你知道吗？

黑客扫描一台Windows 电脑，平均只需要 30 秒。

除了人人喊打的445（SMB）和 3389（远程桌面），其实还有一批“隐形炸弹”正默默蹲在后台——FTP、Telnet、NetBIOS、SNMP……

今天一次性给你列个清单，照表操作，10 分钟把能关的全关，让勒索软件、爆破脚本通通吃闭门羹！

一、高危端口速查表（建议直接收藏）

二、自查30 秒教程

1. Win + R → 输入

cmd

2.在弹出的黑框里输入

netstat -an | find "LISTENING"

3. 回车！出现的一大串 “:端口号” 就是你当前开放的端口。

对照上表，凡是高危端口，一律干掉！

一键批量关闭脚本（管理员PowerShell）

复制→粘贴→回车，30 秒完成防火墙规则：

​$killList = 21,23,135,139,445,3389,5900,1723foreach ($p in $killList){New-NetFirewallRule -Name "Block_$p" -DisplayName "屏蔽高危端口 $p" `-Direction Inbound -Action Block -Protocol TCP -LocalPort $p}

想再保险？把Inbound 改成 Outbound，出入双杀！

4.企业/服务器额外姿势

• 白名单原则：只开业务必须的端口，其余全部封。

• 改端口+IP 白名单：如必须远程桌面，把 3389 改成 51338，并只允许公司出口 IP。

• 定期扫描：每月用Nessus / OpenVAS 做一次端口+漏洞扫描，早发现早修复。

三、懒人总结