禁止Windows开放NetBIOS服务..pptVIP

禁止Windows開放NetBIOS服務  NetBIOS 是 Win 98, NT 4, 2000, XP 等作業系統預設上自動開啟的分享服務，使用者可以經過遠端方式存取本機電腦，預設包括 IPC$, C$, Admin$ share等? 基本上這是一個非常方便的資源，但由於它可以遠端連線存取，我們也必須顧慮到安全上的問題(例如敏感性資料、駭客/病毒入侵等)... 大部份情況下，我們甚至根本不需要這種服務存在! 所以，我們不如把Port 139 (NetBIOS) 445 (SMB) 關閉 (以下適用給Windows 2000, XP使用者): 這些設定修改大部份都是以Windows的Registry (C:\Windows\regedit.exe)裡完成，如果您對修改Registry 沒有把握或不瞭解，建議您先將資料backup，必免無法修復的意外發生? Port 139 關閉NetBIOS 在Regedit.exe 裡，在HKEY_LOCAL_MACHINE打開: SYSTEM\CurrentControlSet\Control\LSA 裡頭會有一個名稱叫: RestrictAnonymous 修改它的DWORD 值為:(效果: 匿名限制) 前往控制台 - 系統管理工具 - 服務: 1. 停止 TCP/IP NetBIOS Helper 服務，並修改成手動 2. 停止 NetBIOS Interface，如果您找不到這一項，您可至 DOS 停止: net stop netbios (效果:停止NetBIOS運作) Port 139 關閉NetBIOS 再開啟regedit.exe ，在HKEY_LOCAL_MACHINE展開: SYSTEM\CurrentControlSet\Services\lanmanserver\parameters 將名稱為AutoShareServer或AutoShareWks的DWORD值改為: 0 (效果:停止自動分享) 在系統管理工具，這一次開啟電腦管理，把所有您在共用資料夾的資源全部都移除 (效果:停止分享資源) Port 445 關閉 SMB session 當Port 139不存在(無回應)的時候，Windows會自己自動開啟Port 445，也就是SMB Session (Server Message Block)? 如果這一個端口是開啟的，那麼遠端使用者就還是照樣有辦法知道您的電腦很多資訊，例如帳號清單(沒密碼)、密碼長度、密碼過期日期、系統名稱、Domain... 等等? 所以，建議您關閉SMB Session: 再開啟regedit.exe，在HKEY_LOCAL_MACHINE展開: System\CurrentControlSet\Services\NetBT\Parameters 裡頭會有一個名稱叫做:TransportBindName 把這一個名稱的值清空 這樣子，Windows下一次就不會再自動開啟Port 445了? 【完成最後動作】重新開機 最後，建議您馬上重新開機讓所有剛修改的設定生效? 等您重新登入Windows後，開啟DOS，輸入: netstat -a -n 您會發現 Port 139 及445 消失了 Network Reconnaissance (偵查) Reconnaissance is the unauthorized discovery and mapping of systems, services, or vulnerabilities. Reconnaissance attacks: Packet sniffers Port scans Ping sweeps Internet information queries Port Scan- view port information Port is a door to connect remote server FTP port 21, Telnet port 23, Web port 80, SMTP port 25, pop3 port 110, NetBIOS port 139, HTTPS SSL port 443, PCAnywhere port 5631 Netstat –n : view the connection from Local address to Foreign address State Established: 正在連線 State Time_Wait: 連線後已切斷 State SYN_SENT: 正送出連線訊息 Tool: Currports, TCPview, Netscan P