# Форум на русском языке  > Угрозы информационной безопасности  > Сетевые атаки  >  Закрытие портов 135 и 445 вручную

## SDA

135 и 445 необходимо закрыть - это серьёзные дырки. Если фаером не получается а это бывает то надо делать следущее:

1. Закрываем порт 135 (Disabling Distributed COM (DCOM)).

Способ 1.
Пуск -> Выполнить и вводим
Dcomcnfg.exe
Что бы выключить DCOM, открываем панель "Свойства по умолчанию" и убираем галочку "Разрешить использовать DCOM на этом компьютере".
Перезагружаемся.

Способ 2.
В ключе регистра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
у параметра "EnableDCOM" , имеющего значение "Y" изменить это значение на "N"
"EnableDCOM"="N"
Перезагружаемся.

2. Закрываем порт 445 TCP/UDP (NetBT).

Способ 1.
Открываем панель упровления -> Система -> Оборудование -> Диспетчер устройств. В меню "Вид" выбираем "Показывать скрытые устройства".
В списке устройств появятся "Драйверы устройств не Plug and Play".
Открвыаем этот пункт, и в появившемся списке открываем "NetBios через TCP/IP" -> Драйвер -> и в Автозагрузка -> Тип ставим "Отключено".
Перезагружаемся.

Способ 2.
В ключе регистра
у параметра TransportBindName, имеющего значение \Device\ ,
удаляем это значение.
Перезагружаемся.

О закрытии порта 135 на Windows 2003 Server можно прочитать тут :
http://support.microsoft.com/default.aspx?kbid=826382

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Кто?

После закрытия *445*-го порта "the Bat" потерял связь с каталогами писем для одного из ящиков. Все каталоги для всех ящиков стоят по умолчанию, но потерялись только у одного.
*135* закрывал вторым способом, так как по первому не увидел "свойства по умолчанию" вообще. Но после перезагрузки у антихакера строка _"135    TCP    SVCHOST.EXE    -K RPCSS    0.0.0.0    00:27:44"_ осталась.
*Прокомментируйте пожалуйста*.

----------


## drongo

Вот эта программа делает подобное без лишних телодвижений : http://www.firewallleaktester.com/wwdc.htm

----------


## pig

> После закрытия *445*-го порта "the Bat" потерял связь с каталогами писем для одного из ящиков. Все каталоги для всех ящиков стоят по умолчанию, но потерялись только у одного.


Точно не сетевой каталог?

----------


## IgorA

> 1. Закрываем порт 135 (Disabling Distributed COM (DCOM)).
> Способ 1.
> Пуск -> Выполнить и вводим
> Dcomcnfg.exe
> Что бы выключить DCOM, открываем панель "Свойства по умолчанию" и убираем галочку "Разрешить использовать DCOM на этом компьютере".
> Перезагружаемся.


Полный путь к "Свойства по умолчанию":
Службы компонентов-Компьютеры-Мой Компьютер-Свойства-*"Свойства по умолчанию"*




> 2. Закрываем порт 445 TCP/UDP (NetBT).
> Способ 1.
> Открываем панель упровления -> Система -> Оборудование -> Диспетчер устройств. В меню "Вид" выбираем "Показывать скрытые устройства".
> В списке устройств появятся "Драйверы устройств не Plug and Play".
> Открвыаем этот пункт, и в появившемся списке открываем "NetBios через TCP/IP" -> Драйвер -> и в Автозагрузка -> Тип ставим "Отключено".
> Перезагружаемся.


 Остановка драйвера приводит к сообщению



> Следующие службы будут остановлены:
> DHCP-клиент


 Это надо иметь ввиду.
При закрытии порта программой http://www.firewallleaktester.com/wwdc.htm этого не происходит

----------


## Кто?

*pig*
Локальный. А что доступ ко всем расшареным будет закрыт?
 С помощью программы, порекомендованной *drongo* всё закрылось и ошибок небыло.

----------


## Синауридзе Александр

> Вот эта программа делает подобное без лишних телодвижений : http://www.firewallleaktester.com/wwdc.htm


Спасибо за ссылку! :Wink:  Все закрылось и без ошибок.

