说实话,我第一次意识到135端口的风险,是因为一个客户的服务器被黑。那会儿他们没做任何端口限制,结果黑客通过135端口的RPC服务漏洞(CVE-2003-0352 之类的老漏洞,但至今还有人利用)直接摸进了系统。135端口这东西,默认开着是因为微软的远程过程调用(RPC)需要它——很多系统功能比如网络共享、分布式组件对象模型(DCOM)都依赖它。但问题在于,它太容易被利用了。攻击者能通过它枚举系统信息,甚至远程执行代码。嗯... 就像你家有个后门,虽然方便自己进出,但小偷也爱盯上它。
我个人的看法是:除非你确实需要用到RPC服务(比如企业内网的管理工具),否则关掉135端口是基本操作。尤其是Win7和Win10这种个人用户居多的系统,留着它风险大于收益。不过,关闭前得想清楚:有些软件可能会依赖这个端口,比如某些老旧的ERP系统或数据库工具。但以我的经验,九成用户关了也没事。
防火墙设置步骤:简单但有效
对于新手来说,防火墙是最直接的关闭方式。Win7和Win10的防火墙界面差不多,但Win10多了一些“高级安全”选项,不过基础操作一致。我一般推荐先从防火墙试起,因为它不容易搞坏系统——就算设错了,还能一键恢复。
具体步骤是这样的:
- 打开控制面板(Win10用户可以直接搜索“防火墙”),进入“Windows Defender 防火墙”。
- 点击“高级设置”,会弹出一个新窗口。这里注意:如果你没管理员权限,可能会卡住。所以最好先用管理员账号登录。
- 在左侧选“入站规则”,右边点“新建规则”。
- 规则类型选“端口”,下一步选“TCP”,特定本地端口填“135”。
- 动作选“阻止连接”,下一步全选(域、专用、公用),最后给规则起个名字,比如“Block_Port_135”。
完成之后,135端口的入站连接就被禁用了。但这里有个坑:防火墙只阻止外部访问,系统本地的服务可能还在监听这个端口。换句话说,黑客从外边进不来,但如果你自己跑了什么恶意软件,它还是能通过本地通信搞事情。所以防火墙算是个“半吊子”方案——有用,但不够彻底。
我遇到过客户只做防火墙设置,结果内网渗透测试时还是被扫出端口开放。后来发现是因为防火墙没配出站规则(虽然135端口主要风险在入站,但出站限制也能加一层保险)。不过对于大部分个人用户,防火墙已经够用了。
组策略进阶方法:更适合企业环境
组策略是更彻底的方案,它直接禁用端口的系统级监听。但说实话,这玩意儿有点复杂,新手容易手抖设错——我有次在咖啡店调试时,不小心把组策略玩崩了,结果系统直接锁死,只能重装。所以操作前一定要备份组策略(用gpupdate /force 测试前先导出一份)。
Win7和Win10的组策略编辑器基本一样,但Win10的版本更稳定些。步骤:
- 按Win+R,输入“gpedit.msc”打开组策略编辑器。注意:Win10家庭版没有这功能,得用PowerShell替代(后面会提)。
- 左侧导航到“计算机配置”->“Windows 设置”->“安全设置”->“高级安全 Windows 防火墙”。
- 右键点击“入站规则”,选“新建规则”。后续步骤和防火墙类似,但这里多了一个“授权”选项——你可以指定只阻止某些IP或用户,灵活性更高。
- 关键点:在“协议和端口”页,选“TCP”,端口135;在“操作”页选“阻止连接”。
组策略的好处是,它生效于系统底层,连本地监听都会停掉。但代价是可能影响某些服务。比如有一次我关闭后,客户的打印服务器突然崩了,因为打印后台程序用了RPC。后来发现得额外配置例外规则。所以建议操作前用“netstat -ano”命令检查一下135端口是否被系统进程占用(比如svchost.exe)。
如果用的是Win10家庭版,没组策略编辑器,可以用PowerShell凑合:
New-NetFirewallRule -DisplayName "Block_Port_135" -Direction Inbound -LocalPort 135 -Protocol TCP -Action Block
这条命令和防火墙效果类似,但毕竟不是组策略,深度上差一点。
个人经验与行业观察
干了这么多年,我觉得端口管理这事,很多人容易走极端——要么完全不管,要么盲目全关。其实135端口只是攻击面之一,关掉它能降低风险,但绝不是万能药。比如去年那个PetrWrap勒索软件,它利用的是445端口,但很多人只盯着135傻忙活。
我的习惯是:先扫一遍端口(用nmap或TCPView),确认哪些是真的在用。对于135这种,如果没必要就关;但如果企业环境需要RPC,我会改用IPSec或VPN做加密通道,而不是直接禁用。换句话说,关闭端口是“治标”,加固整体网络安全才是“治本”。
另外,微软默认开启135端口也不是没道理——很多企业工具依赖它。但个人用户真的没必要留。行业里有些人过度恐惧端口开放,其实只要做好防火墙+定期更新系统,风险可控。就像我常说的:“安全不是绝对封闭,而是可控访问。”
总结与行动建议
如果你刚入门,我建议先从防火墙开始操作。Win7和Win10的步骤几乎一样,但Win10的界面更友好些。组策略留给有一定基础的人,或者企业用户。操作完一定要验证:用“telnet 127.0.0.1 135”或端口扫描工具检查是否还开放。
最后提醒个易错点:修改组策略后得gpupdate /force 刷新,有时还得重启生效。如果发现系统异常,赶紧回滚规则——安全很重要,但别把自己锁门外。
评论