禁用不受信任網絡中的NetBIOS

目标

　　使用本子產品可以實作: 禁用不受信任網絡中伺服器的 NetBIOS。

　　本子產品适用于下列産品和技術: Microsoft Windows 2000 作業系統

　　使用本子產品可禁用不受信任網絡中伺服器的 NetBIOS，進而減少伺服器的受攻擊面。

　　概要

　　本子產品顯示了如何禁用 NetBIOS，建議您将該方法專門應用于不受信任網絡中的伺服器。例如，公共通路的 Web 伺服器或公司郵件網關。如果不受信任網絡中有伺服器，應考慮實施下面的更改。一定要通過全面測試來確定了解禁用網絡基本輸入輸出系統 (NetBIOS) 在管理系統方面的挑戰。

　　漏洞

　　周邊網絡中的伺服器必須禁用所有不必要的協定，包括 NetBIOS 和伺服器消息塊 (SMB)。Web 伺服器和域名系統 (DNS) 伺服器不要求使用 NetBIOS 或 SMB。這兩個協定都應禁用，以便消除使用者枚舉的威脅。使用者枚舉是一種資訊收集利用，攻擊者籍此獲得系統特定的資訊來計劃下一步攻擊。

　　SMB 協定甚至會将大量計算機資訊傳回給使用空會話、未經身份驗證的使用者。可檢索的資訊包括域、信任細節、共享、使用者資訊(包括組和使用者權限)、系統資料庫項等等。

　　注意:設定 RestrictAnonymous 系統資料庫項可阻止空會話。

　　對策

　　禁用 NetBIOS 對阻止 SMB 通信而言是不夠的。在沒有标準 NetBIOS 端口的情況下，SMB 将使用傳輸控制協定 (TCP) 端口 445(它被稱作 SMB 直接端口)。是以，必須通過明确的步驟分别禁用 NetBIOS 和 SMB。

　　必須了解的資訊

　　NetBIOS 使用下列端口:

 UDP/137(NetBIOS 名稱服務)

 UDP/138(NetBIOS 資料報服務)

 TCP/139(NetBIOS 會話服務)

　　SMB 使用下列端口:

TCP/139

TCP/445

　　在所有可通過 Internet 通路的伺服器中，必須使用“本地連接配接”屬性的“傳輸控制協定/Internet 協定 (TCP/IP)”屬性對話框來删除“Microsoft 網絡的檔案和列印機共享”和“Microsoft 網絡用戶端”，進而禁用 SMB。

　　 禁用 SMB

　　1.在“開始”菜單中，指向“設定”，然後單擊“網絡和撥接上網”。

　　2.右鍵單擊“Internet 連接配接”，然後單擊“屬性”。

　　3.選擇“Microsoft 網絡用戶端”，然後單擊“解除安裝”。

　　4.完成解除安裝步驟。

　　5.選擇“Microsoft 網絡的檔案和列印機共享”，然後單擊“解除安裝”。

　　6.完成解除安裝步驟。

　　 禁用 TCP/IP 的 NetBIOS

　　1.右鍵單擊桌面的“我的電腦”，然後單擊“管理”。

　　2.展開“系統工具”，然後選擇“裝置管理器”。

　　3.右鍵單擊“裝置管理器”，指向“檢視”，然後單擊“顯示隐藏的裝置”。

　　4.展開“非即插即用驅動程式”。

　　5.右鍵單擊“NetBios over TCP/IP”，然後單擊“停用”。

　　這将在 TCP/445 和 UDP 445 中禁用 SMB 直接主機偵聽程式。

　　注意:該過程禁用 nbt.sys 驅動程式。“進階 TCP/IP 設定”對話框的“WINS”頁籤包含“禁用 TCP/IP 上的 NetBIOS”選項。選擇該選項僅禁用“NetBIOS 會話服務”(偵聽 TCP 端口 139)。它不能完全禁用 SMB。若要完全禁用，請遵循上面的步驟。

　　潛在影響

　　所有系統都不能通過 SMB 連接配接伺服器。伺服器也無法通路網絡中共享的檔案夾。很多管理工具将無法連接配接這些伺服器。