Закрытие портов в windows 7. Как отключить открытые порты в Windows XP
Вчера неизвестные устроили очередную массовую атаку с помощью вируса-шифровальщика. Эксперты заявили, что пострадали десятки крупных компаний на Украине и в России. Вирус-шифровальщик носит название Petya.A (вероятно, вирус назван в честь Петра Порошенко). Пишут, что если создать файл perfc (без расширения) и разместить его по адресу C:\Windows\, вирус обойдет вас стороной. Если ваш компьютер ушел в перезагрузку и начал «проверку диска», нужно его немедленно выключить. Загрузка с с LiveCD или USB-диска даст доступ к файлам. Еще один способ защиты: закрыть порты 1024–1035, 135 и 445. Как это сделать мы сейчас разберемся на примере Windows 10.
Шаг 1
Переходим в Брандмауэр Windows
(лучше выбрать режим повышенной безопасности), выбираем вкладку «Дополнительные параметры
».
Выбираем вкладку «Правила для входящих подключений
», потом действие «Создать правило
» (в правой колонке).
Шаг 2
Выбираем тип правила - «для Порта
». В следующем окне выбираем пункт «Протокол TCP
», указываем порты, которые хотите закрыть. В нашем случае это «135, 445, 1024-1035
» (без кавычек).
Шаг 3
Выбираем пункт «Блокировать подключение
», в следующем окне отмечаем все профили: Доменный, Частный, Публичный.
Шаг 4
Осталось придумать название для правила (чтобы в будущем его было легко найти). Можно указать описание правила.
Если какие-то программы перестанут работать или станут работать неправильно, возможно, вы перекрыли порт, которые они используют. Нужно будет добавить для них исключение в брандмауэре.
135 TCP-порт используется службами удалённого обслуживания (DHCP, DNS, WINS и т.д.) и в приложениях «клиент-сервер» Microsoft (например, Exchange).
445 TCP-порт используется в Microsoft Windows 2000 и поздних версий для прямого TCP/IP-доступа без использования NetBIOS (например, в Active Directory).
Публикация
Проблема
Проблема Брандмауэра windows (windows Firewall) заключается не в том как закрыть все порты, а в том, как открыть только необходимые. И главное, что сходу хрен поймешь, каким образом ограничить подключение к некоторым портам по IP адресам клиентов. По отдельности решить эти задачи не сложно, но чтобы было вместе - не встретил ни одного толкового руководства, поэтому и написана данная заметка. Так же, найденное решение не предполагает установки стороннего фаервола.
Недостатки Брандмауэра windows: - Если создать запрещающее правило для всех портов, а потом разрешающие для необходимых, то они не попадают в белый список, т.к. запрещающие правила приоритетнее разрешающих. Т.е. если запрет на подключение по порту существует, то разрешение на этот порт работать уже не будет.
Нет приоритетов правил, как в нормальных фаерволах, чтобы сначала указать открытые порты, а последним задать запрещающее правило для всех остальных.
Допустим, есть VPS на винде, но у хостера нет внешнего фаервола, которым можно прикрыться. Свежеустановленная винда торчит наружу как минимум 135/tcp, 445/tcp, 49154/tcp и 3389/tcp (если включен RDP) портами даже в публичной сети (Public network), что требует исправления.
Алгоритм
Есть три типа портов, это: - Общедоступные порты, которые должны быть открыты для всего интернета. Пусть будут 80 и 443 (http и https) - Фильтруемые порты, доступные только с определенных IP адресов. Возьмем 3389 (RDP) - Все остальные, должны быть закрыты Требуется: 1. Создать правило, запрещающее всё, кроме трех вышеобозначенных портов. 2. Для общедоступных больше делать ни чего не требуется.
3. Для фильтруемого создать разрешающее правило, указав белые адреса.
Секрет в том, что при запрещении всех портов надо явно указать разрешенные. Иначе, как было сказано выше, не получится открыть нужные.
