windows防火墙配置与勒索病毒防范-限制445端口访问

原理

最近流行的勒索病毒，利用了windows操作系统的已知漏洞。如果本机对外开放了445端口，将会存在一定的风险被局域网内的其他机器感染。

只要封掉TCP 445 端口，以及UDP 137,138,139端口，即可极大降低被其他机器感染的可能性。当然，安全上网仍然是必要的，例如不要随意点击不明的网站网址或邮件附件。

简单来说，采用windows默认的防火墙规则配置就是OK的。

相关规则如下。

以上分别配置了 UDP 137,138,139和TCP 445端口的规则。

可见，只在专用网络启用了规则。对于没有启用的规则，默认为禁止访问。

以下以445端口为例。

windows防火墙规则与网络位置的关系

如果设置为公用网络，则本地的445端口，对其他局域网计算机也是不可访问的。例如，

# nc -n -v -w 5 192.168.105.173 445

(UNKNOWN) [192.168.105.173] 445 (microsoft-ds) : Connection timed out

如果设置为工作网络。现在，本地局域网可以访问TCP 445端口。

# nc -n -v -w 5 192.168.105.173 445

(UNKNOWN) [192.168.105.173] 445 (microsoft-ds) open

设置为家庭网络，本地局域网同样可以访问TCP 445端口。

实际使用中，对于一般的PC或笔记本，没有必要开放445端口。所以最简单办法是：

将本地网络设置为公用网络。这样做，并不会影响本机访问局域网的其他资源。

END