Windows 2003安全之强化堡垒主机(11)

　　删除不必要的网络协议和绑定

　　可通过Internet直接访问的服务器（特别是堡垒主机服务器），应该禁用所有不必要的协议，以避免用户枚举攻击的威胁。用户枚举是一种信息搜集类型，攻击者试图使用它获得系统特有的信息，然后计划下一步的攻击。

　　服务器消息块（SMB）协议将返回有关一台计算机的大量信息，甚至对使用“空”会话的未经授权的用户也是如此。相关信息可从共享、用户信息（包括组和用户权限）、注册表键值及更多方式中取得。

　　禁用SMB和TCP/IP上的NetBIOS，可以大大降低服务器的攻击表面，并保护堡垒主机的安全。虽然该配置下的服务器更加难于管理，并且无法访问网络上的共享文件夹，但这些措施可以有效保护服务器免予遭受那些轻而易举的攻击。因此，本指南建议：在可以通过Internet进行访问的堡垒主机服务器上，禁用网络连接的SMB或者TCP/IP上的NetBIOS。

　　禁用SMB:

　　1. 在“控制面板”上，双击“网络连接”。

　　2. 右键单击一个Internet类型连接，然后单击“属性”。

　　3. 在“属性”对话框中，选择“Microsoft网络客户端”，然后单击“卸载”。

　　4. 按照卸载步骤指示进行。

　　5. 选择“Microsoft网络的文件和打印机共享”，然后单击“卸载”。

　　6. 按照卸载步骤指示进行。

　　禁用TCP/IP 上的NetBIOS：

　　1. 在“控制面板”上，双击“系统”，单击“硬件”标签，然后点击“设备管理器” 按钮。

　　2. 在“查看”菜单上，单击“显示隐藏的设备”。

　　3. 展开“非即插即用驱动程序”。

　　4. 右键单击“TCP/IP 上的NetBIOS”，然后单击“禁用”。

　　上述操作会禁用TCP/445和UDP 445端口上的SMB直接主机侦听程序。

　　注意：此过程禁用了nbt.sys驱动程序。在“TCP/IP高级设置”对话框的“WINS” 标签中，包括一个“禁用TCP/IP 上的NetBIOS”选项。选中该选项只是禁用了在TCP 端口139上进行侦听的“NetBIOS会话服务”。这样做并未完全禁用SMB。 若要完全禁用SMB，请使用上面的步骤。