入侵者可以通过与Windows主机建立一个SMB会话来获取目标主机的一些信息,例如目标主机的共享列表,管理用户名等等。
通过这些共享列表信息,攻击者可能发起进一步攻击。
解决方法
建议您采取以下措施以降低威胁:
* 可以限制匿名用户对Windows NT/2000/XP系统的LSA组件的访问,这可以避免匿名用户通过LSA获取系统的一些公开信息,例如共享列表信息。
具体方法可参考如下步骤:
<1> Windows NT
通过增加或修改键值"RestrictAnonymous",可以防止匿名用户通过一些
win32 API调用(例如NetShareEnum,NetUserEnum)来列举用户名和共享名。
在“开始 > 运行...”或者命令行窗口中运行注册表编辑器(regedt32.exe), 找到下列键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
增加或者修改键值"RestrictAnonymous":
键值: RestrictAnonymous
类型: REG_DWORD
数据: 0x1 (十六进制)
重启系统使注册表修改生效。
<2> Windows 2000
在“开始 > 运行...”或者命令行窗口中运行注册表编辑器(regedt32.exe), 找到下列键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
增加或者修改键值"RestrictAnonymous"
键值: RestrictAnonymous
类型: REG_DWORD
数据: 0x2 (十六进制)
重启系统使注册表修改生效。
或者您也可以使用下面的方法:
打开控制面版 -- 管理工具 -- 本地安全策略(如果是域控制器则是“域安全策略”),
在其中的本地策略 -- 安全选项中设置“对匿名连接的额外限制”,
选择“没有显式匿名权限就无法访问”,重启系统。
<3> Windows XP
打开控制面版 -- 管理工具 -- 本地安全策略(如果是域控制器则是“域安全策略”),
在其中的本地策略 -- 安全选项中
选择“网络访问:不允许匿名列举SAM帐号和共享”,双击,选择“已启用”。
重启系统。
* 如果您并不需要提供网络共享服务,可以完全关闭共享。
windows2000和XP下面关闭共享的办法是:
在控制面版 - 网络和拨号连接 - 高级 (菜单栏) - 高级设置中
选择本地连接的绑定 - 去掉“Microsoft网络的文件和打印机共享”。
Windows NT下面关闭共享的办法是:
网上邻居 - 属性(右键) - 绑定 - 选择所有协议 - 禁用WINS客户
* 在网关设备或边界防火墙上过滤对内网主机下列端口的访问:
135/TCP
135/UDP
137/UDP
138/UDP
139/TCP
445/TCP
445/UDP
注意这不能防止内部恶意用户的攻击。如需防止内部恶意用户的攻击,需要安装主机防火墙软件或者启用Windows自带的TCP/IP筛选机制来过滤上述端口。
<4> windows server 2003/2008
方法1,关闭server服务:
控制面板----管理工具---服务---找到server服务---属性--停止禁用服务
方法2、关闭文件和打印机的共享绑定:
网上邻居--属性--本地连接---属性---将Microsoft网络的文件和打印机共享前面的勾去掉
方法3、屏蔽139和445 端口
1)139端口可以通过禁止NBT来屏蔽
本地连接-TCP/IT属性-高级-WINS-选‘禁用TCP/IT 上的NETBIOS’一项
2)445端口可以通过修改注册表来屏蔽
HKEY_LOCAL_MACHINE/System/CurrentControlset/Services/NetBT/Parameters
新建一个键值SMBDeviceEnabled Type: REG_DWORD Value: 0
修改完后重启机器
<5> windows 7
控制面板----网络和 Internet---网络和共享中心---右边找到高级共享设置
针对不同的网络配置文件更改共享选项,找到当前的配置文件,点开,依次选择 关闭网络发现,关闭文件和打印机共享,关闭公用文件夹共享,使用128位加密帮助保护文件共享连接,启用密码保护共享。
利用SMB会话可以获取远程共享列表
原文:https://www.cnblogs.com/mrhonest/p/10892885.html