----------


## :-)

> Службы компонентов-Компьютеры


 после клика по папке Компьютеры окно сразу закрывается :Huh: 
Seconfig XP (не тестил)

----------


## :-)

SafeXP


Хотелось бы услышать мнение хелперов по следующим утилям :
Harden-It™



> Network Hardening Feature Set (Only NT,2000,XP,2003) :
> · Harden your server's TCP and IP stack (Netbios, ICMP, SYN, SYN-ACK..)
> · Protect your servers from Denial of Service and other network based attacks
> · Enable SYN flood protection when an attack is detected
> · Set the threshold values that are used to determine what constitutes an attack
> · Various other protections.


 Secure-It™ 



> Secure-It™ is a local Windows security hardening tool developed by Thierry Zoller, it proactively secures your PC by either disabling the intrusion and propagation vectors proactively or reduce the attack surface by disabling underlying functionality malware uses to execure itself.
> 
> It secures Windows desktop PCs against new dangers by blocking the root cause of the vulnerabilities exploited by malware, worms and spy ware . In some cases Secure-it is even able to protect your PC against threats prior to a patch release of the vendor.





> You should not use this tool if you are a novice.


 :Huh: 
пригодятся ли они для "дома,для семьи" ?

----------


## fp_post

более развернутые рекомендации по "закрытию" данных портов для 2k/Xp:
http://www.hsc.fr/ressources/breves/...win.en.html.fr

----------


## PORSHEvchik

Что делают упомянутые порты.На что повлияет их закрытие. Нет ли русской версии указанной программы. Программа показывает на моём компе три верхних пункта красным крестиком, два нижних - зелёными галочками (на что это указывает).

----------


## 3zna

Помогите! У меня исходящий GPRS(Динамический IP)б входящий со спутника(Сатгейт). Время от времени проскакивает входящий трафик по GPRS по протоколу TCP(Ускоритель спутникового инета,Slonax, работает в UDP). В основном на порт 135 и 445.  Сделал все как сдесь написано - порты вроде закрыты, а он все равно нет-нет проскакивает. Что делать? Как их вааще отрубить!? Пробовал поставить KIS(У меня KAV) - бесполезно. В политике безопасности установил запрет на все входящие TCP-все равно проскакивает....

----------


## megadat

> Что делают упомянутые порты.На что повлияет их закрытие.


 это нетбиос порты. если их закрыть, то если у вас есть локалка и была связь с ней, то выхода в локалку больше не будет. так же как и локалки к вам. так же не будет вывода на принтеры. 
я замуровываю эти порты уже рефлексорно и на вход и на ответ. а вот многие возмущаются, когда пропадает связь с локалкой. но боюсь сейчас это необходимо всем. чаще всего кидо заражаются именно из локалок через  порты 135/445. лучше прикрыться сейчас вот таким вот образом, чем потом жалеть.
тузла, которую предложил drongo просто замечательная особенно для тех кто не может самостоятельно замуровать данные порты. 
а данные порты позабивать я бы очень советовала бы сейчас всем без исключений. так же к этому относятся порты 137 и 139. их тоже стоит забить (если фаером, то все по отдельности 135. 137. 139. и 445. забить на вход и ответ.)

----------


## fp_post

> это нетбиос порты. если их закрыть, то если у вас есть локалка и была связь с ней, то выхода в локалку больше не будет. так же как и локалки к вам. так же не будет вывода на принтеры.


Данные порты и службы, их использующие, имеют не так много общего с NetBios.

См., например, здесь:
1.) http://www.hsc.fr/ressources/breves/...win.en.html.fr



> Before Windows 2000, the CIFS protocol was typically transported in NetBIOS over TCP/IP (NetBT), using TCP port 139.
> Starting with Windows 2000, CIFS can be transported directly in TCP/IP, without an intermediary NetBT layer. In that case, TCP port 445 is used (see http://www.ubiqx.org/cifs/SMB.html#SMB.1.2 for more information).
> To disable listening on TCP port 445, two methods are possible:
>  1. disable the NetBT driver
>  2. add a value in the registry to disable transport of CIFS in TCP....


2.) Подробнее об RPC:

How RPC Works:
http://technet.microsoft.com/en-us/l.../cc738291.aspx

RPC Dependency:
http://msdn.microsoft.com/en-us/library/bb736277(VS.85).aspx

Настройка брандмауэра Windows в Windows XP с пакетом обновления 2 (SP2) для работы со средствами удаленного администрирования, использующими инструментарий WMI, RPC или DCOM:
http://support.microsoft.com/kb/840634

Службы и сетевые порты в серверных системах Microsoft Windows (Kb832017):
http://support.microsoft.com/kb/832017


"Замуровывать" их (RPC/DCOM) дома - одно дело,
на работе (тем более, централизованно) - imho, нужно, как мимимум, хорошо подумать над тем, на чем эти службы (а открытые порты - это только следствие) используются, для чего, и какие от этих телодвижений будут последствия.

