目标
使用本子產品可以實作: 禁用不受信任網絡中伺服器的 NetBIOS。
本子產品适用于下列産品和技術: Microsoft Windows 2000 作業系統
使用本子產品可禁用不受信任網絡中伺服器的 NetBIOS,進而減少伺服器的受攻擊面。
概要
本子產品顯示了如何禁用 NetBIOS,建議您将該方法專門應用于不受信任網絡中的伺服器。例如,公共通路的 Web 伺服器或公司郵件網關。如果不受信任網絡中有伺服器,應考慮實施下面的更改。一定要通過全面測試來確定了解禁用網絡基本輸入輸出系統 (NetBIOS) 在管理系統方面的挑戰。
漏洞
周邊網絡中的伺服器必須禁用所有不必要的協定,包括 NetBIOS 和伺服器消息塊 (SMB)。Web 伺服器和域名系統 (DNS) 伺服器不要求使用 NetBIOS 或 SMB。這兩個協定都應禁用,以便消除使用者枚舉的威脅。使用者枚舉是一種資訊收集利用,攻擊者籍此獲得系統特定的資訊來計劃下一步攻擊。
SMB 協定甚至會将大量計算機資訊傳回給使用空會話、未經身份驗證的使用者。可檢索的資訊包括域、信任細節、共享、使用者資訊(包括組和使用者權限)、系統資料庫項等等。
注意:設定 RestrictAnonymous 系統資料庫項可阻止空會話。
對策
禁用 NetBIOS 對阻止 SMB 通信而言是不夠的。在沒有标準 NetBIOS 端口的情況下,SMB 将使用傳輸控制協定 (TCP) 端口 445(它被稱作 SMB 直接端口)。是以,必須通過明确的步驟分别禁用 NetBIOS 和 SMB。
必須了解的資訊
NetBIOS 使用下列端口:
UDP/137(NetBIOS 名稱服務)
UDP/138(NetBIOS 資料報服務)
TCP/139(NetBIOS 會話服務)
SMB 使用下列端口:
TCP/139
TCP/445
在所有可通過 Internet 通路的伺服器中,必須使用“本地連接配接”屬性的“傳輸控制協定/Internet 協定 (TCP/IP)”屬性對話框來删除“Microsoft 網絡的檔案和列印機共享”和“Microsoft 網絡用戶端”,進而禁用 SMB。
禁用 SMB
1.在“開始”菜單中,指向“設定”,然後單擊“網絡和撥接上網”。
2.右鍵單擊“Internet 連接配接”,然後單擊“屬性”。
3.選擇“Microsoft 網絡用戶端”,然後單擊“解除安裝”。
4.完成解除安裝步驟。
5.選擇“Microsoft 網絡的檔案和列印機共享”,然後單擊“解除安裝”。
6.完成解除安裝步驟。
禁用 TCP/IP 的 NetBIOS
1.右鍵單擊桌面的“我的電腦”,然後單擊“管理”。
2.展開“系統工具”,然後選擇“裝置管理器”。
3.右鍵單擊“裝置管理器”,指向“檢視”,然後單擊“顯示隐藏的裝置”。
4.展開“非即插即用驅動程式”。
5.右鍵單擊“NetBios over TCP/IP”,然後單擊“停用”。
這将在 TCP/445 和 UDP 445 中禁用 SMB 直接主機偵聽程式。
注意:該過程禁用 nbt.sys 驅動程式。“進階 TCP/IP 設定”對話框的“WINS”頁籤包含“禁用 TCP/IP 上的 NetBIOS”選項。選擇該選項僅禁用“NetBIOS 會話服務”(偵聽 TCP 端口 139)。它不能完全禁用 SMB。若要完全禁用,請遵循上面的步驟。
潛在影響
所有系統都不能通過 SMB 連接配接伺服器。伺服器也無法通路網絡中共享的檔案夾。很多管理工具将無法連接配接這些伺服器。