前沿拓展：

445端口關(guān)閉win7

第一，來查看下系統(tǒng)當前都開放了什么來自端口，怎樣查看呢？調(diào)出cmd命令行程序，輸入命令”netstat -na“，可以看到。

接著，必括甲源史臨功綠可以發(fā)現(xiàn)當前系統(tǒng)開放了135、445以及5357端口，而且從狀揮括格板地念眾劇洲哥態(tài)看都處于**狀態(tài)”Listening“

第二苗頭隊講，確認自己的系統(tǒng)已經(jīng)開放了445端口之后，我們開始著手關(guān)閉這個高危端口。第一進入系統(tǒng)的”注冊表編輯器“，步驟是：依次點擊”開始“，”運行“，輸入regedit進入”注冊表編輯器“。

接著，依次點擊注冊表選項素從果切記官初達消景奏”HKEY_LOCBT這個服務(wù)的相關(guān)注冊表項。

第二，在Para方富慶者菜局功常么切meters這個子項的右側(cè)，點擊鼠標右鍵，“新建”，“QWORD（64位）值”，第二重命名為“**BDeviceEnabled”，再把這個子鍵的值固交筆層指官有系啊州壞改為0。

接著，如果你的系統(tǒng)為windows xp系統(tǒng)的興阻星識綠話，那么重新啟動就可以關(guān)閉系統(tǒng)的445端口了。但是如果是windows 7系統(tǒng)的話，這樣還不行！
你還要做的就是把**作系統(tǒng)的server服務(wù)關(guān)閉，依次點擊“開始”，“運行”，輸入services.msc，進入**控制臺。

第二，找到serve拉稱差之倍揚概乙r服務(wù)，雙擊進入管理控制頁面。把這個服務(wù)的啟動類型更改為“禁用”，服務(wù)狀態(tài)更改為“停止”，最后點擊應用即可。

8
最后，重新啟動**作系統(tǒng)看看吧，是不是445端口已井阻馬考山驗李矛材是耐經(jīng)關(guān)閉了！

本文作者：李勤，雷鋒網(wǎng)網(wǎng)絡(luò)安全專欄作者。

4月14日晚上，網(wǎng)絡(luò)安全研究員余弦在23點16分發(fā)了一條朋友圈：

方程式組織又被 Shadow Brokers 泄了一堆工具，都過去六個小時了，沒人關(guān)注了呀。

這一晚靜悄悄地過去了，4月15日（周六）一大早，雷鋒網(wǎng)發(fā)現(xiàn)，網(wǎng)絡(luò)安全圈簡直要炸鍋了！

原來，這事影響真的挺大的。

事情是這樣的，“The ShadowBrokers”是一個神秘組織，該組織聲稱他們黑進了方程式黑客組織（Equation Group）–一個據(jù)稱與美國情報機構(gòu)國家**（NSA）有關(guān)系的網(wǎng)絡(luò)攻擊組織，并下載了他們大量攻擊工具。

“The ShadowBrokers”和 Equation Group 是老冤家了，以前就黑進去過 Equation Group。

上周周六，“The ShadowBrokers” 就泄露了大量 NSA 的文件，其中深度披露了這家精英間諜機構(gòu)的黑客攻擊方法，而且曝光了一批漏洞，這批漏洞主要針對Sun OS、Solaris 。

在 Medium 上的一篇長博文中，“The ShadowBrokers” 分享了一個可以打開所有加密文件夾的密碼（此前該組織試圖在互聯(lián)網(wǎng)上拍賣）。該組織表示，此舉是為了表達對特朗普**上任以來的不滿，其中包括本周早些時候?qū)⒗麃喛哲娀匕l(fā)動的**襲擊。

沒想到，4月14日（本周周五），它又泄露了一份機密文檔，其中包含了多個 Windows 遠程漏洞利用工具，可以覆蓋全球 70% 的 Windows 服務(wù)器。

“Monster@長亭科技”撰文稱：

“一夜之間所有Windows服務(wù)器幾乎全線暴露在危險之中，任何人都可以直接下載并遠程攻擊利用，考慮到國內(nèi)不少高校、**、國企甚至還有一些互聯(lián)網(wǎng)公司還在使用 Windows 服務(wù)器，這次**影響力堪稱網(wǎng)絡(luò)大地震。

目前已知受影響的 Windows 版本包括但不限于：Windows NT，Windows 2000（沒錯，古董也支持）、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8，Windows 2008、Windows 2008 R2、Windows Server 2012 SP0?！?/p>

想必看到上述資料時你已經(jīng)一臉懵b，為此，我們特地采訪了360企業(yè)安全的360天眼實驗室安全專家汪列軍，為你解析這次**。

［ 4 月 14 日晚，“Shadow Brokers” 終于忍不住了，在推特上放出了他們當時保留的部分文件，解壓密碼是 “Reeeeeeeeeeeeeee”。來源：bleepingcomputer］

