禁用不受信任网络中W2k Server的NetBIOS

　　本模块显示了如何禁用 NetBIOS，建议您将该方法专门应用于不受信任网络中的服务器。例如，公共访问的 Web 服务器或公司邮件网关。如果不受信任网络中有服务器，应考虑实施下面的更改。一定要通过全面测试来确保了解禁用网络基本输入输出系统 (NetBIOS) 在管理系统方面的挑战。

　　漏洞

　　周边网络中的服务器必须禁用所有不必要的协议，包括 NetBIOS 和服务器消息块 (SMB)。Web 服务器和域名系统 (DNS) 服务器不要求使用 NetBIOS 或 SMB。这两个协议都应禁用，以便消除用户枚举的威胁。用户枚举是一种信息收集利用，攻击者籍此获得系统特定的信息来计划下一步攻击。

　　SMB 协议甚至会将大量计算机信息返回给使用空会话、未经身份验证的用户。可检索的信息包括域、信任细节、共享、用户信息(包括组和用户权限)、注册表项等等。

　　注意:设置 RestrictAnonymous 注册表项可阻止空会话。

　　对策

　　禁用 NetBIOS 对阻止 SMB 通信而言是不够的。在没有标准 NetBIOS 端口的情况下，SMB 将使用传输控制协议 (TCP) 端口 445(它被称作 SMB 直接端口)。因此，必须通过明确的步骤分别禁用 NetBIOS 和 SMB。

　　必须了解的信息

　　NetBIOS 使用下列端口:

•  UDP/137(NetBIOS 名称服务)
•  UDP/138(NetBIOS 数据报服务)
•  TCP/139(NetBIOS 会话服务)

　　SMB 使用下列端口:

• TCP/139
• TCP/445

　　在所有可通过 Internet 访问的服务器中，必须使用“本地连接”属性的“传输控制协议/Internet 协议 (TCP/IP)”属性对话框来删除“Microsoft 网络的文件和打印机共享”和“Microsoft 网络客户端”，从而禁用 SMB。

　　 禁用 SMB

　　1.在“开始”菜单中，指向“设置”，然后单击“网络和拨号连接”。

　　2.右键单击“Internet 连接”，然后单击“属性”。

　　3.选择“Microsoft 网络客户端”，然后单击“卸载”。

　　4.完成卸载步骤。

　　5.选择“Microsoft 网络的文件和打印机共享”，然后单击“卸载”。

　　6.完成卸载步骤。

　　 禁用 TCP/IP 的 NetBIOS

　　1.右键单击桌面的“我的电脑”，然后单击“管理”。

　　2.展开“系统工具”，然后选择“设备管理器”。

　　3.右键单击“设备管理器”，指向“查看”，然后单击“显示隐藏的设备”。

　　4.展开“非即插即用驱动程序”。

　　5.右键单击“NetBios over TCP/IP”，然后单击“停用”。

　　这将在 TCP/445 和 UDP 445 中禁用 SMB 直接主机侦听程序。

　　注意:该过程禁用 nbt.sys 驱动程序。“高级 TCP/IP 设置”对话框的“WINS”选项卡包含“禁用 TCP/IP 上的 NetBIOS”选项。选择该选项仅禁用“NetBIOS 会话服务”(侦听 TCP 端口 139)。它不能完全禁用 SMB。若要完全禁用，请遵循上面的步骤。

　　潜在影响

　　所有系统都不能通过 SMB 连接服务器。服务器也无法访问网络中共享的文件夹。很多管理工具将无法连接这些服务器。