【安全】如何关闭Windows系统的137, 139, 445端口？

4月14日晚，一个叫Shadow Brokers的黑客组织泄露了一大波Windows的远程漏洞利用工具，事件细节可以参照运维派前面的文章《Windows血崩，一波大规模
0day 攻击泄漏》。

恩威科技&天府云创&融合创新已根据微软官网发布针对Windows系统0day漏洞的处理建议：《Windows远程命令执行0day漏洞的安全预警及其处理建议》，处理建议中有提到关闭137,
139, 445等网络端口的要求，那么运维派为大家整理了在Windows 2008版本及以上的系统的具体操作步骤：

1. 禁止Windows共享，卸载下图两个组件（此操作的目的是禁止445端口）



（实施完毕后，需要重启系统生效，操作前请您根据对业务的影响情况进行评估）

2. 禁止netbios（此操作的目的是禁止137,139端口）





3. 关闭远程智能卡（此操作的目的是关闭Windows智能卡功能，避免rdp服务被攻击利用）



由于本次事件影响面广且严重，一些IT厂商（包括事件的主角：微软）都在第一时间给了紧急解决方案，供大家参考：

一、概要

Shadow Brokers泄露多个Windows 远程漏洞利用工具，可以利用SMB、RDP服务成功入侵服务器，可以覆盖全球 70% 的 Windows 服务器，且POC已公开，任何人都可以直接下载并远程攻击利用。

二、漏洞级别

漏洞级别：紧急。（说明：漏洞级别共四级：一般、重要、严重、紧急。）

三、影响范围

目前已知受影响的 Windows 版本包括但不限于：Windows NT，Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8，Windows 2008、Windows 2008 R2、Windows Server 2012 SP0

四、排查方法

1. 查看windows系统版本；

2. 检查端口开放情况（是否开放了137、139、445、3389端口），本机cmd命令netstat –an 查看端口监听情况，然后在外网主机telnet 目标主机端口 ，如：telnet 114.114.114.114 137（其中114.114.114.114表示你要排查的服务器的IP地址，137表示端口）

五、安全建议

1） 临时规避措施：关闭135、137、139、445，3389端口开放到外网。推荐使用安全组策略禁止135、137、139、445端口；3389端口限制只允许特定IP访问。（网络端口关闭，可按键：如何关闭Windows系统137,
139, 445网络端口？）

2） 及时到微软官网下载补丁升级

微软官方公告连接：

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

微软已经发出通告 ，强烈建议您更新最新补丁：

Code Name	Solution
“EternalBlue”	Addressed by MS17-010
“EmeraldThread”	Addressed by MS10-061
“EternalChampion”	Addressed by CVE-2017-0146 & CVE-2017-0147
“ErraticGopher”	Addressed prior to the release of Windows Vista
“EsikmoRoll”	Addressed by MS14-068
“EternalRomance”	Addressed by MS17-010
“EducatedScholar”	Addressed by MS09-050
“EternalSynergy”	Addressed by MS17-010
“EclipsedWing”	Addressed by MS08-067

注意：修复漏洞前请将资料备份，并进行充分测试。