Windows利用IPSEC禁用危险端口
Admin
本站
点击:179 次
禁用WINDOWS系统的135、137、139、445端口能有效防范勒索病毒,可以用系统自带的防火墙或早期的tcpip筛选。
今天我们用功能强大的ipsec来进行这个操作,只需要经过几步设置,我们就能够得到一个功能强大的防火墙。他能精确控制某个IP对本机某个端口的访问。
此次是通过:WINDOWS2003平台演示,Windows 2008/2012/2016系统都类似。
1、开始--运行或WIN+R键,输入secpol.msc,右键 IP 安全策略,创建 IP 安全策略
2、起个名称,下一步,取消 激活默认响应规则,下一步。
3、选上 编辑属性,完成后开始编辑。添加、添加、筛选器列表名称445-deny,添加,源地址-任何地址,目的地址-我的地址,取消镜像,然后点协议。
(从这里开始是比较复杂的步骤,容易迷糊)。
4、协议类型选TCP,点从任意端口,到此端口 填445,确定。
5、点中,刚才新建的445-DENY,然后点筛选器操作,这里我们要新建个筛选器操作,选择阻止,常规,起个名称-denyact,确定
点中新建的 denyact,应用。注意此处是将新建的筛选器列表跟筛选器操作关联上。
6、在新加的策略上,右键指派,这样就生效了,我们可以测试下。
在cmd中,telnet ip 445,开返回状态,未指派之前是这样的。
指派后,提示连接失败,就证明成功了。
最后提醒下,如果你限制了远程桌面的端口,会让你连不上服务器的,那就只能到机器前取消指派了。
沈阳众诚志联真诚为您服务!