----------


## Dr.Gyger

Не совсем понял, если у меня выход в сеть идёт через АДСЛ-роутер, то, закрыв порты RPC и DCOM на машине соответственно потеряю связь с роутером? Он- то у меня компьютером видится как локалка...

----------


## Dr.Gyger

Еще вопрос вдогонку- если установлен фаерволл Аутпост- так не лучше ли закрыть порты через него, поскольку встроенный виндос-фаер я отключил? :Censored:

----------


## pig

> Не совсем понял, если у меня выход в сеть идёт через АДСЛ-роутер, то, закрыв порты RPC и DCOM на машине соответственно потеряю связь с роутером? Он- то у меня компьютером видится как локалка...


Вы потеряете связь с сетью Windows. TCP/IP как работал, так и будет работать.

*Добавлено через 33 секунды*




> Еще вопрос вдогонку- если установлен фаерволл Аутпост- так не лучше ли закрыть порты через него, поскольку встроенный виндос-фаер я отключил?


Что работает, тем и отключайте.

----------


## megadat

> Не совсем понял, если у меня выход в сеть идёт через АДСЛ-роутер, то, закрыв порты RPC и DCOM на машине соответственно потеряю связь с роутером?


 связь с роутером можно потерять только в одном случае, отключив в службах модуль поддержки NetBIOS , и переведя его в состояние отключить, в состоянии вручную, связь с роутером не будет прервана. заблочивание портов через программный фаервол не приводит никогда к потери связи с роутерами)

----------


## pig

> связь с роутером можно потерять только в одном случае, отключив в службах модуль поддержки NetBIOS


У вас есть роутер, доступ к которому возможен только через NetBIOS?

----------


## megadat

> У вас есть роутер, доступ к которому возможен только через NetBIOS?


 нет. у меня самый типичный роутер, но наверное неправильно объяснила. имелось ввиду переключение с прямого соединения на роутер с перебивкой сети. не знаю как у кого, но с прямого подключения на пересадку на роутер с отключенной службой модуля поддержки NetBIOS интернета у меня не было. а вот при запуске службы интернет мгновенно появлялся. потом, если не пересаживаться, а оставаться на роутере, то запуск службы уже не требуется)

----------


## pig

Что-то перемудрили в настройках, IMHO. Для интернета - через роутер, через модем, через Ethernet, через WiFi, через что угодно - должно быть достаточно "голого" TCP/IP. NetBIOS - это для локальной сети.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## 456

ADSL . В свойствах сетевых подключений оставлен только  TCP/IP .

Если закрыть 137 -139 с помощью WWDC - интернет пропадает .
Это нормально ?

----------


## taloran

> ADSL . В свойствах сетевых подключений оставлен только  TCP/IP .
> 
> Если закрыть 137 -139 с помощью WWDC - интернет пропадает .
> Это нормально ?


Нет, такого быть не должно. Воможно вы обрубили запуск службы DHCP.
Также посмотрите, какие у вас ещё отключены службы.

----------


## 456

Понятно .
Служба включена . Адрес от провайдера  получаю .
Может здесь еще компьютер с модемом по этим портам работает .

----------


## time

Как в висте закрыть 135 порт?даже наверное не закрыть а вообще убрать чтобы он вообще исчез?такое возможно сделать или нет?в xp это делает программа Windows Worms Doors Cleaner,она как то убирает вообще этот порт но служба Запуск серверных процессов DCOM продолжает работать

----------


## SDA

> Как в висте закрыть 135 порт?даже наверное не закрыть а вообще убрать чтобы он вообще исчез?такое возможно сделать или нет?в xp это делает программа Windows Worms Doors Cleaner,она как то убирает вообще этот порт но служба Запуск серверных процессов DCOM продолжает работать


В Vistе нет возможности  'закрыть' как на XP. MS-RPC (135) открыт по умолчанию.
почитайте для информации, очень интересно http://www.xakep.ru/magazine/xs/072/058/1.asp
Если владеете английским http://www.symantec.com/avcenter/ref...ackSurface.pdf

----------


## Victorius

что нужно сделать чтобы сетка заработала.....я закрыл порты,а как их открыть

----------


## zeroua

Закрытие портов, небольшое обсуждение: 




```
Windows Registry Editor Version 5.00

; BEZOPASTNOST\В помощь файерволам\wwdc.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM"="N"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc]
"DCOM Protocols"=hex(7):20,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\Internet]
"UseInternetPorts"="N"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT]
"Start"=dword:00000003
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"SmbDeviceEnabled"=dword:00000000
```

*oszone.net*

----------


## Павлик

> В Vistе нет возможности 'закрыть' как на XP. MS-RPC (135) открыт по умолчанию.