雷鋒網(wǎng)：為什么高校、**、國企甚至還有一些互聯(lián)網(wǎng)公司還在使用 Windows 服務(wù)器？ Windows 服務(wù)器不是收費嗎？為什么不用免費的 Linux 服務(wù)器？

汪列軍：誰說是收費的？有些組織根本用的就是盜版的 Windows 服務(wù)器。尤其，這次受到影響最大的是Windows 2003 的服務(wù)器，從微軟的相關(guān)協(xié)議里可以知道，現(xiàn)在微軟基本已經(jīng)對Windows 2003 停止提供服務(wù)了，也就是說，這次曝出的漏洞以及漏洞利用工具，如果微軟不出補丁，那么對Windows 2003 這種老版本的服務(wù)器影響很大。但是，放出的個別工具可以攻擊Windows 10。

雷鋒網(wǎng)：這次放出這么多 Windows 服務(wù)器的漏洞，和個人電腦用戶有什么關(guān)系？主要影響的是誰？

汪列軍：對個人用戶影響有部分影響，主要影響的是擁有服務(wù)器的組織以及安全管理員。比如，個人用戶的電腦如果打開了某些針對服務(wù)端的端口，也會受到影響，而且，XP和Win7 的445端口開放而且默認可訪問，個人用戶需要及時打補丁。Win10也一樣，需要關(guān)閉Server服務(wù)，或配置防火墻，如果不會上述**作，就要及時打補丁。

同時，對內(nèi)網(wǎng)的個人用戶也會產(chǎn)生很大影響。

針對使用Windows服務(wù)器的相關(guān)組織，網(wǎng)絡(luò)安全維護人員要注意：

要關(guān)閉 137、139、445端口；對于 3389 遠程登錄，如果不想或者不能關(guān)閉的話，至少要關(guān)閉智能卡登錄功能，需要設(shè)置訪問過濾，不能隨便放在網(wǎng)上誰都能用；如果有邊界防護設(shè)備，網(wǎng)絡(luò)安全管理員要把受影響的端口禁掉；安全人員必須趕緊排查自家的 Windows服務(wù)器，了解是否已經(jīng)被入侵。

最重要的是，這次放出的不是針對 Windows服務(wù)器的單個漏洞利用工具，而是非常完善的一個漏洞利用框架和系統(tǒng)性的漏洞利用工具套裝，毫不夸張地說，對使用者的技術(shù)要求比較低，幾乎都能下載這套工具發(fā)動攻擊，而受到攻擊的 Windows服務(wù)器幾乎就成了攻擊者的“肉雞”，上面所儲存的信息、服務(wù)器承載的各項功能權(quán)限、計算能力等都能被攻擊者獲取。

很可怕的是，你可以看到，這次是周五放出的漏洞，周末黑產(chǎn)人員是不會休息的，但很多安全公司周末是放假的，十六七個小時過去了，自家服務(wù)器是不是已經(jīng)被利用了很難說。不過，需要指出的一點是，針對銀行系統(tǒng)儲戶信息是否可能泄露的問題，我了解到的是——得看 Windows服務(wù)器上是不是有這種數(shù)據(jù)庫，這些重要數(shù)據(jù)一般都在 Unix 系統(tǒng)上，或者在 IBM 的小型機上。

另外，360公司態(tài)勢感知方面的專家張翀斌對雷鋒網(wǎng)表示，銀行的核心系統(tǒng)一般確實不采用 Windows ，但辦公系統(tǒng)采用 Windows 系統(tǒng)。

雷鋒網(wǎng)還了解到，這次“The ShadowBrokers” 分享的文件有三個目錄，分別為“Windows”、“Swift” 和 “OddJob”，包含一堆令人震撼的黑客工具。

其中，讓汪列軍覺得比較有意思的工具有：ESTEEMAUDIT ，它是 RDP 服務(wù)的遠程漏洞利用工具，可以攻擊開放了3389 端口的 Windows 機器；ERRATICGOPHER 、ETERNALBLUE 、ETERNALSYNERGY 、ETERNALCHAMPION 、EDUCATEDSCHOLAR、 EMERALDTHREAD 等是 **B 漏洞利用程序，可以攻擊開放了 445 端口的 Windows 機器，不過，關(guān)于 **B 漏洞，3月份廠商已經(jīng)發(fā)布了相關(guān)補丁。

汪列軍將這些工具稱為“以前只在圈子里傳說的工具，沒想到真的存在”，包括他在內(nèi)的一些安全圈人士認為，這次泄漏的攻擊程序?qū)τ诜?wù)器系統(tǒng)來說是最完整，也是影響最大的一次泄漏**，甚至，有4、5個零日漏洞（目前已經(jīng)有補丁發(fā)布）都被放出。他還指出，Windows 服務(wù)器是一個重災區(qū)，尤其對于**，很多老版本的Windows 服務(wù)器還在運行。

