上个月我接到发小张哥的求助电话,说他开在大学城门口的打印店出问题了:店里那台用了快10年的业务电脑,最近半个月一直嗡嗡狂转,开机半小时机身就烫得能煎鸡蛋,这个月交电费居然比平时多了快五百块,更吓人的是,前几天他发现存在电脑里的几十家合作单位的开票信息、学生求职简历都莫名被人动过,这可把他吓坏了,张哥这台电脑一直装的是Win7系统,之所以不换,是因为店里那台万元级的针式打印机,只有Win7的驱动,换Win10Win11都兼容不了,只能一直凑合用,我过去帮他排查,打开防火墙日志一看,全是陌生境外IP对135端口的访问记录,任务管理器里还躲着一个不知名的挖矿进程,占了90%多的CPU资源——很明显,他这台电脑就是因为没关默认开启的135端口,被黑客批量扫描到之后入侵,变成了挖矿肉鸡,而这种情况,绝不是个例。
为什么Win7系统必须关闭135端口?
很多普通用户听到135端口就一头雾水:什么是端口?端口就是电脑和外界网络连接的“通道”,不同通道对应不同的服务,135端口本来是微软给Windows设计的,用来做远程过程调用,方便局域网内远程管理电脑、共享设备,从Windows NT时代就存在了,那为什么现在它变成了人人喊打的高危端口?
核心原因就是Win7已经彻底停止官方支持了,2020年1月微软就停止了Win7的主流支持,就算是付费的扩展安全支持也在2023年彻底结束,也就是说,现在Win7不管发现什么新漏洞,微软都不会再出补丁修复,而135端口本身,这么多年来已经被曝出过无数个远程权限获取漏洞,黑客只需要扫到网络上开放135端口的Win7主机,就能直接利用漏洞拿到系统最高权限,想种病毒就种病毒,想偷数据就偷数据,几乎没有任何阻拦。
结合最新的官方数据来看,这个风险比很多人想象的要大得多,根据国家互联网应急中心(CNCERT)2024年7月刚发布的上半年网络安全监测报告,今年1-6月,我国境内监测到针对开放135端口主机的攻击次数就超过了1.2亿次,其中超过82%的被攻击目标都是Win7系统,135端口已经成为今年黑产入侵个人和小微企业终端的最主要路径之一,报告里特意提到,很多小微企业的业务终端、个人老旧电脑因为一直用Win7,又没有做任何端口防护,已经变成了黑产挖矿木马、勒索病毒的“重灾区”。
再回到张哥的例子,他就是最典型的受害者:开打印店这么多年,只会用电脑接单打印,根本不知道什么是135端口,也不知道Win7默认就把这个端口开着对全网开放,他为了接单方便,电脑24小时不关机连公网,等于就是把自家大门敞着没锁,黑客的自动化扫描工具一搜就搜到,几个小时就能入侵成功,我帮他清掉木马之后算了算,他这台电脑被当肉鸡挖了半个月矿,多耗的电费加上恢复数据的费用,小一千块打了水漂,就是因为这一个没关的小小端口吃了大亏。
还有很多人抱有侥幸心理:“我就是普通用户,电脑里没什么值钱的东西,黑客不会看上我”,这种想法真的大错特错,现在黑产扫端口都是全自动脚本,24小时不停全网扫,不管你是谁,只要你有漏洞就拿下,你的电脑哪怕只能用来挖矿,一天也能给黑客赚几块钱,几万台肉鸡就是几万块,黑产稳赚不赔,吃亏的永远是普通用户,平白多交电费还可能丢数据。
新手也能学会:两种Win7关闭135端口的靠谱方法
很多网上的教程写得云里雾里,又是命令行又是第三方工具,其实完全没必要,Win7自带的功能就能搞定,花五分钟就能操作完,我把两种方法都整理出来,新手选第一种就可以,绝对不会搞坏系统。
系统防火墙拦截法(最安全,推荐新手用)
这种方法不需要改系统任何核心设置,只需要添加一条规则就可以,步骤非常清晰:
- 点击桌面左下角的「开始」按钮,在搜索框里直接输入「Windows防火墙」,搜出来之后点进去就行;找不到开始菜单搜索的也可以打开控制面板,在控制面板的系统和安全分类里就能找到防火墙选项。
- 打开防火墙之后,看窗口左侧的菜单栏,找到「高级设置」点击进去,这就是防火墙的高级规则配置界面。
- 右键点击左侧栏的「入站规则」,选择「新建规则」,会弹出规则配置向导。
- 规则类型我们选「端口」,直接点下一步,因为我们就是要阻止特定端口的外部连接。
- 接下来勾选「特定本地端口」,在输入框里直接输入「135」;如果你想顺便把139、445这两个同样高危的端口也一起关了,直接输入
135,139,445就行,用英文逗号隔开,不用改别的设置,点下一步。 - 接下来操作选项,我们选「阻止连接」,没错就是这个选项,直接点下一步。
- 然后会问你这个规则应用在哪个网络,这里把「域」「专用」「公网」三个选项全部勾上,意思就是不管你用什么网,都阻止135端口的连接,然后点下一步。
- 最后给这个规则起个名字,比如就叫「关闭高危端口」,点「完成」就好了。
这里要补充一句:入站规则弄完之后,我们还要重复做一遍出站规则,方法一模一样:右键点击「出站规则」→新建规则→端口→输入135→阻止连接→全勾三个网络→完成,出站规则阻止的是被入侵后电脑往外偷传数据,两边都堵上才是真的安全。
修改注册表法(更彻底,适合有基础的用户)
如果你试过防火墙方法之后,用端口扫描工具还是能查到135端口开放,可以用修改注册表的方法,修改RPC服务的绑定端口,彻底避开135,这个方法稍微复杂一点,操作的时候别输错路径就行:
- 按键盘上的「Win+R」弹出运行窗口,输入
regedit回车,打开注册表编辑器。 - 按照这个路径一步步点开:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs - 找到RpcSs文件夹之后,在右侧空白处右键点击,选择「新建→字符串值」,把新建的值命名为
TcpPortPool。 - 双击打开这个TcpPortPool,把数值数据改成
5000-6000,这一步是给RPC服务分配新的端口段,直接避开135端口就可以了。 - 改完之后关闭注册表,重启电脑就生效了。
这里一定要提醒大家:改注册表之前,最好点击左上角的「文件→导出」,把当前的注册表备份一下,如果改完出问题,直接双击备份就能恢复,不会搞坏系统,如果你完全听不懂什么是注册表,老老实实用法一就可以,法一足够挡住99%的自动入侵了。
关了135端口,会不会影响我正常用电脑?
