怎样封闭 Windows 的端口？

不久前，最强勒索病毒—— GandCrab 袭击中国，不仅是个人电脑，连政府部门、高校、企业、研究机构等也都成为其家族攻击的目标。要做好防范工作，除及时备份重要数据资料、安装相关软件外，还有一个方面不可忽视，就是要封闭电脑上一些不必要的网络端口。下面，我就介绍一下如何在 Windows 10 系统中进行操作：

一、从“开始”菜单的“Windows 系统”中找到并运行“命令提示符”：

二、在“命令提示符”中输入命令：ipconfig /all 并回车（下图①处），可以看到本机的 IP 地址为“192.168.80.136”（下图②处）：

这次的勒索病毒主要通过端口 135 和 445 入侵电脑，因此，我们不妨在“命令提示符”中输入命令：telnet 192.168.80.136 135（或 telnet 192.168.80.136 445）并回车，检测一下该端口是否已经打开。

运行该命令后，没有任何显示（如下图），说明上述端口已经打开并正处于监听状态：

如果你的电脑提示“'telnet' 不是内部或外部命令，也不是可运行的程序或批处理文件”，那很可能是因为它还没有安装。

在“控制面板”的“程序和功能”中点击“打开或关闭 Windows 功能”，勾选“Telnet Client”，最后点击“确定”按钮就会安装好了（如下图）：

上述检测端口的操作如果觉得麻烦也可以略过。接下来，我们正式介绍如何封闭端口。如觉得图文太长，可直接到文末看视频演示。

三、在“命令提示符”中输入命令：gpedit.msc 并回车（如下图）：

在打开的“本地组策略编辑器”中展开“计算机配置”，在“Windows 设置”的“安全设置”里点击“IP 安全策略，在本地计算机”（下图①处），然后在右边空白处调出鼠标右键菜单，点击“创建 IP 安全策略(C)...”（下图②处）：

在弹出的“IP 安全策略向导”对话框中，点击“下一步”：

填写 IP 安全策略名称和描述，点击“下一步”：

不勾选“激活默认响应规则”，点击“下一步”：

勾选“编辑属性”，点击“完成”：

在新弹出的“IP 安全策略”属性窗口中继续操作：

1、在“规则”标签页取消“使用‘添加向导’(W)”的勾选，点击“添加(D)...”：

2、在弹出的“新规则”属性窗口的“IP 筛选器”标签页中点击“添加(D)...”：

3、填写 IP 筛选器名称和描述，取消“使用‘添加向导’(W)”的勾选，点击“添加(A)...”：

4、在“地址”标签页中，“源地址”保持“任何 IP 地址”，“目标地址”改为“我的 IP 地址”，勾选“镜像”：

5、在“协议”标签页中，协议类型改为“TCP”，协议端口设为：“从任意端口”“到此端口”（135），最后点击“确定”：

6、按照步骤 3~5 的操作，再添加 TCP 协议的 445 端口，最后点击“确定”：

7、回到“新规则”属性窗口，在“筛选器操作”标签页中取消“使用‘添加向导’(W)”的勾选，点击“添加(D)...”：

8、在弹出的“新筛选器操作”属性窗口，选中“安全方法”标签页中的“阻止”，点击“确定”：

9、回到“新规则”属性窗口，在“筛选器操作”标签页选中创建的“新筛选器操作”，先后点击“应用”和“关闭”按钮：

10、回到“IP 安全策略”属性窗口，点击“确定”：

11、回到“本地组策略编辑器”，鼠标右键点击新创建的 IP 安全策略，选择“分配”：

四、在“命令提示符”中再次分别输入命令：telnet 192.168.80.136 135 和 telnet 192.168.80.136 445 并回车，显示“连接失败”（如下图），说明 135 和 445 端口封闭成功。

如果你的电脑系统是 Windows 7，那么封闭端口的操作和上面是一样的。如果你的电脑系统是 Windows XP，则要在“控制面板”的“管理工具”中通过“本地安全策略”来创建 IP 安全策略（如下图）：

之后的操作，与 Windows 10 或 Windows 7 几乎完全一样（界面稍有不同），这里就不再赘述了。