“Swift”則包含了一些攻擊銀行 Swift 系統(tǒng)的活動痕跡，“OddJob”則是是無法被殺毒軟件檢測的 Rootkit 利用工具，據(jù)汪列軍介紹，這是一個在攻破 Windows 服務(wù)器后安裝后門，攻擊者打算長期“潛伏”的工具。

雷鋒網(wǎng)還收到了 360企業(yè)安全專家江愛軍對正在使用 Windows 服務(wù)器的用戶的一份建議：

1. 盡快聯(lián)系安全服務(wù)廠商制定解決方案；

2. 停掉不必要的有漏洞的組件 ；

3. 對于必須開啟的有漏洞的系統(tǒng)組件：a) 微軟已經(jīng)停止更新的系統(tǒng)推薦升級到無漏洞的系統(tǒng)版本，b) 微軟還在支持的系統(tǒng)，等微軟的補丁。

目前對Windows 2003以上的**作系統(tǒng)，打上最近的補丁，都不受這波攻擊工具的影響，建議用戶打上最新的補丁（MS17-010）。

在截稿前，雷鋒網(wǎng)發(fā)現(xiàn)，微軟 SRC 剛發(fā)布了一則風險評估公告，該公告稱，目前“The ShadowBrokers”發(fā)布的部分漏洞已經(jīng)有補丁放出。

微軟的建議措施截圖如下：

微軟公告鏈接：https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

綠盟科技的專家徐特向雷鋒網(wǎng)發(fā)來提醒信息：ms17-010 補的三個**b漏洞還是需要大家多關(guān)注，這個補丁上個月才發(fā)布，估計大量服務(wù)器還沒有更新。

在我們感嘆 NSA 技術(shù)能力確實很強時，一個板上釘釘?shù)氖聦嵤?，網(wǎng)絡(luò)安全維護人員本周末要加班了！

本文作者：李勤，雷鋒網(wǎng)網(wǎng)絡(luò)安全專欄作者。

拓展知識：

445端口關(guān)閉win7

445端口是什么
445端口是一個毀譽參半的端口，他和139端口一起是IPC$入侵的主要通道。有了它我們可以在局域網(wǎng)中輕松訪問各種共享文件夾或共享打印機，但也正是因為有了它，黑客們才有了可乘之機，他們能通過該端口偷偷共享你的硬盤，甚至會在悄無聲息中將你的硬盤格式化掉！我們所能做的就是想辦法不讓黑客有機可乘，封堵住445端口漏洞。
關(guān)閉445端口方法一：命令符關(guān)閉
1、第一我們來看看當前系統(tǒng)都開放了那些端口，使用快捷鍵Win+R調(diào)出運行窗口，輸入cmd進入到命令程序窗口，接下來輸入命令“netstat
-na”接口看到此時445端口已經(jīng)處于開啟狀態(tài)，如圖所示。
445端口怎么關(guān)閉
最全關(guān)閉445端口方法大全
445端口怎么關(guān)閉
最全關(guān)閉445端口方法大全
445端口怎么關(guān)閉
最全關(guān)閉445端口方法大全
2、接下來以管理員的身份打開運行命令程序窗口，在CMD窗口輸入以下命令：
netsh
a**firewall
set
allprofile
state
on
netsh
a**firewall
firewall
add
rule
name=deny445
dir=in
action=block
protocol=TCP
localport=445
445端口怎么關(guān)閉
最全關(guān)閉445端口方法大全
看到下方有確定即可說明關(guān)閉成功。
關(guān)閉445端口方法二：開啟防火墻（此方法適合Win7/8.1/10系統(tǒng)）
1、第一打開Win10防火墻，第二點擊進入左側(cè)的“高級設(shè)置”
445端口怎么關(guān)閉
最全關(guān)閉445端口方法大全
2、打開防火墻高級設(shè)置后，先點擊左側(cè)的“入站規(guī)則”，第二在點擊右側(cè)的“新建規(guī)則”如下圖所示。
445端口怎么關(guān)閉
最全關(guān)閉445端口方法大全
3、在新建規(guī)則設(shè)置中，依次選擇“端口”下一步“TCP（UDP）”，并選擇“特定本地端口”，第二輸入端口名“445”，繼續(xù)點擊下一步，如下圖所示。
445端口怎么關(guān)閉
最全關(guān)閉445端口方法大全
4、第二下一步，在“**作”選項中，選擇“阻止連接”，如下圖所示。
445端口怎么關(guān)閉
最全關(guān)閉445端口方法大全
5、最后在名稱中命名為“禁用445端口”，之后點擊“完成”即可，