Пример
Задача 1: оставить открытыми для всего интернета 80, 443 и 3389 порты. Все остальные закрыть. 1. Создать новое правило для входящих подключений 2. Тип правила (Rule Type). Настраиваемые (Custom) 3. Программа (Program). Все программы (All programs) 4. Протокол и порты (Protocol and Ports). Тип протокола (Protocol type) - TCP. Локальный порт (Local port) - Специальные порты (Specific Ports). В поле вписать диапазон портов, за исключением 80, 443 и 3389. Должно выглядеть так - 1-79, 81-442, 444-3388, 3390-65535 5. Область (Scope). Локальный (local) - Любой IP-адрес (Any IP address). Удаленный (remote) - Любой IP-адрес (Any IP address). 6. Действие (Action). Блокировать подключение (Block the connection). 7. Профиль (Profile). Выбрать на свое усмотрение. Если не уверен, то выбрать все.
8. Имя (Name). Назвать его, например, Block_TCP.
Теперь указанные порты открыты для всего интернета, но, как минимум, не безопасно открывать всем порт RDP и желательно ограничить подключение только со своих IP адресов.
Задача 2: оставить открытыми для всего интернета 80 и 443 порты. Ограничить подключение на порт 3389 только с разрешенных IP адресов. Все остальные закрыть. Шаги 1-8 аналогичны предыдущей задаче, т.е. создается правило, разрешающее коннект по трем указанным портам. Для фильтрации по IP надо создать второе правило: 9. Создать новое правило для входящих подключений 10. Тип правила. Настраиваемые 11. Программа. Все программы 12. Протокол и порты. Тип протокола - TCP. Локальный порт - специальные порты. Вписать порт 3389 13. Область. Локальный - Любой IP-адрес. Удаленный - Указанные IP-адреса. Сюда вписать белый список IPшников или подсетей, которым разрешен коннект по данному порту 14. Действие. Разрешить подключение. 15. Профиль. Выбрать на свое усмотрение. Если не уверен, то выбрать все.
16. Имя. Назвать его, например, RDP.
Если фильтруемых портов несколько, то создается по одному правилу на каждый порт.
Ну и чтобы стать совсем защищенным - создать правило, блокирующее все UDP соединения.
Задача 2 из консоли
Для хардcoreщиков приведу вторую задачу в виде консольных команд:
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=1-79,81-442,444-3388,3390-65535 name="Block_TCP" netsh advfirewall firewall add rule dir=in action=allow protocol=TCP localport=3389 remoteip=192.168.0.0/24,x.x.x.x name="RDP" netsh advfirewall firewall add rule dir=in action=block protocol= UDP name="Block_All_UDP"
В конечном итоге, в гуёвине должно выглядеть так: Для правила RDP:
Для правила Block_TCP:
UPDATE
Выяснилось, что приведенный выше синтаксис командной строки не работает на WS2008R2, а конкретно - перечисления в любом параметре, поэтому пришлось разбивать два правила на восемь:
Netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=1-79 name="Block_TCP-1" netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=81-442 name="Block_TCP-2" netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=444-3388 name="Block_TCP-3" netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=3390-65535 name="Block_TCP-4" netsh advfirewall firewall add rule dir=in action=allow protocol=TCP localport=80 name="HTTP" netsh advfirewall firewall add rule dir=in action=allow protocol=TCP localport=443 name="HTTPS" netsh advfirewall firewall add rule dir=in action=allow protocol=TCP localport=3389 remoteip=192.168.0.0/24 name="RDP-1" netsh advfirewall firewall add rule dir=in action=allow protocol=TCP localport=3389 remoteip=x.x.x.x name="RDP-2"
notessysadmin.com
Как закрыть порты, блокируем протоколы
Как закрыть порты и протоколыПривет всем читателям блога. Сегодня мы поговорим о портах windows и как их закрыть.Чтобы защитить компьютер, не обязательно пользоваться брандмауэром: вы можете вручную закрыть порты и блокировать некоторые протоколы.
Брандмауэр способен защитить персональный компьютер и сеть от незваных гостей. Если вы не хотите устанавливать брандмауэр, но все же хотите защитить свой компьютер, то у вас есть возможность вручную закрыть тот или иной порт или блокировать определенные протоколы.
