关闭139端口的方法是在“网络和拨号连接”——“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。

　　对于个人用户来说，可以在以上各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动后端口再次打开。现在你不用担心你的端口和默认共享了。

　　8、修改3389:打开注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ Terminal Server\Wds\Repwd\Tds\Tcp, 看到那个PortNumber没有?0xd3d，这个是16进制，就是3389 啦。我改XXXX这个值是RDP(远程桌面协议)的默认值，也就是说用来配置以后新建的RDP服务的，要改已经建立的RDP服务，我们去下一个键值: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations 这里应该有一个或多个类似RDP-TCP的子健(取决于你建立了多少个RDP服务)，一样改掉PortNumber。

　　六、本地安全策略

　　1、通过建立IP策略来阻止端口连接

　　TCP端口:21(FTP,换FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389

　　TCP端口:1080,3128,6588,8080(以上为代理端口).25(SMTP),161(SNMP),67(引导)

　　UDP端口:1434(这个就不用说了吧)

　　阻止所有ICMP,即阻止PING命令

　　2、在这里我用关闭135端口来实例讲解

　　具体见我的帖子《使用本地安全策略关闭端口(TCP/IP筛选)》

　　七、审核策略

　　具体方法:控制面板→管理工具→本地安全策略→本地策略→审核策略，然后右键点击下列各项，选择“安全性”来设置就可以了。

　　审核策略更改:成功,失败

　　审核登录事件:成功,失败

　　审核对象访问:失败

　　审核对象追踪:成功,失败

　　审核目录服务访问:失败

　　审核特权使用:失败

　　审核系统事件:成功,失败

　　审核账户登录事件:成功,失败

　　审核账户管理:成功,失败

　　密码策略:启用“密码必须符合复杂性要求","密码长度最小值"为6个字符,"强制密码历史"为5次,"密码最长存留期"为30天。

　　在账户锁定策略中设置:"复位账户锁定计数器"为30分钟之后,"账户锁定时间"为30分钟,"账户锁定值"为30分钟。

　　安全选项设置:本地安全策略→本地策略→安全选项→对匿名连接的额外限制，双击对其中有效策略进行设置，选择"不允许枚举SAM账号和共享"，因为这个值是只允许非NULL用户存取SAM账号信息和共享信息，一般选择此项，然后再禁止登录屏幕上显示上次登录的用户名。

　　禁止登录屏幕上显示上次登录的用户名也可以改注册表HKEY_LOCAL_MACHINE\SOFTTWARE\Microsoft\WindowsNT\ CurrentVesion\Winlogn项中的Don’t Display Last User Name串，将其数据修改为1