Part I. 组策略法

第步点击开始运行gpedit.msc双击打开本地安全策略选中IP安全策略在本地计算机在右边窗格空白位置右击鼠标在弹出快捷菜单里选择创建IP安全策略这样弹出个向导在向导中点击下步按钮为新安全策略命名(不重新命名也可以以下都以未重新命名为例)；再按下步显示安全通信请求画面在画面上把激活默认相应规则左边钩取消点击完成按钮就创建了个新IP安全策略 
       第 2步右击该IP安全策略在属性对话框中把使用添加向导左边钩取消然后单击添加按钮添加新规则随后弹出新规则属性对话框在对话框中点击添加按钮弹出IP筛选器列表窗口；在列表中同样把使用添加向导左边钩取消掉然后再点击右边添加按钮添加新筛选器 
       第 3步进入了筛选器属性对话框首先看到是寻址源地址选任何IP地址目标地址选我IP地址；点击协议选项卡在选择协议类型下拉列表中选择TCP然后在到此端口下文本框中输入135点击确定按钮这样就添加了个屏蔽TCP135(RPC)端口筛选器它可以防止外界通过135端口连上你电脑点击确定后回到筛选器列表对话框可以看到已经添加了条策略重复以上步骤继续添加TCP137、139、445、593 端口和UDP135、139、445 端口也可继续添加TCP1025、2745、3127、6129、3389 端口屏蔽策略为它们建立相应筛选器最后点击确定按钮
       第 4步在新规则属性对话框中选择新IP 筛选器列表然后点击其左边圆圈上加个点表示已经激活接着点击筛选器操作选项卡在筛选器操作选项卡中也把使用添加向导左边钩取消点击添加按钮添加阻止操作；在新筛选器操作属性安全措施选项卡中选择阻止然后点击确定 
       第 5步、进入了新规则属性对话框点击新筛选器操作其左边圆圈会加了个点表示已经激活点击关闭按钮关闭对话框；最后回到新IP安全策略属性对话框在新IP筛选器列表左边打钩按确定按钮关闭对话框回到本地安全策略窗口用鼠标右击新添加IP安全策略选择指派 
       重新启动后电脑中上述网络端口就被关闭了病毒和黑客再也不能连上这些端口从而保护了我们电脑(有用户管理员密码为空是不好这会让人有机可乘另win9X和win2000/xp内核不样设置也不样)


Part II.修改系统思路方法

winxp查找本地运行了哪些网络服务,命令 
netstat -an 
netstat -ano 
查看本地特定端口连接情况 
netstat -anp tcp | find ":1367" 

1.关闭TCP端口25、80、443(SMTP服务HTTP服务和IIS管理服务(win2000服务相关)) 
关闭IIS Admin 服务即可!以下服务将随的关闭! 
相关服务(World Wide Web Publishing Service ;Simple Mail Transport Protocol (SMTP)) 
防止IIS服务再次随系统重新启动最简单办法是移除IIS组件在控制面板中选添加/删除 
命令: 
net stop iisadmin 

2.关闭win2000 server并列事务服务!(Distributed Transaction Coordinator service) 
并列事务服务在Windows 2000 server上默认安装和启动并打开了TCP端口3372和个大于1023端口 
命令 
net stop msdtc 

3.关闭Windows XP服务(TCP 5000UDP 123、500和1900端口): 
IPsec services (PolicyAgent) 
SSDP Discovery Service (SSDPSRV) 
Windows Time (W32Time) 
命令: 
net stop policyagent 
net stop ssdpsrv 
net stop w32time 

4.关闭137、138、139端口 
NetBT使用了UDP 137、138和TCP 139端口 
要关闭这些端口必须在所有网络适配器(Adapter)上禁用NetBT协议 
思路方法: 
本地连接属性->Internet协议 (TCP/IP)->属性->高级->WINS禁用TCP/IP上NetBIOS 
用来解析NetBIOS名字lmhosts服务也可以停止并禁用 
命令: 
net stop lmhosts 

