Robbie Williams 走光:我想提高计算机的安全性关一些端口,谁能告诉我有哪些系统端口是不必开的,哪些是必开的呀,有作用好吗?

好问题啊呵呵,我也很想知道.
1.察看本地共享资源

点击“开始菜单”－“运行”－输入“CMD”回车，输入“net share”，如果看到有异常的共享，那么应该关闭。但是有时你关闭共享下次开机的时候又出现了，那么你应该考虑一下，你的机器是否已经被黑客所控制了，或者中了病毒。

2.删除共享(每次输入一个）

使用Windows 2000/XP的用户都会碰到一个问题，那就是默认的管理共享。虽然用户并没有设置共享，但每个盘符都被Windows自动设置了共享，其共享名为盘符后面加一个符号＄。一般来说，除了每个硬盘都被共享外，还存在Admin、IPC这两个共享（分别为远程管理共享与远程网络连接）。这样，局域网内同一工作组内的计算机，只要知道被访问主机的管理员密码，就可以通过在浏览器的地址栏中输入“计算机名盘符＄”来访问你的文件。这些共享默认设置本来是方便用户的，但是却让黑客利用了它，窃取您电脑里的宝贵资料。我们可以利用命令提示符来删除默认的共享。点击“开始菜单”－“运行”－输入“CMD”回车，再输入命令：

net share admin$ /delete
net share c$ /delete
net share d$ /delete（如果有e，f，……等磁盘，可以继续删除）

即使是这样删除之后，下一次你重新开机，共享还是会再次出现，我们总不能每次开机都删除共享吧？所以这不是彻底解决的办法。

彻底的解决办法是通过修改注册表。在“运行”内输入“regedit”，打开注册表编辑器：

(A)：禁止C$ D$等共享

展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlset\services\Tcpip\Paramers]分支新建一个名为EnablelCMPRedirects的键值项将其设置为0，（0是不响应）。

(B)：禁止ADMIN$共享

展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlset\Services\LanmanServer\Parameters]分支，新建名为AutoShareWks的键值，将其设置为0的键值项，将其设置为0
3：禁止IPC$共享

Windows XP在默认安装后允许任何用户通过空用户连接(IPC＄)得到系统所有账号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是任何一个远程用户都可以利用这个空的连接得到你的用户列表。黑客就利用这项功能，查找系统的用户列表，并使用一些字典工具，对系统进行攻击。这就是网上较流行的IPC攻击。 要防范IPC攻击就应该从系统的默认配置下手，可以通过修改注册表弥补漏洞：

第一步：展开 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlset\Control\Lsa]分支，新建名为restrictanonymous的键值将其设置为0或者1或者设置2。（设置0为缺省；1为匿名无法列举本机用户列表；2为匿名用户无法连接。我们可以设置为“1”，这样就能禁止空用户连接。）

第二步：打开 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]选项。注意：不是展开parameters的下面，而是单击选中parameters！然后建立两个双字节值（也就是DWORD）的键名，分别是：“AutoShareServer”和“AutoShareWks”。然后键值设置成0，就OK了！

对于服务器，添加键值“AutoShareServer”，类型为“REG_DWORD”，值为“0”。

对于个人用户，添加键值“AutoShareWks”，类型为“REG_DWORD”，值为“0”。

如果您在建立某个键值的时候，系统提示该键值已经存在，您只要找到该键值，双击该键值，在弹出的窗口中修改其数值就可以了。

如果您不会编辑注册表，可以使用以下的方法。

首先打开记事本，将下面的内容拷贝到记事本中：

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareWks"=dword:00000000

保存成txt文件，然后把后缀名改为reg。

同样的，建立AutoShareServer

打开记事本，将下面的内容拷贝到记事本中：

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000

保存成txt文件，把后缀名改为reg。执行这两个reg文件。重新启动电脑即可。

如果您实在不会操作这一步（即建立“AutoShareServer”和“AutoShareWks”这两个键值），我这里有已经做好的注册表文件（已经建立好这两个命令），您下载之后，解压缩，再双击导入即可。
4．关闭自己的139端口，IPC和RPC漏洞存在于此。

139端口是NetBIOS Session端口，用于文件和打印共享。通过139端口入侵是网络攻击中常见的一种攻击手段。关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。需要说明的是，一旦关闭后，你将无法在局域网**享自己或别人的文件和打印机，但对其他功能没有影响。

5．防止RPC漏洞

打开“管理工具”-->“服务”-->找到“RPC(Remote Procedure Call (RPC) Locator)服务”-->将“故障恢复”中的第一次失败，第二次失败，后续失败，都设置为“不操作”。（注：WindowsXP SP2和Windows2000 pro sp4，已经不存在该漏洞。）

6．445端口的关闭

我们经常会被445端口攻击，所以如果不小心的话，黑客也有可能通过这个端口来攻击。

修改注册表，打开[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters]在右面的窗口建立一个键值“SMBDeviceEnabled”，类型为“REG_DWORD”，键值为0，这样就ok了！
7．3389端口的关闭

这个端口我想我不用多说了，危险性很高，而且很多人根本没有注意到自己的电脑里有这个漏洞。要是你的电脑开了3389端口，那么你成为别人的肉鸡只是时间问题了，哈哈~~不是吓你哦！大家要特别的防范。

首先说明3389端口是Windows的远程管理终端所开的端口，它并不是一个木马程序，请先确定该服务是否是你自己开放的。如果不是必须的，建议关闭该服务。

WindowsXP系统：在“我的电脑”上点右键，选“属性”-->“远程”，将里面的“远程协助”和“远程桌面”两个选项框里的勾去掉。

Windows 2000系统中的远程终端服务是一项功能非常强大的服务，同时也成了入侵者长驻主机的通道，入侵者可以利用一些手段得到管理员账号和密码并入侵主机。下面，我们来看看如何通过修改默认端口，防范黑客入侵。

Windows2000 Server系统：点击“开始”-->“程序”-->“管理工具”-->“服务”里找到“Terminal Services”服务项，选中“属性”选项将启动类型改成“手动”，并停止该服务。（该方法在XP同样适用，XP用户可参照这个方法设置。）

使用Windows2000 Pro的朋友注意，网络上有很多文章说在Windows2000 Pro “开始”-->“设置”-->“控制面板”-->“管理工具”-->“服务”里找到“Terminal Services”服务项，选中“属性”选项将启动类型改成“手动”，并停止该服务，可以关闭3389。其实在Windows2000 Pro 中根本不存在Terminal Services。

如果您确实需要用到远程控制，而又不想让您的电脑受到黑客的骚扰，可以更改3389端口。操作步骤：

点击“开始菜单”-->“运行”，输入“regedit”，打开注册表，进入以下路径：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]，看见PortNamber值了吗？其默认值是3389，修改成所希望的端口即可，例如6111。

再打开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP\Tcp]，将PortNumber的值（默认是3389）修改成端口6111。如果[HKEY_LOCAL_MACHINE\System\currentcontrolset\control\Terminalserver\winstations]分支里还其他类似的子键,一样的改它的值。

修改完毕，重新启动电脑，以后远程登录的时候使用端口6111就可以了。

=================================================================
看看这个,我也是抄下来的呵呵

最起码应该把自己电脑的 3389端口 关掉``

防止``别人远控`