А какая существует в Висте иная возможность закрытия этого порта?

----------


## time

> А какая существует в Висте иная возможность закрытия этого порта?


Самое простое это поставить какой нибудь фаервол
еще есть странный прикол ошибка системы-когда все порты исчезают,включая 135,толи они просто не отображаются толи из за ошибки вообще исчезают
работает на windows 7 и на висте:
в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc добавить раздел Internet,просто раздел без каких либо параметров,перезагрузиться,проверить открытые порты-вы ниодного не найдете(не выходя в инет естественно
в журнале ошибок появляется критическая ошибка-от нее можно избавиться отключив планировщик задач,службу через редактор реестра,но после этого например восстановление системы не будет работать,а в висте еще и раскладка клавы не переключается
мне интересно только одно порты просто не отображаются из за ошибки или реально пропадают??

----------


## highwaystar

> Цитата:
> Сообщение от drongo
> Вот эта программа делает подобное без лишних телодвижений : http://www.firewallleaktester.com/wwdc.htm
> Спасибо за ссылку! Все закрылось и без ошибок.


Дайте эту программу плиз. Ссылка уже работает.

----------


## Гриша

> Дайте эту программу плиз. Ссылка уже работает.


 :Smiley:

----------


## Павлик

*Гриша*, А в Zip формате можно? А то WinRAR нет, а ставить его мне противопоказано  :Smiley:

----------


## ALEX(XX)

> *Гриша*, А в Zip формате можно? А то WinRAR нет, а ставить его мне противопоказано


Ставьте 7zip. Он бесплатен и понимает rar

----------


## akyer

Всем привет. Закрыл порт 135 через реестр (способ 1 не нашел панель "Свойства по умолчанию"), но AVZ показывает 135-й в списке открытых портов.

----------


## zhelezyaka

> 135 и 445 необходимо закрыть - это серьёзные дырки. Если фаером не получается а это бывает то надо делать следущее:
> 1. Закрываем порт 135 (Disabling Distributed COM (DCOM)).
> Способ 1.
> О закрытии порта 135 на Windows 2003 Server можно прочитать тут :
> http://support.microsoft.com/default.aspx?kbid=826382


   Здравствуйте!  
  С недавних пор Аваст стал блокировать  атаки при этом только на провайдере корбина от (билайна) закрывал порты ничего не помогает!!!!!!  Проверял на вирусы -  вирусов нет
  Я звонил в тех поддержку писал письмо со скринами раб стола, мне сказали, что типа у меня  вирусы провретесь! - Проверялся 3-мя антивирусниками   ничего нет!) когда я   пользуюсь другим  интернетом то никаких  атак нет и пакетов нет!!!!!!  А когда  подключаю "Билайновский интернет вот тут опять идет атака, я уже и не знаю что делать....  Если стоит не Аваст и идет атака то  интернет работает 5 мин потом захожу в него тока после перезагрузке  и опять же работает все около 5-10 мин,  и спасает толь-ка переустановка Виндус! Щас стоит Аваст  и он блокирует атаки. Вот сижу и думаю ну какой простите  "удот" сидит и меня атакует  , кстати  у друга в бежице такая хрень была месяца  три назад.  Я просто уже не знаю кому написать и что делать,  просто  никто не хочет ничего  делать спихивают на вирусы в компе, но опять - же  вернусь к тому что  в другом интернете у меня никаких вирус-пакетов-атак  не приходит!!!!! Значит это идет как-то из под сети!?!!

----------


## SDA

Гадалки отсутствуют.

----------


## zhelezyaka

> 2. Закрываем порт 445 TCP/UDP (NetBT).
> 
> Способ 1.
> Открываем панель упровления -> Система -> Оборудование -> Диспетчер устройств. В меню "Вид" выбираем "Показывать скрытые устройства".
> В списке устройств появятся "Драйверы устройств не Plug and Play".
> Открвыаем этот пункт, и в появившемся списке открываем "NetBios через TCP/IP" -> Драйвер -> и в Автозагрузка -> Тип ставим "Отключено".
> Перезагружаемся.


