В сетевой безопасности открытые порты — это двери в систему. Одни нужны для работы сервисов, другие годятся лишь как удобные проходы для червей, брутфорса и удалённого выполнения кода. Если вы не администрируете корпоративную сеть и не понимаете, зачем конкретный порт торчит наружу, его лучше закрыть и спать спокойно. Ниже — чек-лист по самым рискованным портам в Windows с пояснениями и практическими шагами.
- TCP/135 — RPC. Исторически любимая цель сетевых червей (вспомните Blaster). Если не используете удалённое управление по RPC — блокируйте входящие.
- TCP/139 — NetBIOS. Рудимент старого файлового обмена. Сегодня почти не нужен; вместе с ним часто закрывают и сам NetBIOS over TCP/IP на уровне адаптера.
- TCP/445 — SMB. Канал для шеринга папок и принтеров и одновременно вектор громких эпидемий уровня WannaCry. Если общий доступ к файлам не критичен — закрыть. В доменной сети — хотя бы не выпускать наружу и ограничить по сегментам.
- TCP/3389 — RDP. Удобно для администрирования, опасно в интернете. Брутфорс, уязвимости протокола и слабые пароли превращают его в прямой вход. Если нужен — прячьте за VPN, включайте NLA, ограничивайте список источников, следите за обновлениями.
- TCP/21 — FTP. Передаёт логины/пароли в открытом виде. Заменять на SFTP/FTPS, а если не используете — блокировать.
- TCP/23 — Telnet. Чистый текст, нулевая криптография. Современная альтернатива — SSH. Телнету в 2025 году в продакшене не место.
- TCP/25 — SMTP (исходящая почта). Частая мишень спам-ботов. Если машина не должна слать письма напрямую — блокируйте исходящий 25 и пользуйтесь SMTP-шлюзом провайдера по защищённым портам.
- TCP/1433 — Microsoft SQL Server. Любимая цель перебора и эксплойтов. Не публикуйте в интернет, закрывайте извне, да и внутри ограничивайте подсетями и списками источников.
- TCP/5900 — VNC. Удалённый рабочий стол без серьёзной защиты по умолчанию. Если уж используете — только через зашифрованный туннель, с сильными паролями и белыми списками IP. В остальных случаях — закрыть.
- UDP/161, UDP/162 — SNMP. Способен «разболтать» много служебной телеметрии. На рабочих станциях почти не нужен; на сетевом оборудовании переходите на SNMPv3 и меняйте community, на ПК — отключайте.
Для опытных: массовая блокировка портов
Внимание: массовая блокировка портов скриптом может сломать критичные сервисы (например, TCP/445 и TCP/135 в доменной среде или на сервере). Используйте только если понимаете последствия и имеете план отката.
$ports = 135,139,445,3389,21,23,25,1433,5900
foreach ($p in $ports) {
New-NetFirewallRule -DisplayName "Block TCP $p" -Direction Inbound -Protocol TCP -LocalPort $p -Action Block -Profile Any
}
New-NetFirewallRule -DisplayName "Block UDP SNMP 161-162" -Direction Inbound -Protocol UDP -LocalPort 161-162 -Action Block -Profile Any
Быстро узнать, что слушает ваша система (через PowerShell):
Get-NetTCPConnection -State Listen | Select-Object LocalAddress,LocalPort,OwningProcess | Sort-Object LocalPort
Посмотреть, каким процессом открыт конкретный порт (пример для 445/TCP):
Get-Process -Id (Get-NetTCPConnection -LocalPort 445).OwningProcess
Блокировка портов через Брандмауэр Windows. Пример для 135/TCP — добавляем входящее правило блокировки:
New-NetFirewallRule -DisplayName "Block TCP 135" -Direction Inbound -Protocol TCP -LocalPort 135 -Action Block
Отключение функций и служб
SMBv1:
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -NoRestart
NetBIOS over TCP/IP: «Сетевые подключения» → свойства адаптера → IPv4 → «Дополнительно…» → вкладка WINS → «Отключить NetBIOS через TCP/IP».
Telnet/FTP: откройте «Включение или отключение компонентов Windows» и уберите соответствующие роли/клиенты, если они когда-то ставились.
Безопасное использование RDP:
- Включите NLA, используйте сложные пароли и политику блокировки по количеству неудачных попыток.
- Разрешайте доступ только из доверенных подсетей, откройте 3389/TCP на периметре лишь для белого списка IP.
- Предпочтительно — доступ через VPN/Zero Trust.
- Мониторьте события 4624/4625 и 4776 в журнале безопасности.
А что делать с SMTP на рабочих станциях? Запретите исходящие на 25/TCP правилом брандмауэра, а почтовому клиенту укажите защищённые порты провайдера (обычно 465/587 с TLS). Это уменьшает риск превращения заражённой машины в источник спама.
Заключение
Закрытые лишние порты не превращают систему в крепость, но резко уменьшают площадь атаки и отсекают целый пласт автоматизированного мусора — от сетевых червей до тупого перебора паролей. Раз в квартал проверяйте, что у вас действительно слушает хост, держите брандмауэр в строгом режиме по умолчанию, не публикуйте сервисы в интернет без реальной необходимости и не оставляйте «двери» открытыми только потому, что «так исторически сложилось». Десять минут профилактики часто экономят часы форензики.