Некоторые порты и протоколы могут быть использованы для атаки на вашу систему. Например, кто-нибудь может управлять вашим компьютером с помощью службы Telnet, если порт, через который она обычно работает (порт 23), оставлен открытым. Во многом известный троян Back Orifice, дающий отморозкам неограниченную власть над вашей системой, использует различные порты, и порты с номерами 31337 и 31338.
Чтобы защитить свой компьютер, вам стоит закрыть все порты, кроме тех, которые нужны для работы, например порт 80 должен быть открыт, если вы хотите просматривать web-страницы.
Как закрыть порты
Чтобы вручную закрыть порты и блокировать протоколы, щелкните правой кнопкой мыши на папке Сетевое окружение (My Network Places) и выберите пункт Свойства (Properties) - откроется папка Сетевые подключения (Network Connections). Затем щелкните правой кнопкой мыши на соединении, для которого вы хотите закрыть порты, и снова выберите Свойства. Выделите в списке строчку Протокол Интернета (TCP/IP) (Internet protocol (TCP/IP) и щелкните на кнопке Свойства (Properties).
На вкладке Общие (General) щелкните на кнопке Дополнительно (Advanced). В появившемся диалоговом окне Дополнительные параметры TCP/IP (Advanced TCP/IP Settings) перейдите на вкладку Параметры(Options), выделите строчку Фильтрация TCP/IP (TCP/IP Filtering) и щелкните на кнопке Свойства(Properties). Появится диалоговое окно Фильтрация TCP/IP (TCP/IP filtering). Чтобы заблокировать порты TCP, UDP и протоколы IP, для каждого из них выберите пункт Только (Permit only).
Таким образом вы успешно закроете все порты TCP, UDP и заблокируете протоколы IP. Как устранить ошибки в портах читайте далее Однако закрыть все порты - это не выход. Нужно указать системе, через какие порты можно
передавать данные. Запомните, что если вы хотите просматривать web-страницы, необходимо открыть порт 80! Чтобы открыть определенные порты или разрешить использование некоторых протоколов, щелкните на кнопке Добавить (Add). Укажите порты и протоколы, которые вы хотите открыть, а затем нажмите ОК. Теперь будут использоваться только порты и протоколы из составленного вами списка.
Получение списка имеющихся в системе портов
Существует как минимум два способа:
1. Список доступных портов можно узнать, проанализировав ключ реестра
HKEY_LOCAL_MACHINE/HARDWARE/DEVICEMAP/SERIALCOMM 2. Можно поочередно попробовать открыть порты COM1 .. COM9, таким образом удастся установить все доступные порты (т.е. порты, не открытые другими приложениями).
Как отключить ненужные службы windows XP Вы можете узнать здесь
Как изменить динамический IP-адрес, для обхода времени ожидания на файла обменниках читайте далее Вот вкратце вы ознакомились, как можно закрыть порты.
jumabai.blogspot.ru
Как закрыть порты?
66652 08.08.2009Твитнуть
Плюсануть
Пройдя наш тест "безопасность вашего компьютера" вы обнаружили, что ваша система имеет один или несколько открытых портов и незнаете как их закрыть? Не беда, мы постараемся вам помочь.
Как можно закрыть порты?
Первый и самый простой вариант - это завершить работу программ или служб, которые используют эти порты (можно сказать открывают). В первую очередь это порты 135-139, 445, Это можно сделать вручную, что требует определенных знаний и навыков. Чтобы немного упростить вам эту задачу мы рекомендуем использовать небольшую программку windows Worms Doors Cleaner, объемом всего 50 kB. Скачав ее и запустив, вы увидите следующее окошко
Вам останется только нажать кнопки с надписью Disable и Close, после чего перезагрузить компьютер. В итоге все индикаторы должны быть зеленого цвета. Это будет означать, что порты 135-139, 445 и 5000 закрыты.
Эта методитка поможет закрыть вам всего несколько портов и ни в коем случае не заменит установку Firewall
Второй вариант - это установка программы Firewall и создание правил для закрытия портов. Выбрать фаерволл и узнать как его установить вы можете, почитав наши руководства в разделе "Статьи".
А теперь небольшой инструктаж по созданию правил для закрытия портов в различных фаерволах. Для закрытия определенного порта вам нужно выбрать используемый вами Firewall из списка ниже и повторить действия, указанные в руководстве, изменив всего лишь одну деталь, это номер порта.
