135 139 445端口入侵

Windows系统中存在几个常见的高危端口，包括135、139和445端口，这些端口时常被黑客利用进行远程攻击和数据窃取。这些端口的入侵原理及相应的防御方案如下：

一、高危端口入侵原理：

1. 135端口（RPC/DCOM服务）：这个端口用于远程过程调用（RPC）和分布式组件对象模型（DCOM）。攻击者可能会利用其中的漏洞，如“永恒之蓝”漏洞，远程执行恶意代码，从而获取系统权限并窃取敏感信息或部署勒索软件。

2. 139端口（NetBIOS服务）：这个端口提供共享文件和打印服务。攻击者可通过NetBIOS枚举获取网络共享信息，进而发起暴力破解或横向渗透。

3. 445端口（S）：该端口支持文件共享和打印机访问。历史上，由于SMB协议存在的漏洞，如CVE-2017-0144，导致了蠕虫病毒的传播，如WannaCry。

二、防御方案：

（一）通过防火墙封禁端口：

1. 在控制面板中进入Windows Defender防火墙的高级设置，创建入站规则，选择“端口”类型，并输入端口号135、139和445，然后阻止所有进入这些端口的连接。应用所有配置文件以确保设置生效。重启后，可以通过执行特定的命令验证端口是否已关闭。

（二）系统服务与组件调整：

1. 禁用DCOM组件：运行特定命令打开组件服务，取消勾选相关选项并删除某些协议。通过修改注册表来进一步加固设置。

2. 关闭NetBIOS服务：进入网络适配器属性，选择TCP/IPv4的高级设置，然后禁用TCP/IP上的NetBIOS。

（三）IPsec策略加固：

1. 通过特定命令进入计算机配置设置，创建新的IP安全策略并添加规则，阻止所有IP访问高危端口。

三、综合防护建议：

1. 定期更新系统以修补各种协议漏洞，避免被已知漏洞攻击。

2. 最小化服务暴露，仅开放必要的端口，并在内网环境中限制高危端口的访问范围。

3. 结合多种安全手段，如防火墙规则、系统服务禁用和杀毒软件，形成多层次的立体防护。

注意：禁用端口可能会影响依赖这些端口的服务（如共享打印），因此需要根据实际业务需求调整策略。操作前建议备份系统或创建还原点以防万一。通过这些措施，可以有效提升系统安全性，降低被黑客攻击的风险。