WINDOWS 2000 & winxp 下关闭端口的方法

转: http://www.cnblogs.com/pierre0505/articles/581361.html

Windows 2000下关闭端口的方法：
Win 2000中每一项服务都对应相应的端口，比如众如周知的WWW服务的端口是80，smtp是25，ftp是21，Win 2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要，关掉端口也就是关闭无用的服务。一项服务到底有没有用，就要根据自己的需要自己来判断啦。

　　“控制面板”的“管理工具”中的“服务”中来配置。

　　关闭7.9等等端口：关闭Simple TCP/IP Service，支持以下 TCP/IP 服务：Character Generator， Daytime， Discard， Echo， 以及 Quote of the Day。 

　　关掉21端口：关闭FTP Publishing Service，它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。
　　关掉23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。

　　关掉25端口：关闭Simple Mail Transport Protocol (SMTP)服务，它提供的功能是跨网传送电子邮件。

　　关闭80口：关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing Service"，通过 Internet 信息服务的管理单元提供 Web 连接和管理。

　　关闭默认共享：在Windows 2000中，有一个“默认共享”，这是在安装服务器的时候，把系统安装分区自动进行共享，虽然对其访问还需要超级用户的密码，但这是潜在的安全隐患，从服务器的安全考虑，最好关闭这个“默认共享”，以保证系统安全。方法是：单击“开始/运行”，在运行窗口中输入“Regedit”，打开注册表编辑器，展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Lanmanworkstation\parameters”，在右侧窗口中创建一个名为“AutoShareWks”的双字节值，将其值设置为0，(Win2000 专业版 Win XP);[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000 (win2000 server、win2003 server)这样就可以彻底关闭“默认共享”。(对了记住在DOS下运行net share c$Content$nbsp;/del，有几个默认共享就执行几次，可别告诉我这不会喽：）

关闭139端口：139端口是NetBIOS　Session端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。

　　对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了。

　　关闭445端口：修改注册表，添加一个键值

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"SMBDeviceEnabled"=dword:00000000

　　关闭终端服务：在Windows2000 Sever版中打开“我的电脑”→“控制面板”→“ 添加/删除程序”→“添加删除Windwos组件”，把其中的“终端连接器”反安装即可！

　　修改终端服务的默认端口：

　　服务器端： 打开注册表，在“HKLM\SYSTEM\Current\ControlSet\Control\Terminal Server\Win Stations”里找到类似RDP-TCP的子键，修改PortNumber值。

　　客户端：按正常步骤建一个客户端连接，选中这个连接，在“文件”菜单中选择导出，在指定位置会生成一个后缀为.cns的文件。打开该文件，修改“Server Port”值为与服务器端的PortNumber对应的值。然后再导入该文件（方法：菜单→文件→导入），这样客户端就修改了端口。

　　禁止:IPC$空连接 

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001

　　记住把服务server禁止喽~~~ipc$默认共享删除~~~~这样重启后才有效喽~~~

　　关闭不必要的服务，例如Messenge服务，远程注册表访问服务，Telnet服务，当然关闭端口可以用黑基下的防火墙如blackice等来屏掉，或者用ipsec管理策略来禁止这些端口~~~大家在禁止一定要想好或先了解一下被禁用端口的作用喽，要不它有可能会影响你的部份操作喽，希望能对大家有所帮助。

WinXP下关闭端口的方法：
WinXP作为一个被广泛使用的系统，现在已经受到了越来越多攻击者的“青睐”。当然最简单的防范方法是装个网络防火墙。不过在没有防火墙时，我们有什么办法呢？关闭WinXP中的无用端口可以让系统安全很多。

一、找出自身开放的端口

扫描端口，然后找漏洞是攻击者入侵的基本思路。可以说，机器上开放的端口越多，攻击者入侵的机会就越大，因此我们可以通过关闭一些我们不用的端口来提高电脑的安全性。那如何知道我们的WinXP开放了哪些端口呢？我们可以用命令“Netstat”来查看系统中开放的端口。

我们需要用到这个命令的两个参数：-a、-n。参数-a显示当前所有连接和侦听端口，而参数-n以数字格式显示地址和端口号（而不是尝试查找名称），两者可以结合起来使用：netstat-an，就能查看当前端口的开放情况。通过这个命令，如果我们发现一个异常的端口号在监听，可以先去网上查找常见木马的端口号对照一下，如果发现有木马使用的端口，就应该用杀除木马的软件检查系统了。

二、关闭无用端口

知道怎么查看机器的端口情况之后，接下来一个问题是，哪些端口是必须留用的，哪些端口是可以关闭的？这个问题稍微复杂一点，因为除了WinXP默认开放的135、137、138、139和445，有些跟网络有关的软件需要使用到一些端口，最常用的比如QQ使用4000端口。这里笔者把情况想像成最简单：一台只需要浏览网页的电脑。那么针对这个系统，我们自己来配置一下以提高安全性。

1.关闭软件开启的端口。可以打开本地连接的“属性”→“Internet协议（TCP/IP）”→“属性”→“高级”→“选项”→“TCP/IP筛选属性”，然后都选上“只允许”。请注意，如果发现某个常用的网络工具不能起作用的时候，请搞清楚它在你主机所开的端口，然后在“TCP/IP筛选”中添加相应的端口。

2.禁用NetBIOS。打开本地连接的“属性”→“Internet协议（TCP/IP）”→“属性”→“高级”→“WINS”→“禁用TCP/IP上的NetBIOS”。这样一来就关闭了137、138以及139端口，从而预防IPC＄入侵。

3.开启WinXP自带的网络防火墙。打开本地连接的“属性”→“高级”，启用防火墙之后，单击设置可以设置系统开放关闭哪些服务。一般来说，这些服务都可以不要，关闭这些服务后，这些服务涉及的端口就不会被轻易打开了。

4.禁用445端口。向注册表“HKEY＿LOCAL＿MACHINE＼SYSTEM＼CurrentControlSet＼Services＼NetBT＼Parameters”中追加名为“SMBDeviceEnabled”的DWORD值，并将其设置为0，就OK了。

通过以上设置，你的WinXP系统的安全性将大大提高。要补充的是，文章是针对那些直接拨号上网的机器，而不包括通过网关代理上网的机器。