Инструкции составлены для самых активно используемых на данный момент фаерволов. Возможно в будущем мы будем пополнять архив, если в этом будет необходимость.
Твитнуть
Плюсануть
2ip.ru
Закрываем порты и блокируем протоколы
Чтобы защитить компьютер, не обязательно пользоваться брандмауэром: вы можете вручную закрыть порты и блокировать некоторые протоколы.
Брандмауэр способен защитить персональный компьютер и сеть от непрошеных гостей. Если вы не хотите устанавливать брандмауэр, но все же хотите защитить свой компьютер, то у вас есть возможность вручную закрыть тот или иной порт или блокировать определенные протоколы. Некоторые порты и протоколы могут быть использованы для атаки на вашу систему. Например, кто-нибудь может управлять вашим компьютером с помощью службы Telnet, если порт, через который она обычно работает (порт 23), оставлен открытым. Печально известный троян Back Orifice, дающий злобным хакерам неограниченную власть над вашей системой, использует различные порты, и порты с номерами 31337 и 31338. На сайте www.sans.org/resources/idfaq/oddports.php находится список портов, используемых различными троянами. Чтобы защитить свой компьютер, вам стоит закрыть все порты, кроме тех, которые нужны для работы, например порт 80 должен быть открыт, если вы хотите просматривать web-страницы. Полный список стандартных портов можно найти по адресу www.iana.org/assignments/port-numbers.
Чтобы вручную закрыть порты и блокировать протоколы, щелкните правой кнопкой мыши на папке Сетевое окружение (My Network Places) и выберите пункт Свойства (Properties) - откроется папка Сетевые подключения (Network Connections). Затем щелкните правой кнопкой мыши на соединении, для которого вы хотите закрыть порты, и снова выберите Свойства. Выделите в списке строчку Протокол Интернета (TCP/IP) (Internet protocol (TCP/IP) и щелкните на кнопке Свойства (Properties). На вкладке Общие (General) щелкните на кнопке Дополнительно (Advanced). В появившемся диалоговом окне Дополнительные параметры TCP/IP (Advanced TCP/IP Settings) перейдите на вкладку Параметры (Options), выделите строчку Фильтрация TCP/IP (TCP/IP Filtering) и щелкните на кнопке Свойства (Properties). Появится диалоговое окно Фильтрация TCP/IP (TCP/IP filtering). Чтобы заблокировать порты TCP, UDP и протоколы IP, для каждого из них выберите пункт Только (Permit only). Таким образом вы успешно закроете все порты TCP, UDP и заблокируете протоколы IP.
Однако закрыть все порты - это не выход. Нужно указать системе, через какие порты можно передавать данные. Запомните, что если вы хотите просматривать web-страницы, необходимо открыть порт 80! Чтобы открыть определенные порты или разрешить использование некоторых протоколов, щелкните на кнопке Добавить (Add). Укажите порты и протоколы, которые вы хотите открыть, а затем нажмите ОК. Теперь будут использоваться только порты и протоколы из составленного вами списка.
Обратите внимание, что сетевые службы и приложения используют сотни различных портов TCP и UDP. Если вы разрешите только работу с web-сайтами (порт 80), то вы не сможете использовать другие ресурсы Интернета, такие как FTP, электронная почта (e-mail), совместный доступ к файлам, потоковый звук и видео и т. д. Поэтому данный способ подходит только тогда, когда вы хотите свести к минимуму число сетевых служб и приложений, работающих на вашем компьютере.
Данная статья будет посвящена следующему вопросу: каким образом открыть порт в Windows 7. Стоит отметить, что приведенная инструкция-схема имеет силу только в случае, если на компьютере работает предустановленный штатный брандмауэр (другими словами, FireWall).
Приведем последовательность всех шагов, нужных для непосредственного открытия портов в такой операционной системе, как Windows 7. Инструкция не очень сложная по этому разобраться сможет каждый пользователь даже не самый опытный.
Открываем порты на Windows 7
Шаг 1. Через «Пуск» следует открыть «Панель управления».
Шаг 3. Заходим в «Доп. параметры».