5.关闭TCP 445端口 
可以有两种思路方法: 
第. 禁用NetBT驱动 
第 2. 修改注册表以禁用TCP上CIFS 
-[ 禁用 NetBT 驱动 ]- 
完全在系统中禁用SMB思路方法就是同时禁用SMB客户端(workstation服务)和服务端(server服务) 
首先要禁用这两个服务(以及所有依赖它们并运行着服务) 
win2000命令: 
net stop rdr 
net stop srv 
winxp命令: 
sc config netbt start= disabled 
然后必须在注册表中修改: 
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT 
Value: Start 
Type: DWORD value (REG_DWORD) 
Content: 4 
-[ 不禁用NetBT只禁用SMB ]- 
有时你可能想保留NetBT但不用它传输SMB而用TCP 445 
这种情况下你可以如下设置注册表 
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBTParameters 
Value: SmbDeviceEnabled 
Type: DWORD value (REG_DWORD) 
Content: 0 (to disable) 

6.关闭135端口(防冲击波病毒) 
135端口主要用于使用RPC(Remote Procedure Call远程过程)协议并提供DCOM(分布式组件对象模型)服务 
命令: 
dcomcnfg 
组件服务->计算机->我电脑->属性->默认属性-删除在此计算机上启用分布式COM 
默认协议->删除面向连接TCP/IP 

7.Windows XP缓存CacheDNS服务 
dnscache服务UDP端口是1026 
按下面设置后每次DNS请求使用区别UDP端口！ 
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters 
Value: MaxCachedSockets 
Type: REG_DWORD 
Content: 0 

作者:http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html.en 


cmd脚本参考: 


ECHO OFF 
rem 关闭TCP端口25、80、443(SMTP服务HTTP服务和IIS管理服务(win2000服务相关)) 
net stop iisadmin 
rem 并列事务服务!(Distributed Transaction Coordinator service)端口1025或3372 
net stop msdtc 
rem 关闭Windows XP服务(TCP 5000UDP 123、500和1900端口): 
rem IPsec services (PolicyAgent) 
rem SSDP Discovery Service (SSDPSRV) 
rem Windows Time (W32Time) 
net stop policyagent 
net stop ssdpsrv 
net stop w32time 

rem Windows XP缓存CacheDNS服务 
reg add HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters /v MaxCachedSockets /t REG_DWORD /d 0 /f 

rem 关闭TCP 445端口 
rem win2000命令: 
rem net stop rdr 
rem net stop srv 
rem winxp命令: 
sc config netbt start= disabled 
reg add HKLM\SYSTEM\CurrentControlSet\Services\NetBT /v Start /t REG_DWORD /d 4 /f 

cls 
echo "关闭135端口(防冲击波病毒)" 
echo "组件服务->计算机->我电脑->属性->默认属性-删除在此计算机上启用分布式COM" 
echo "默认协议->删除面向连接TCP/IP" 
rem winxp命令: 
start /w dcomcnfg 
pause 

cls 
echo "关闭137、138、139端口" 
rem NetBIOS名字lmhosts服务 
net stop lmhosts 
cls 
echo "手动操作关闭137、138、139端口" 
echo "本地连接属性->Internet协议 (TCP/IP)->属性->高级->WINS禁用TCP/IP上NetBIOS" 
start /w ncpa.cpl 
pause 
pause 


rem ******************************************* 
rem 其它脚本参考 
rem echo 开始封杀135,445端口... 
rem reg add HKLM\SOFTWARE\Microsoft\Ole /v EnableDCOM /d N /f 
rem reg add HKLM\SOFTWARE\Microsoft\Rpc /v "DCOM Protocols" /t REG_MULTI_SZ /d rem ncacn_spx\0ncacn_nb_nb\0ncacn_nb_ipx\0 /f 
rem sc config   MSDTC start= DISABLED 
rem reg add HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters /v SMBDeviceEnabled /t rem REG_DWORD /d 0 /f 
rem echo 封杀135,445端口结束! 
rem *******************************************