禁用不受信任網(wǎng)絡(luò)中W2kServer的NetBIOS

字號:

如何禁用不受信任網(wǎng)絡(luò)中 windows 2000 Server 的 NetBIOS
    目標(biāo)
    使用本模塊可以實(shí)現(xiàn): 禁用不受信任網(wǎng)絡(luò)中服務(wù)器的 NetBIOS。
    本模塊適用于下列產(chǎn)品和技術(shù): Microsoft Windows 2000 操作系統(tǒng)
    使用本模塊可禁用不受信任網(wǎng)絡(luò)中服務(wù)器的 NetBIOS,從而減少服務(wù)器的受攻擊面。
    概要
    本模塊顯示了如何禁用 NetBIOS,建議您將該方法專門應(yīng)用于不受信任網(wǎng)絡(luò)中的服務(wù)器。例如,公共訪問的 Web 服務(wù)器或公司郵件網(wǎng)關(guān)。如果不受信任網(wǎng)絡(luò)中有服務(wù)器,應(yīng)考慮實(shí)施下面的更改。一定要通過全面測試來確保了解禁用網(wǎng)絡(luò)基本輸入輸出系統(tǒng) (NetBIOS) 在管理系統(tǒng)方面的挑戰(zhàn)。
    漏洞
    周邊網(wǎng)絡(luò)中的服務(wù)器必須禁用所有不必要的協(xié)議,包括 NetBIOS 和服務(wù)器消息塊 (SMB)。Web 服務(wù)器和域名系統(tǒng) (DNS) 服務(wù)器不要求使用 NetBIOS 或 SMB。這兩個(gè)協(xié)議都應(yīng)禁用,以便消除用戶枚舉的威脅。用戶枚舉是一種信息收集利用,攻擊者籍此獲得系統(tǒng)特定的信息來計(jì)劃下一步攻擊。
    SMB 協(xié)議甚至?xí)⒋罅坑?jì)算機(jī)信息返回給使用空會(huì)話、未經(jīng)身份驗(yàn)證的用戶??蓹z索的信息包括域、信任細(xì)節(jié)、共享、用戶信息(包括組和用戶權(quán)限)、注冊表項(xiàng)等等。
    注意:設(shè)置 RestrictAnonymous 注冊表項(xiàng)可阻止空會(huì)話。
    對策
    禁用 NetBIOS 對阻止 SMB 通信而言是不夠的。在沒有標(biāo)準(zhǔn) NetBIOS 端口的情況下,SMB 將使用傳輸控制協(xié)議 (TCP) 端口 445(它被稱作 SMB 直接端口)。因此,必須通過明確的步驟分別禁用 NetBIOS 和 SMB。
    必須了解的信息
    NetBIOS 使用下列端口:
    UDP/137(NetBIOS 名稱服務(wù))
    UDP/138(NetBIOS 數(shù)據(jù)報(bào)服務(wù))
    TCP/139(NetBIOS 會(huì)話服務(wù))
    SMB 使用下列端口:
    TCP/139
    TCP/445
    在所有可通過 Internet 訪問的服務(wù)器中,必須使用“本地連接”屬性的“傳輸控制協(xié)議/Internet 協(xié)議 (TCP/IP)”屬性對話框來刪除“Microsoft 網(wǎng)絡(luò)的文件和打印機(jī)共享”和“Microsoft 網(wǎng)絡(luò)客戶端”,從而禁用 SMB。
     禁用 SMB
    1.在“開始”菜單中,指向“設(shè)置”,然后單擊“網(wǎng)絡(luò)和撥號連接”。
    2.右鍵單擊“Internet 連接”,然后單擊“屬性”。
    3.選擇“Microsoft 網(wǎng)絡(luò)客戶端”,然后單擊“卸載”。
    4.完成卸載步驟。
    5.選擇“Microsoft 網(wǎng)絡(luò)的文件和打印機(jī)共享”,然后單擊“卸載”。
    6.完成卸載步驟。
     禁用 TCP/IP 的 NetBIOS
    1.右鍵單擊桌面的“我的電腦”,然后單擊“管理”。
    2.展開“系統(tǒng)工具”,然后選擇“設(shè)備管理器”。
    3.右鍵單擊“設(shè)備管理器”,指向“查看”,然后單擊“顯示隱藏的設(shè)備”。
    4.展開“非即插即用驅(qū)動(dòng)程序”。
    5.右鍵單擊“NetBios over TCP/IP”,然后單擊“停用”。
    這將在 TCP/445 和 UDP 445 中禁用 SMB 直接主機(jī)偵聽程序。
    注意:該過程禁用 nBT.sys 驅(qū)動(dòng)程序?!案呒?TCP/IP 設(shè)置”對話框的“WINS”選項(xiàng)卡包含“禁用 TCP/IP 上的 NetBIOS”選項(xiàng)。選擇該選項(xiàng)僅禁用“NetBIOS 會(huì)話服務(wù)”(偵聽 TCP 端口 139)。它不能完全禁用 SMB。若要完全禁用,請遵循上面的步驟。
    潛在影響
    所有系統(tǒng)都不能通過 SMB 連接服務(wù)器。服務(wù)器也無法訪問網(wǎng)絡(luò)中共享的文件夾。很多管理工具將無法連接這些服務(wù)器。