Шаг 4. После предыдущего этапа обязательно должно появиться окошко под названием «Брандмауэр Windows в режиме повышенной безопасности». После этого в списке, находящемся слева, нужно кликнуть на «Правила для входящих подключений».
Шаг 5. Обращаем свое внимание на список справа, где, как нетрудно догадаться, следует выбрать категорию «Создать правило». Такая процедура откроет «Мастер создания нового правила».
Шаг 6. Мастер должен спросить Вас о типе создаваемого правила. В данном случае, нужно выбрать «Для порта», продолжив создание кнопкой «Далее».
Шаг 7. Следующим вопросом будет, соответственно, номер создаваемого порта (либо диапазон). Нужно вводить номер в ячейке под названием «Определенные локальные порты». Важно, что если нужен именно диапазон, то использовать необходимо дефис. Кликаем «Далее».
Шаг 8. Разрешаем подключение и нажимаем опять «Далее».
Шаг 9. Для каких профилей нужно использовать создаваемый порт? В данном случае, выделяем три: Публичный, Доменный и Частный.
Шаг 10. Нужно задать имя нового порта и, по желанию, определенное описание. В заключение, подтверждаем создание правила кнопкой «Готово». Увидеть только что созданное правило можно в самом начале всего списка.
Открыть порт в Windows 7 важные замечания
1. В том случае, если на компьютере поставлен внешний FireWall (отдельно), то, соответственно, настройку проброса портов нужно находить именно в нем. Отметим, что в некоторых случаях антивирусные программы по умолчанию заменяют функции стандартного FireWall.
2. Если подключение к Интернету происходит через модем/роутер, то открытие портов нужно проводить непосредственно на устройстве.
3. Учитывать также необходимо следующее: есть случаи, когда создание новых портов закрыто непосредственно самим провайдером. Тогда любые действия не приведут к успеху, и следует обратиться к провайдеру.
Как закрыть tcp порт?
Ответ мастера:
Протокол TCP - это стандарт для обмена различной информацией между персональными компьютерами. В операционных системах, соблюдением протоколов и обменом информацией занимается сетевой экран, который называется брэндмауэром. Это программа, которая может тестировать состояние области обмена, или порта. При помощи использования правил, можно через какой либо конкретный порт управлять обменом информацией.
После того, как откроете меню «Пуск» на рабочем столе в нижнем углу слева. Выбирайте вкладку «Панель управления» и запускайте параметр «Брэндмауэр». Если, у вас был загружен вид по различным категориям действий, нажмите на ссылку «Система и безопасность». После открытия страницы настроек, щелкните по надписи «Брэндмауэр», чтобы загрузить окно программы. Этот алгоритм действий применяют, в случае, если используется операционная система Windows 7.
Далее, надо щелкнуть по ссылке «Дополнительные параметры» в столбце, что находится на странице слева. После того, как загрузится окно центра контроля учетных записей, нужно будет подтвердить свои намерения и ввести пароль администратора.
Затем, нужно будет нажать на строчку «Правила для входящих подключений» в новом окне слева. После этих действий, появляется список необходимых правил и приложений к ним. Нажмите на надпись «Создать правило», она располагается в правой верхней части окна. Далее, загрузится диалог мастера для создания правил по работе с сетевым экраном.
Затем, нужно будет поставить отметку в строке «Для порта» и нажать «Далее». Потом отметьте пункт «Протокол TCP» на следующей загрузившейся странице сверху, а в нижней ее части вводите номер порта, доступность которого вы хотите ограничить. Потом щелкните по кнопке «Далее».
Нужно поставить отметку напротив пункта «Блокировать подключение» и щелкнуть надпись «Далее». В следующем окне надо будет отметить галочками три пункта: публичный, частный, доменный,- чтобы созданное вами правило срабатывало на все виды подключений. Чтобы перейти к следующей странице настройки, необходимо щелкнуть по кнопке «Далее».
Теперь, нужно задать имя для правила, которое вы создали, например «Port 88», чтобы с его помощью можно было легко его найти, если это потребуется. Можете при необходимости, добавить описание. Щелкните по кнопке «Готово». Процесс создания правила для входящего подключения, теперь успешно завершен.
