以下是實作及推斷
關閉XP的 Port445(NetBIOS)
一. Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000000
改為
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001
二.
前往控制台 → 系統管理工具 → 服務:
- 停止 TCP/IP NetBIOS Helper 服務,並修改成手動
- 停止 NetBIOS Interface,如果您找不到這一項,您可至 DOS 停止:net stop netbios
(效果:停止NetBIOS運作)
重開機後 cmd netstat -a -n 就看不到445了吧
至於139,若刪除
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]"TransportBindName"="\\Device\\" 這個機碼,則重新開機後netstat -a -n 就看不到139,但是也無法取得別人在網路芳鄰上的提供的分享
依上推測,Port445是提供自己的資料分享給別人,而Port139是在取得別人分享的資料,所以應該不用封139
網路芳鄰是許多Windows使用者熟知的服務選項
網路芳鄰可以看到網段內電腦的分享資料夾,也因此廣泛被使用
不過許多資安問題也因為網路芳鄰的使用而遭受影響
如何關閉網路芳鄰使用成為許多MIS人員關新的議題
網路芳鄰基本上是使用 139,445 port
如果你沒使用網路芳鄰,甚至以後也都不會使用,建議將網路芳鄰關閉,永保安康。
禁止Windows開放NetBIOS服務:
NetBIOS是Win 98,NT 4,2000,XP等作業系統預設上自動開啟的分享服務,使用者可以經過遠端方式存取本機電腦,預設包括 IPC$,C$,Admin$ share等。 基本上這是一個非常方便的資源,但由於它可以遠端連線存取,我們也必須顧慮到安全上的問題(例如敏感性資料、駭客/病毒入侵等)... 大部份情況下,我們甚至根本不需要這種服務存在! 所以,我們不如把Port 139 (NetBIOS) &;445 (SMB)關閉
(以下適用給Windows 2000,XP使用者):
這些設定修改大部份都是以Windows的Registry (C:\Windows\regedit.exe)裡完成,如果您對修改Registry 沒有把握或不瞭解,建議您先將資料backup,必免無法修復的意外發生。
【Port 139】關閉NetBIOS
按「開始」→「執行」,輸入:regedit,
在HKEY_LOCAL_MACHINE打開:
SYSTEM\CurrentControlSet\Control\LSA
裡頭會有一個名稱叫:RestrictAnonymous
修改它的DWORD 值為: 00000001
(效果:匿名限制)
前往控制台 → 系統管理工具 → 服務:
不過許多資安問題也因為網路芳鄰的使用而遭受影響
如何關閉網路芳鄰使用成為許多MIS人員關新的議題
網路芳鄰基本上是使用 139,445 port
如果你沒使用網路芳鄰,甚至以後也都不會使用,建議將網路芳鄰關閉,永保安康。
禁止Windows開放NetBIOS服務:
NetBIOS是Win 98,NT 4,2000,XP等作業系統預設上自動開啟的分享服務,使用者可以經過遠端方式存取本機電腦,預設包括 IPC$,C$,Admin$ share等。 基本上這是一個非常方便的資源,但由於它可以遠端連線存取,我們也必須顧慮到安全上的問題(例如敏感性資料、駭客/病毒入侵等)... 大部份情況下,我們甚至根本不需要這種服務存在! 所以,我們不如把Port 139 (NetBIOS) &;445 (SMB)關閉
(以下適用給Windows 2000,XP使用者):
這些設定修改大部份都是以Windows的Registry (C:\Windows\regedit.exe)裡完成,如果您對修改Registry 沒有把握或不瞭解,建議您先將資料backup,必免無法修復的意外發生。
【Port 139】關閉NetBIOS
按「開始」→「執行」,輸入:regedit,
在HKEY_LOCAL_MACHINE打開:
SYSTEM\CurrentControlSet\Control\LSA
裡頭會有一個名稱叫:RestrictAnonymous
修改它的DWORD 值為: 00000001
(效果:匿名限制)
前往控制台 → 系統管理工具 → 服務:
- 停止 TCP/IP NetBIOS Helper 服務,並修改成手動
- 停止 NetBIOS Interface,如果您找不到這一項,您可至 DOS 停止:net stop netbios
(效果:停止NetBIOS運作)
再開啟regedit.exe ,在HKEY_LOCAL_MACHINE展開:
SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
將名稱為AutoShareServer或AutoShareWks的DWORD值改為: 0
(效果:停止自動分享)
在系統管理工具,這一次開啟電腦管理,把所有您在共用資料夾的資源全部都移除
(效果:停止分享資源)
【Port 445】關閉SMB Session
當Port 139不存在(無回應)的時候,Windows會自己自動開啟Port 445,也就是SMB Session (Server Message Block)。 如果這一個端口是開啟的,那麼遠端使用者就還是照樣有辦法知道您的電腦很多資訊,例如帳號清單(沒密碼)、密碼長度、密碼過期日期、系統名稱、Domain... 等等。 所以,建議您關閉SMB Session。
再開啟regedit.exe,在HKEY_LOCAL_MACHINE展開:
System\CurrentControlSet\Services\NetBT\Parameters裡頭會有一個名稱叫做:
TransportBindName把這一個名稱的值清空
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
預設值是 \Device\ 直接刪除即可
這樣子,Windows下一次就不會再自動開啟Port 445了。
【完成最後動作】重新開機
最後,建議您馬上重新開機讓所有剛修改的設定生效。
等您重新登入Windows後,開啟DOS,輸入: netstat -a -n
預設值是 \Device\ 直接刪除即可
這樣子,Windows下一次就不會再自動開啟Port 445了。
【完成最後動作】重新開機
最後,建議您馬上重新開機讓所有剛修改的設定生效。
等您重新登入Windows後,開啟DOS,輸入: netstat -a -n
沒有留言:
張貼留言