Сделал по этому способу вот что происходит  на скриншоте:

----------


## pig

IMHO, одно с другим не связано. Или совпало, или что-то ещё вырубили.

----------


## zhelezyaka

> IMHO, одно с другим не связано. Или совпало, или что-то ещё вырубили.


Нет имено когда отключаю  "NetBios через TCP/IP" - то сеть пропадает!!!!!!

----------


## AndreyMust19

Как вижу, у многих возникают проблемы с отключением. Итак, надо закрыть 135 порт, разрешив принимать пакеты только от 127.0.0.1? Вроде бы система сама с собой общается через svchost.exe:125.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## [PK]shtorm4er

Скажите пожалуйсто если закрыть 135 и 445 порты, смогу ли я заходить на расшареный ресурс ?

----------


## XiTri

> Скажите пожалуйсто если закрыть 135 и 445 порты, смогу ли я заходить на расшареный ресурс ?


НЕТ

Можно отключить службу сервера, тогда только к вам не смогут заходить.
И ещё можно обозреватель сети отключить, тогда в сетевом окружении у вас будет пусто, но заходить на другие компы можно будет вводя адрес вручную.

----------


## [PK]shtorm4er

> НЕТ
> 
> Можно отключить службу сервера, тогда только к вам не смогут заходить.
> И ещё можно обозреватель сети отключить, тогда в сетевом окружении у вас будет пусто, но заходить на другие компы можно будет вводя адрес вручную.


можно ли сделать так чтобы внутри сети сетевые вирусы не распространялися сами, только если зайдеш на какойнить расшареный ресурс с вирусом или флешкой принесеш, а не так что  1 принес на флешке а заразило всю сеть ?

----------


## pig

windowsupdate.microsoft.com поможет в защите сети от самоходных червей. Но не на все сто.

----------


## Ottche

Я вот долго бродил по форумам по поводу 135 порта.Чего только не начитался)))
Ничего не помогало.Оказалось что достаточно было скачать Outpost Security Suite Free абсолютно бесплатно,и через него запретить LSASS.exe использовать динамический порт DCOM.И не надо отключать DCOM и копаться в службах или реестре.Там для LSASS.exe другие способы назначены.Закрыл 135 и 139.Не знаю как локальная сеть,но с интернетом проблем нет,как и с роутером.

----------


## AndyTA

Вопрос отменяется:
"Уважаемые, drongo, IgorA, о какой программе шла речь (пост № 3, 5, 7) ?? (http://www.firewallleaktester.com/wwdc.htm). Ссылка по-прежнему не работает  :Sad:  Напишите хоть ее название. Или еще лучше выложите, пожалуйста."

Ответ получен, Olejah, спасибо!
Windows Worms Doors Cleaner 1.4.1 в хозяйстве пригодится.

----------


## olejah

*AndyTA*, ловите

----------

AndyTA

----------


## alex-2

Будте добры, подскажите как закрыть порты с помощью PrivateFirewall.Мне нравится малая ресурсоёмкость этой программы,высокий рейтинг среди других подобных,бесплатность.

----------


## oleg4er

Подскажите пожалуйста,когда я запускаю wwdс выскакивает окно ошибки: value in registry can"t be opened (SYSTEM\currentControlSet\Services\Messenger\) я не пойму чего надо то?

----------


## voffka78

> Подскажите пожалуйста,когда я запускаю wwdс выскакивает окно ошибки: value in registry can"t be opened (SYSTEM\currentControlSet\Services\Messenger\) я не пойму чего надо то?


Это значит что такого ключа/значения у вас в реестре нет. НУ или права на эту ветку реестра установлены такие, что под Вашей учетной записью доступа к ней нет.

----------


## Mark Zadorozhniy

Главное добавить: если SQL крутится - не стоит отключать 135й...

----------


## Пуличика

Здравствуйте! Подскажите как закрыть порты в Windows 7 и вообще как правильно настроить встроенный фаерволл!

----------


## maza11

Если у меня файловый сервер server 2003 с расшаренными папками, то при закрытии этих портов, никто не сможет зайти на расшаренные папки ? как тогда пользоваться файловым сервером ?

----------

