说到这个445端口,我可是折腾过好一阵子,今天就跟大家唠唠我的实践过程。
最早注意到这玩意儿,还是因为有段时间想在家里几台电脑之间共享个文件啥的。你知道,就是那种,这台电脑下载个电影,想直接在另一台电脑上看。那时候就捣鼓Windows那个“网络和共享中心”,点来点去,设置文件夹共享。
设置好之后,确实挺方便,直接在“网络”里就能看到别的电脑,点进去就能访问共享出来的文件夹。当时也没多想,能用就行。
后来有一次,不知道是哪里看到的消息,还是自己瞎琢磨,想看看自己电脑都开哪些“门”在外面。
我就打开那个黑乎乎的命令行窗口,就是那个CMD。输个命令,好像是 `netstat -ano` 还是 `-an` 来着,记不太清,反正就是看网络连接状态的。一回车,刷出来一大堆东西,各种IP地址和端口号。
这时候我就注意到,列表里有个 `TCP 0.0.0.0:445` 后面跟着 `LISTENING`。我当时就纳闷,这445是干嘛的?怎么就监听上?
我怎么查这个445端口是干啥的
我就去网上搜搜。发现这445端口,原来就是Windows用来搞文件和打印机共享的,走的是一个叫SMB的协议。跟我之前设置的那个文件共享正好对上。它跟以前老的那个139端口有点像,但好像更“现代”一点,可以直接用TCP/IP跑,不需要额外的NetBIOS。
看到这里,我心里咯噔一下。 因为当时网上关于网络安全的消息也挺多的,特别是提到有些病毒、啥的,就喜欢利用这些常见的开放端口钻进来。我记得特别清楚,那会儿好像有个叫“WannaCry”的,闹得沸沸扬扬,据说就是利用SMB服务的漏洞,通过445端口传播的。
这下我可坐不住。心想,我家这几台电脑虽然都在路由器后面,算是个内网,但谁知道哪天会不会出问题?万一路由器被黑,或者家里来个带病毒的笔记本一连WiFi,那不是直接就能扫到我开着的445端口?想想都后怕。
我是怎么处理这个端口的
安全第一。我就开始琢磨怎么把它关掉,或者至少限制一下。
- 检查共享需求: 我先看看,哪些电脑是真的需要一直开着文件共享。发现大部分时间是不需要的,偶尔用一下而已。
- 关闭服务: 对于那些不需要共享的电脑,我找到一个比较直接的方法。就是在“服务”(*)里面,找到一个叫做 "Server" 的服务。描述里就写着支持文件、打印共享。我寻思着,既然电脑不作为服务器给别人提供共享,那这个服务关应该没啥大影响。我就把它停止,并且设置成“禁用”,这样开机它就不会自己启动。
- 防火墙设置: 对于还需要偶尔用共享的电脑,我没直接关服务。而是去研究一下Windows自带的防火墙。在高级设置里,可以找到关于“文件和打印机共享”的入站规则。可以尝试禁用这些规则,或者更精细一点,修改规则的范围,比如只允许特定IP地址访问。我当时图省事,暂时先在不需要的时候把相关规则给禁用。
- 检查NetBIOS: 我还看下网络连接的属性,里面有个TCP/IP v4的设置,高级选项里有个WINS标签页,底下有NetBIOS设置。有些教程说把“禁用TCP/IP上的NetBIOS”选上,也能间接影响到一些老的共享方式,减少暴露面。我也顺手给设置。
这一通操作下来,我再用 `netstat -an` 命令去看,果然,大部分电脑上的445端口都不再是 `LISTENING` 状态。 心里踏实多。
后来我也知道,完全关闭共享有时也不方便。所以关键还是看需求。如果确实需要用,那就得确保系统补丁都打全,防火墙规则设置严格点,只允许信任的设备访问。对于完全不需要对外提供共享的普通家用电脑,我个人觉得,关掉那个 "Server" 服务,或者通过防火墙阻止外部访问445端口,是个比较省心省力的做法。
基本上,这就是我当初折腾445端口的整个过程。从一开始为方便打开共享,到后来意识到安全风险,再到自己动手去检查和关闭。算是一次挺实际的网络安全小实践。
