方法5、自定义安全策略

　　如果我们手头暂时没有防火墙工具的话，那么可以利用Windows服务器自身的IP安全策略功能，来自定义一个拦截135端口的安全策略。下面就是具体的自定义步骤：

　　首先打开本地安全设置窗口，用鼠标右键单击“IP安全策略，在本地机器”选项，执行快捷菜单中的“管理IP筛选器表和筛选器操作”命令，在随后的“管理IP筛选器表”标签页面中，单击“添加”按钮，然后将新建的IP筛选器名称设置为“拦截135端口”，继续单击“添加”按钮，根据屏幕提示单击“下一步”按钮；

　　在接下来的“IP通信源”向导窗口中，将“源地址”设置为“任何IP地址”，再将“目标地址”选为“我的IP地址”，同时将IP协议类型设置为“TCP”；在随后弹出的IP协议端口设置窗口中，选中“到此端口”选项，同时将“135”端口号正确输入；最后单击“完成”按钮，这样我们就能发现在IP筛选器列表中，包含有“拦截135端口”选项了。

　　接着进入到“管理筛选器操作”标签页面，单击“添加”按钮，然后根据屏幕向导提示，输入筛选器的具体操作名称，例如这里的名称可以设置为“拒绝135端口”，在随后弹出的“筛选器操作常规选项”设置窗口中，选中“阻止”选项，再单击“完成”按钮；

　　下面用鼠标右键单击本地安全设置窗口中的“IP安全策略,在本地机器”选项，执行快捷菜单中的“创建IP安全策略”命令，并将IP安全策略的名称设置为“禁用135端口”，在接着打开的“安全通信请求”向导窗口中，取消“激活默认响应规则”的选中状态，再单击“完成”按钮；

　　再将前面创建好的“禁用135端口”策略选中，然后单击“添加”按钮，在随后出现的“隧道终结点”设置窗口中，选中“此规则不指定隧道”选项，在“网络类型”设置窗口中，选中“所有网络连接”，在“身份验证方法”设置窗口中，选中“windows 2000默认值(Kerberos V5 协议)”选项，在“IP筛选器列表”设置窗口中，选中前面创建好的“拦截135端口”筛选器（如图5所示），在“筛选器操作”设置窗口中，选中前面创建好的“拒绝135端口”选项，再单击“完成”按钮；到了这里“禁用135端口”的安全策略就自定义好了。

图5

　　考虑到在默认状态下，Windows系统不会指派任何安全策略，为此我们还需要手工来对“禁用135端口”安全策略进行指派；在指派安全策略时，只要用鼠标右键单击“禁用135端口”安全策略，从弹出的快捷菜单中执行“指派”命令就可以了。

　方法6、筛选TCP端口

　　大家知道，Windows系统具有筛选TCP端口功能，利用该功能我们可以将来自于135网络端口的数据包，全部过滤掉，这样各种恶意攻击信息都无法通过135网络端口了。在过滤135端口的数据包时，可以先打开“Internet协议(TCP/IP)”属性设置对话框；

　　然后打开其中的“高级”功能页面，并切换到“选项”标签页面中，选择其中的“TCP/IP筛选”项，再单击“属性”按钮，在弹出的图6设置窗口中，选中“启用TCP/IP筛选”选项，同时在“TCP端口”处，选中“只允许”，并单击“添加”按钮，将常用的21、23、80、110端口输入到这里，最后单击“确定”按钮，这样的话其余端口就会被自动排除了。

图6