扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
删除不必要的网络协议和绑定
可通过Internet直接访问的服务器(特别是堡垒主机服务器),应该禁用所有不必要的协议,以避免用户枚举攻击的威胁。用户枚举是一种信息搜集类型,攻击者试图使用它获得系统特有的信息,然后计划下一步的攻击。
服务器消息块(SMB)协议将返回有关一台计算机的大量信息,甚至对使用“空”会话的未经授权的用户也是如此。相关信息可从共享、用户信息(包括组和用户权限)、注册表键值及更多方式中取得。
禁用SMB和TCP/IP上的NetBIOS,可以大大降低服务器的攻击表面,并保护堡垒主机的安全。虽然该配置下的服务器更加难于管理,并且无法访问网络上的共享文件夹,但这些措施可以有效保护服务器免予遭受那些轻而易举的攻击。因此,本指南建议:在可以通过Internet进行访问的堡垒主机服务器上,禁用网络连接的SMB或者TCP/IP上的NetBIOS。
禁用SMB:
1. 在“控制面板”上,双击“网络连接”。
2. 右键单击一个Internet类型连接,然后单击“属性”。
3. 在“属性”对话框中,选择“Microsoft网络客户端”,然后单击“卸载”。
4. 按照卸载步骤指示进行。
5. 选择“Microsoft网络的文件和打印机共享”,然后单击“卸载”。
6. 按照卸载步骤指示进行。
禁用TCP/IP 上的NetBIOS:
1. 在“控制面板”上,双击“系统”,单击“硬件”标签,然后点击“设备管理器” 按钮。
2. 在“查看”菜单上,单击“显示隐藏的设备”。
3. 展开“非即插即用驱动程序”。
4. 右键单击“TCP/IP 上的NetBIOS”,然后单击“禁用”。
上述操作会禁用TCP/445和UDP 445端口上的SMB直接主机侦听程序。
注意:此过程禁用了nbt.sys驱动程序。在“TCP/IP高级设置”对话框的“WINS” 标签中,包括一个“禁用TCP/IP 上的NetBIOS”选项。选中该选项只是禁用了在TCP 端口139上进行侦听的“NetBIOS会话服务”。这样做并未完全禁用SMB。 若要完全禁用SMB,请使用上面的步骤。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。