WINDOWS 2000 & winxp 下關閉端口的方法

轉: http://www.cnblogs.com/pierre0505/articles/581361.html

Windows 2000下關閉端口的方法：
Win 2000中每一項服務都對應相應的端口，比如眾如周知的WWW服務的端口是80，smtp是25，ftp是21，Win 2000安裝中默認的都是這些服務開啟的。對于個人用戶來說確實沒有必要，關掉端口也就是關閉無用的服務。一項服務到底有沒有用，就要根據自己的需要自己來判斷啦。

　　“控制面板”的“管理工具”中的“服務”中來配置。

　　關閉7.9等等端口：關閉Simple TCP/IP Service，支持以下 TCP/IP 服務：Character Generator， Daytime， Discard， Echo， 以及 Quote of the Day。 

　　關掉21端口：關閉FTP Publishing Service，它提供的服務是通過 Internet 信息服務的管理單元提供 FTP 連接和管理。
　　關掉23端口：關閉Telnet服務，它允許遠程用戶登錄到系統并且使用命令行運行控制臺程序。

　　關掉25端口：關閉Simple Mail Transport Protocol (SMTP)服務，它提供的功能是跨網傳送電子郵件。

　　關閉80口：關掉WWW服務。在“服務”中顯示名稱為"World Wide Web Publishing Service"，通過 Internet 信息服務的管理單元提供 Web 連接和管理。

　　關閉默認共享：在Windows 2000中，有一個“默認共享”，這是在安裝服務器的時候，把系統安裝分區自動進行共享，雖然對其訪問還需要超級用戶的密碼，但這是潛在的安全隱患，從服務器的安全考慮，最好關閉這個“默認共享”，以保證系統安全。方法是：單擊“開始/運行”，在運行窗口中輸入“Regedit”，打開注冊表編輯器，展開“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Lanmanworkstation\parameters”，在右側窗口中創建一個名為“AutoShareWks”的雙字節值，將其值設置為0，(Win2000 專業版 Win XP);[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000 (win2000 server、win2003 server)這樣就可以徹底關閉“默認共享”。(對了記住在DOS下運行net share c$Content$nbsp;/del，有幾個默認共享就執行幾次，可別告訴我這不會嘍：）

關閉139端口：139端口是NetBIOS　Session端口，用來文件和打印共享，注意的是運行samba的unix機器也開放了139端口，功能一樣。關閉139口聽方法是在“網絡和撥號連接”中“本地連接”中選取“Internet協議(TCP/IP)”屬性，進入“高級TCP/IP設置”“WINS設置”里面有一項“禁用TCP/IP的NETBIOS”，打勾就關閉了139端口。

　　對于個人用戶來說，可以在各項服務屬性設置中設為“禁用”，以免下次重啟服務也重新啟動，端口也開放了。

　　關閉445端口：修改注冊表，添加一個鍵值

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"SMBDeviceEnabled"=dword:00000000

　　關閉終端服務：在Windows2000 Sever版中打開“我的電腦”→“控制面板”→“ 添加/刪除程序”→“添加刪除Windwos組件”，把其中的“終端連接器”反安裝即可！

　　修改終端服務的默認端口：

　　服務器端： 打開注冊表，在“HKLM\SYSTEM\Current\ControlSet\Control\Terminal Server\Win Stations”里找到類似RDP-TCP的子鍵，修改PortNumber值。

　　客戶端：按正常步驟建一個客戶端連接，選中這個連接，在“文件”菜單中選擇導出，在指定位置會生成一個后綴為.cns的文件。打開該文件，修改“Server Port”值為與服務器端的PortNumber對應的值。然后再導入該文件（方法：菜單→文件→導入），這樣客戶端就修改了端口。

　　禁止:IPC$空連接 

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001

　　記住把服務server禁止嘍~~~ipc$默認共享刪除~~~~這樣重啟后才有效嘍~~~

　　關閉不必要的服務，例如Messenge服務，遠程注冊表訪問服務，Telnet服務，當然關閉端口可以用黑基下的防火墻如blackice等來屏掉，或者用ipsec管理策略來禁止這些端口~~~大家在禁止一定要想好或先了解一下被禁用端口的作用嘍，要不它有可能會影響你的部份操作嘍，希望能對大家有所幫助。

WinXP下關閉端口的方法：
WinXP作為一個被廣泛使用的系統，現在已經受到了越來越多攻擊者的“青睞”。當然最簡單的防范方法是裝個網絡防火墻。不過在沒有防火墻時，我們有什么辦法呢？關閉WinXP中的無用端口可以讓系統安全很多。

一、找出自身開放的端口

掃描端口，然后找漏洞是攻擊者入侵的基本思路。可以說，機器上開放的端口越多，攻擊者入侵的機會就越大，因此我們可以通過關閉一些我們不用的端口來提高電腦的安全性。那如何知道我們的WinXP開放了哪些端口呢？我們可以用命令“Netstat”來查看系統中開放的端口。

我們需要用到這個命令的兩個參數：-a、-n。參數-a顯示當前所有連接和偵聽端口，而參數-n以數字格式顯示地址和端口號（而不是嘗試查找名稱），兩者可以結合起來使用：netstat-an，就能查看當前端口的開放情況。通過這個命令，如果我們發現一個異常的端口號在監聽，可以先去網上查找常見木馬的端口號對照一下，如果發現有木馬使用的端口，就應該用殺除木馬的軟件檢查系統了。

二、關閉無用端口

知道怎么查看機器的端口情況之后，接下來一個問題是，哪些端口是必須留用的，哪些端口是可以關閉的？這個問題稍微復雜一點，因為除了WinXP默認開放的135、137、138、139和445，有些跟網絡有關的軟件需要使用到一些端口，最常用的比如QQ使用4000端口。這里筆者把情況想像成最簡單：一臺只需要瀏覽網頁的電腦。那么針對這個系統，我們自己來配置一下以提高安全性。

1.關閉軟件開啟的端口。可以打開本地連接的“屬性”→“Internet協議（TCP/IP）”→“屬性”→“高級”→“選項”→“TCP/IP篩選屬性”，然后都選上“只允許”。請注意，如果發現某個常用的網絡工具不能起作用的時候，請搞清楚它在你主機所開的端口，然后在“TCP/IP篩選”中添加相應的端口。

2.禁用NetBIOS。打開本地連接的“屬性”→“Internet協議（TCP/IP）”→“屬性”→“高級”→“WINS”→“禁用TCP/IP上的NetBIOS”。這樣一來就關閉了137、138以及139端口，從而預防IPC＄入侵。

3.開啟WinXP自帶的網絡防火墻。打開本地連接的“屬性”→“高級”，啟用防火墻之后，單擊設置可以設置系統開放關閉哪些服務。一般來說，這些服務都可以不要，關閉這些服務后，這些服務涉及的端口就不會被輕易打開了。

4.禁用445端口。向注冊表“HKEY＿LOCAL＿MACHINE＼SYSTEM＼CurrentControlSet＼Services＼NetBT＼Parameters”中追加名為“SMBDeviceEnabled”的DWORD值，并將其設置為0，就OK了。

通過以上設置，你的WinXP系統的安全性將大大提高。要補充的是，文章是針對那些直接撥號上網的機器，而不包括通過網關代理上網的機器。