入侵者可以通過與Windows主機建立一個SMB會話來獲取目標主機的一些信息,例如目標主機的共享列表,管理用戶名等等。
通過這些共享列表信息,攻擊者可能發起進一步攻擊。
解決方法
建議您采取以下措施以降低威脅:
* 可以限制匿名用戶對Windows NT/2000/XP系統的LSA組件的訪問,這可以避免匿名用戶通過LSA獲取系統的一些公開信息,例如共享列表信息。
具體方法可參考如下步驟:
<1> Windows NT
通過增加或修改鍵值"RestrictAnonymous",可以防止匿名用戶通過一些
win32 API調用(例如NetShareEnum,NetUserEnum)來列舉用戶名和共享名。
在“開始 > 運行...”或者命令行窗口中運行注冊表編輯器(regedt32.exe), 找到下列鍵:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
增加或者修改鍵值"RestrictAnonymous":
鍵值: RestrictAnonymous
類型: REG_DWORD
數據: 0x1 (十六進制)
重啟系統使注冊表修改生效。
<2> Windows 2000
在“開始 > 運行...”或者命令行窗口中運行注冊表編輯器(regedt32.exe), 找到下列鍵:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
增加或者修改鍵值"RestrictAnonymous"
鍵值: RestrictAnonymous
類型: REG_DWORD
數據: 0x2 (十六進制)
重啟系統使注冊表修改生效。
或者您也可以使用下面的方法:
打開控制面版 -- 管理工具 -- 本地安全策略(如果是域控制器則是“域安全策略”),
在其中的本地策略 -- 安全選項中設置“對匿名連接的額外限制”,
選擇“沒有顯式匿名權限就無法訪問”,重啟系統。
<3> Windows XP
打開控制面版 -- 管理工具 -- 本地安全策略(如果是域控制器則是“域安全策略”),
在其中的本地策略 -- 安全選項中
選擇“網絡訪問:不允許匿名列舉SAM帳號和共享”,雙擊,選擇“已啟用”。
重啟系統。
* 如果您並不需要提供網絡共享服務,可以完全關閉共享。
windows2000和XP下面關閉共享的辦法是:
在控制面版 - 網絡和撥號連接 - 高級 (菜單欄) - 高級設置中
選擇本地連接的綁定 - 去掉“Microsoft網絡的文件和打印機共享”。
Windows NT下面關閉共享的辦法是:
網上鄰居 - 屬性(右鍵) - 綁定 - 選擇所有協議 - 禁用WINS客戶
* 在網關設備或邊界防火牆上過濾對內網主機下列端口的訪問:
135/TCP
135/UDP
137/UDP
138/UDP
139/TCP
445/TCP
445/UDP
注意這不能防止內部惡意用戶的攻擊。如需防止內部惡意用戶的攻擊,需要安裝主機防火牆軟件或者啟用Windows自帶的TCP/IP篩選機制來過濾上述端口。
<4> windows server 2003/2008
方法1,關閉server服務:
控制面板----管理工具---服務---找到server服務---屬性--停止禁用服務
方法2、關閉文件和打印機的共享綁定:
網上鄰居--屬性--本地連接---屬性---將Microsoft網絡的文件和打印機共享前面的勾去掉
方法3、屏蔽139和445 端口
1)139端口可以通過禁止NBT來屏蔽
本地連接-TCP/IT屬性-高級-WINS-選‘禁用TCP/IT 上的NETBIOS’一項
2)445端口可以通過修改注冊表來屏蔽
HKEY_LOCAL_MACHINE/System/CurrentControlset/Services/NetBT/Parameters
新建一個鍵值SMBDeviceEnabled Type: REG_DWORD Value: 0
修改完后重啟機器
<5> windows 7
控制面板----網絡和 Internet---網絡和共享中心---右邊找到高級共享設置
針對不同的網絡配置文件更改共享選項,找到當前的配置文件,點開,依次選擇 關閉網絡發現,關閉文件和打印機共享,關閉公用文件夾共享,使用128位加密幫助保護文件共享連接,啟用密碼保護共享。