这是我被问得最多的问题,很多人担心关了端口之后,打印机不能用了,网也上不了了,其实完全不会,我拿张哥的实际情况说:他关了135、139、445三个端口之后,针式打印机照样用,线上接单平台正常登录,开票软件也能正常运行,一点问题都没有,之前CPU满负载、风扇狂转的问题直接解决了,第二个月电费就降回了原来的水平。
那什么情况会影响使用呢?只有一种特殊情况:如果你是企业网管,需要用Windows原生远程管理工具通过135端口管理内网其他电脑,或者你的单位在域环境里,需要用到135端口的域服务,这种情况下不要随便全拦截,可以只阻止公网访问,不对内网开放限制,但对于99%的个人用户、小微企业用户来说,你从买电脑到报废,都不会用到135端口的原生功能,关了对你没有任何影响,只会更安全。
我自己也做过测试,我家里有一台2012年的老笔记本,一直装Win7当备用影音机,关了135端口之后用了三年,上网、看视频、写文章完全正常,从来没有出过任何问题,所以真的没必要担心。
除了关135端口,Win7用户还要做好这些安全防护
说实话,Win7因为早就停更了,光关一个135端口不能说100%安全,但这绝对是成本最低、效果最好的防护操作,除此之外,你还可以做这几件事,进一步提升安全性:
第一,顺便把139、445端口一起关了,刚才也提到了,这两个和135一样都是老牌高危端口,当年臭名昭著的永恒之蓝勒索病毒就是攻击445端口,到现在还有大量黑客利用这个漏洞批量扫描,关135的时候顺便一起设置了,也就多花半分钟的事。
第二,一定要装正规的第三方杀毒软件,Win7自带的Windows Defender早就停止更新病毒库了,根本查不出来新病毒,所以一定要装一个国内正规厂商的杀毒软件,保持病毒库更新,哪怕是免费版也比裸奔强太多。
第三,有条件尽量升级新系统,如果你的电脑配置够,内存在4G以上,CPU是双核以上,硬件也有对应新系统的驱动,那就尽量升级Win10或者Win11,毕竟新系统一直更新安全补丁,整体安全性比停更的Win7高太多,但如果像张哥那样,因为行业软件、老硬件驱动的问题只能用Win7,关端口做好防护,也完全可以安全使用。
我的个人观点:别小看这一个端口,普通人的安全就是靠这些小细节
我做数码自媒体这么多年,一直觉得很多网络安全知识其实离普通人特别近,只是大家没注意到,根据StatCounter 2024年的最新统计,国内Win7的市场份额还有14%左右,也就是每七台在用的电脑里,就有一台是Win7,这些电脑很多都是老旧办公电脑、行业专用电脑,用户大多对网络安全不太了解,根本不知道135端口默认开着是个不小的安全隐患,而黑产早就盯上了这块肥肉,自动化扫描不分昼夜,只要你没关,大概率早晚会被盯上。
很多人说,不就是一个端口吗,至于这么小题大做吗?我觉得真不是,张哥吃的亏就是活生生的例子,你花五分钟操作一下,就能挡住绝大多数的自动化入侵,这个投入产出比太高了,比起你中了勒索病毒加密了数据,或者丢了客户信息要赔偿,花五分钟真的不算什么,而且很多人觉得“我用路由器,内网地址黑客扫不到我”,其实不对,现在很多路由器默认开了UPnP,或者不小心开了端口映射,你的电脑照样会暴露在公网上,就算不暴露,黑客也可以通过同一个局域网里的其他设备入侵你,多一层防护永远没有错。
对于还在坚持用Win7的朋友来说,关闭135端口是必须做的基础安全操作,没有任何难度,也不会影响正常使用,还能帮你躲开绝大多数黑客的批量入侵,别觉得自己电脑没值钱东西就不在意,黑产的自动化工具可不会挑人,只要有漏洞就会进,花五分钟做好防护,比什么都强。