Làm cách nào để tắt tính năng mở cổng 445 trên máy chủ windows?

Tôi đang cố gắng vô hiệu hóa các dịch vụ mà tôi không cần, để cải thiện độ trễ và cải thiện bảo mật.

Tôi thấy rằng cổng 445 vẫn mở bằng cách thực hiện telnet trên localhost và cổng 445. Vì tôi không cần cổng 445, tôi muốn đóng nó hơn.

Làm cách nào để biết ai đang nghe trên cổng 445 và làm cách nào để tắt nó?

Lưu ý rằng tôi không muốn chặn cổng 445 bằng cách sử dụng tường lửa hoặc một cái gì đó tương tự, nhưng muốn vô hiệu hóa chương trình đã mở cổng 445.

Sau đây chỉ là trích dẫn của hai nguồn khác nhau mà tôi đã sử dụng để vô hiệu hóa thành công cổng 445 trên các máy Windows XP. Tôi đã đóng cổng 445 và 135, 137 - 139, vì vậy tôi đã làm theo tất cả các hướng dẫn trong bài viết và nó đã làm việc cho tôi.

Thông tin chung về cổng 445 (liên kết lưu trữ)

Trong số các cổng mới được Windows 2000 sử dụng là cổng TCP 445 được sử dụng cho SMB qua TCP. Giao thức SMB (Server Message Block) được sử dụng trong số những thứ khác để chia sẻ tệp trong Windows NT / 2000 / XP. Trong Windows NT, nó chạy trên NetBT (NetBIOS trên TCP / IP), sử dụng các cổng nổi tiếng 137, 138 (UDP) và 139 (TCP). Trong Windows 2000 / XP, Microsoft đã thêm khả năng chạy SMB trực tiếp qua TCP / IP mà không cần thêm lớp NetBT. Đối với điều này, họ sử dụng cổng TCP 445.

Với NetBIOS đơn giản nhất trên mạng LAN của bạn có thể là một điều ác cần thiết cho phần mềm cũ. Tuy nhiên, NetBIOS trên mạng LAN của bạn hoặc qua Internet là một rủi ro bảo mật rất lớn (đọc ngu ngốc ...). Tất cả các loại thông tin, chẳng hạn như tên miền, nhóm làm việc và tên hệ thống của bạn, cũng như thông tin tài khoản đều có thể nhận được thông qua NetBIOS. Đó thực sự là lợi ích tốt nhất của bạn để đảm bảo rằng NetBIOS không bao giờ rời khỏi mạng của bạn.

Nếu bạn đang sử dụng máy nhiều homed, tức là nhiều hơn 1 card mạng, thì bạn nên tắt NetBIOS trên mọi card mạng hoặc Kết nối quay số trong thuộc tính TCP / IP, đó không phải là một phần của mạng cục bộ của bạn.

Cách tắt cổng 445

Để tắt Cổng 445:

Thêm khoá đăng ký sau:

Khóa: HKEY_LOCAL_MACHINE \ HỆ THỐNG \ CurrentControlset \ Services \ NetBT \ Tham số Tên: SMBDeviceEnables Loại: DWORD (REG_DWORD) Dữ liệu: 0

Đừng quên khởi động lại máy tính của bạn sau khi vô hiệu hóa các cổng trên để có hiệu lực. Ngoài ra, để kiểm tra xem các cổng đó có bị vô hiệu hóa hay không, bạn có thể mở một dấu nhắc lệnh và nhập netstat -an để xác nhận rằng máy tính của bạn không còn nghe các cổng đó nữa.

(các khóa đăng ký khác với Windows 7 trở đi, xem bài viết này của Microsoft )

Tôi muốn mở rộng câu trả lời này

Cổng 445 trong Windows theo mặc định được sử dụng bởi dịch vụ "Máy chủ" (tên thật là "lanmanserver") để cung cấp chia sẻ tệp qua giao thức SMB. Để ngăn Windows nghe trên cổng này, bạn cần dừng và tắt dịch vụ này.

1. Bạn cần có quyền Quản trị viên hoặc có thể nâng lên thành quản trị viên.
2. Mở dấu nhắc lệnh với tư cách Quản trị viên.
3. Loại sc stop lanmanserver, nhấn Enter.
4. Vì một số lý do tại thời điểm này, cổng vẫn sẽ hoạt động (theo kinh nghiệm của tôi, đã làm điều này ngày hôm nay). Bạn cần khởi động lại hệ thống để ngăn không cho nó nghe trên cổng, nhưng dịch vụ sẽ khởi động lại sau khi khởi động lại, vì vậy bạn cần phải vô hiệu hóa nó để bắt đầu:
5. Loại sc config lanmanserver start=disabled, nhấn Enter.
6. Khởi động lại.
7. Xác minh trong dấu nhắc lệnh với netstat -n -a | findstr "LISTENING" | findstr ":445", nó sẽ in một dòng trống, có nghĩa là không có gì đang nghe trên cổng. (lệnh có thể khác nhau đối với các phiên bản Windows không phải tiếng Anh, không chắc chắn, bạn có thể cần thay đổi "LISTENING" thành một biến thể được dịch)

Có nhiều lý do khác nhau để giải phóng cổng 445 trong Windows, một trong số đó là khá thú vị và đó là cho phép SMB tạo đường hầm thông qua SSH - khi Windows không sử dụng cổng mà bây giờ bạn có thể yêu cầu SSH của Putty / Cygwin sử dụng nó và chuyển tiếp đến một máy chủ từ xa thông qua một kết nối an toàn - sau đó bạn có thể truy cập các tệp từ xa một cách an toàn thông qua \\localhost.

Start-run-services.msc, vô hiệu hóa dịch vụ Máy chủ.

Sử dụng TCPView để tìm hiểu chương trình nào đang nghe trên cổng 445.

Nếu người nghe là svchost.exe, thì đây là một dịch vụ hệ thống. Để đoán xem cái nào, hãy ghi lại PID của nó, đi đến Trình quản lý tác vụ, tab Dịch vụ và nhấp vào PID để sắp xếp theo nó. Sẽ có một số dịch vụ với PID này và tất cả chúng đều là ứng cử viên. Nếu bạn không thể quyết định cái nào, hãy đăng tên của các dịch vụ ứng cử viên để chúng tôi có thể nhận xét về chúng.

Xin lưu ý rằng một cổng mở không cần phải có người nghe. Một cổng được gọi là "mở" khi nó không bị chặn bởi tường lửa.

Cổng 445 = SMB = Chia sẻ tệp và máy in. Vì vậy, vô hiệu hóa chia sẻ tập tin trong các tùy chọn kết nối mạng để đóng cổng.

PowerShell:

$netBTParametersPath = "HKLM:\SYSTEM\CurrentControlSet\Services\NetBT\Parameters" 
IF(Test-Path -Path $netBTParametersPath) { 
    Set-ItemProperty -Path $netBTParametersPath -Name "SMBDeviceEnabled" -Value 0 
} 
Set-Service lanmanserver -StartupType Disabled 
Stop-Service lanmanserver -Force

Thêm chi tiết Cách tắt tính năng mở cổng 445 trên windows bằng PowerShell