windows 2003伺服器安全配置之關閉不用連接埠

預設情況下，Windows有很多連接埠是開放的，

你上網的時候，網路病毒和駭客可以通過這些連接埠連上你的電腦。
為了讓你的系統變為銅牆鐵壁，應該封閉這些連接埠，
主要有：TCP 135、139、445、593、1025 連接埠和 UDP 135、137、138、445 連接埠，
一些流行病毒的後門連接埠（如 TCP 2745、3127、6129 連接埠），
以及遠程服務訪問連接埠3389。

下面介紹如何在WinXP/2000/2003下關閉這些網路連接埠：

第一步，點擊“開始”菜單/設定/控制台/管理工具，
雙擊開啟“本地安全性原則”，選中“IP 安全性原則，在本機電腦”，
在右邊窗格的空白位置右擊滑鼠，彈出捷徑功能表，選擇“建立 IP 安全性原則”
（如右圖），於是彈出一個嚮導。在嚮導中點擊“下一步”按鈕，為新的安全性原則命名；
再按“下一步”，則顯示“安全通訊請求”畫面，在畫面上把“啟用預設相應規則”左邊的鉤去掉，
點擊“完成”按鈕就建立了一個新的IP 安全性原則。

第二步，右擊該IP安全性原則，在“屬性”對話方塊中，
把“使用添加嚮導”左邊的鉤去掉，
然後單擊“添加”按鈕添加新的規則，
隨後彈出“新規則屬性”對話方塊，
在畫面上點擊“添加”按鈕，
彈出IP篩選器列表視窗；在列表中，
首先把“使用添加嚮導”左邊的鉤去掉，
然後再點擊右邊的“添加”按鈕添加新的篩選器。

第三步，進入“篩選器屬性”對話方塊，
首先看到的是定址，源地址選“任何 IP 位址”，
目標地址選“我的 IP 位址”；
點擊“協議”選項卡，
在“選擇協議類型”的下拉式清單中選擇“TCP”，
然後在“到此連接埠”下的文字框中輸入“135”，
點擊“確定”按鈕（如左圖），
這樣就添加了一個屏蔽 TCP 135（RPC）連接埠的篩選器，
它可以防止外界通過135連接埠連上你的電腦。

點擊“確定”後回到篩選器列表的對話方塊，
可以看到已經添加了一條策略，
重複以上步驟繼續添加 TCP 137、139、445、593 連接埠
和 UDP 135、139、445 連接埠，為它們建立相應的篩選器。

重複以上步驟添加TCP 1025、2745、3127、6129、3389 連接埠的屏蔽策略，

建立好上述連接埠的篩選器，最後點擊“確定”按鈕。

第四步，在“新規則屬性”對話方塊中，
選擇“新 IP 篩選器列表”，
然後點擊其左邊的圓圈上加一個點，
表示已經啟用，最後點擊“篩選器操作”選項卡。
在“篩選器操作”選項卡中，把“使用添加嚮導”左邊的鉤去掉，
點擊“添加”按鈕，添加“阻止”操作（右圖）：
在“新篩選器操作屬性”的“安全措施”選項卡中，
選擇“阻止”，然後點擊“確定”按鈕。

第五步、進入“新規則屬性”對話方塊，
點擊“新篩選器操作”，其左邊的圓圈會加了一個點，
表示已經啟用，點擊“關閉”按鈕，關閉對話方塊；
最後回到“新IP安全性原則屬性”對話方塊，
在“新的IP篩選器列表”左邊打鉤，
按“確定”按鈕關閉對話方塊。在“本地安全性原則”視窗，
用滑鼠右擊新添加的 IP 安全性原則，然後選擇“指派”。

於是重新啟動後，電腦中上述網路連接埠就被關閉了，
病毒和駭客再也不能連上這些連接埠，從而保護了你的電腦

135連接埠主要用於使用RPC（Remote Procedure Call，遠端程序呼叫）協議並提供DCOM（分散式元件物件模型）服務，通過RPC可以保證在一台電腦上啟動並執行程式可以順利地執行遠端電腦上的代碼；使用DCOM可以通過網路直接進行通訊，能夠跨包括HTTP協議在內的多種網路傳輸。

139連接埠是為“NetBIOS Session Service”提供的，主要用於提供Windows檔案和印表機共用以及Unix中的Samba服務。在Windows中要在區域網路中進行檔案的共用，必須使用該服務。

重啟伺服器的指令碼如下：

shutdown /r /d p:4:1

win2003遠端桌面連接埠修改

通常伺服器是不能隨便重啟的，所以，可以採用上面的指令碼，再使用windows的計劃任務，定時一次性執行上面指令碼對應的bat檔案即可。

1、改連接埠：

簡單操作步驟：開啟"開始→運行"，輸入"regedit"，開啟註冊表，進入以下路徑：

[HKEY_LOCAL_MACHINE/SYSTEM/ CurrentControlSet/Control/Terminal Server/ Wds/rdpwd/Tds/tcp]，看見

PortNamber值了嗎？其預設值是3389（改為十進位顯示），修改成所希望的連接埠，例60000。

2、再開啟[HKEY_LOCAL_MACHINE/SYSTEM/CurrentContro1Set/Control/Tenninal Server/WinStations/RDP-Tcp]

，將PortNumber的值（預設是3389）修改成連接埠60000

關閉登錄編輯程式後重啟電腦，即可生效。

註： 必需重啟後才可生效設定    兩項的連接埠要一致

 
在本機測試是否已開啟了該連接埠

telnet localhost 60000
測試遠程60000連接埠是否開啟

友情提示

如果你的遠程連接埠更換了我們需要在防火牆中加入你的遠程連接埠否則你將無法遠程伺服器哦。