窗口中,用鼠标逐一展开分支“HKEY_LOCAL_MACHINE\SYSTEM\Current-
ControlSet\Services\NetBT\Parameters”;在对应该分支的右边窗口中,新创建一个双字节值,并命名为“SMBDeviceEnabled”(如图4所示),再将其数值直接设置为“0”,完成设置后,退出注册表编辑界面,重新启动一下系统就OK了。 4.防火墙设置法 这种方法利用防火墙的安全过滤规则将通过445端口的任何数据包拦截下来。比方说,你可以启动“KV3000的反黑王防火墙”工具,单击“防火墙控制”处的“规则设置”按钮,在接着打开的规则设置窗口中,继续单击一下“增加规则”按钮,打开如图5所示的设置界面;