Если, вы повторите такие действия, начиная с третьего, заканчивая шестым пунктом, то вы заблокируете исходящие подключения и закроете tcp порт. Единственная разница, будет в том, что нужно будет нажать на ссылку «Правила для исходящего подключения». После этого, окна настроек, надо закрыть и перезагрузить ваш компьютер. Теперь, и это правило сможет успешно работать.
Привет всем читателям блога.
Сегодня мы поговорим о портах Windows
и как их закрыть. Чтобы защитить компьютер, не обязательно пользоваться брандмауэром: вы можете вручную закрыть порты и блокировать некоторые протоколы.
Брандмауэр способен защитить персональный компьютер и сеть от незваных гостей. Если вы не хотите устанавливать брандмауэр, но все же хотите защитить свой компьютер, то у вас есть возможность вручную закрыть тот или иной порт или блокировать определенные протоколы.
Некоторые порты и протоколы могут быть использованы для атаки на вашу систему. Например, кто-нибудь может управлять вашим компьютером с помощью службы Telnet
, если порт, через который она обычно работает (порт 23)
, оставлен открытым
. Во многом известный троян
Back Orifice,
дающий отморозкам неограниченную власть над вашей системой, использует различные порты, и порты с номерами 31337
и 31338
.
Чтобы защитить свой компьютер, вам стоит закрыть все порты, кроме тех, которые нужны
для работы, например порт 80
должен быть открыт, если вы хотите просматривать
web - страницы
.
Как закрыть порты
Чтобы вручную закрыть порты и блокировать протоколы, щелкните правой кнопкой мыши
на папке Сетевое окружение
(My Network Places) и выберите пункт Свойства
(Properties), откроется папка Сетевые подключения
(Network Connections). Затем щелкните правой кнопкой мыши на соединении, для которого вы хотите закрыть порты, и снова выберите Свойства
. Выделите в списке строчку Протокол Интернета (TCP/IP)
(Internet protocol (TCP/IP) и щелкните на кнопке Свойства
(Properties).
На вкладке Общие
(General) щелкните на кнопке Дополнительно
(Advanced). В появившемся диалоговом окне Дополнительные параметры TCP/IP
(Advanced TCP/IP Settings) перейдите на вкладку Параметры
(Options), выделите строчку Фильтрация TCP/IP
(TCP/IP Filtering) и щелкните на кнопке Свойства
(Properties). Появится диалоговое окно Фильтрация TCP/IP
(TCP/IP filtering)
. Чтобы заблокировать порты TCP, UDP
и протоколы IP,
для каждого из них выберите пункт Только
(Permit only).
Таким образом вы успешно закроете все порты TCP, UDP
и заблокируете протоколы IP
.
Как устранить ошибки в портах читайте
Однако закрыть все порты - это не выход. Нужно указать системе, через какие порты можно
передавать данные. Запомните
, что если вы хотите просматривать web - страницы
, необходимо открыть порт 80
! Чтобы открыть определенные порты или разрешить использование некоторых протоколов, щелкните на кнопке Добавить
(Add). Укажите порты и протоколы, которые вы хотите открыть, а затем нажмите ОК
. Теперь будут использоваться только порты и протоколы из составленного вами списка.
Обратите внимание, что сетевые службы и приложения используют сотни различных портов TCP и UDP . Если вы разрешите только работу с web - сайтами (порт 80) , то вы не сможете использовать другие ресурсы Интернета, такие как FTP , электронная почта (e - mail) , совместный доступ к файлам, потоковый звук и видео и т. д. Поэтому данный способ подходит только тогда, когда вы хотите свести к минимуму число сетевых служб и приложений, работающих на вашем компьютере.
Получение списка имеющихся в системе портов
Существует как минимум два способа:
1.
Список доступных портов можно узнать, проанализировав ключ реестра
HKEY_LOCAL_MACHINE/HARDWARE/DEVICEMAP/SERIALCOMM
2.
Можно поочередно попробовать открыть порты COM1 .. COM9,
таким образом удастся
установить все доступные порты
(т. е. порты, не открытые
другими приложениями).
Как отключить ненужные службы Windows XP Вы можете узнать