Discussion:
Block TCP port 139 and 445?
(时间太久无法回复)
glaziz
2005-09-10 02:41:02 UTC
Permalink
我們公司的FoundStone系統掃瞄出我們的網路設備有一個安全性漏洞即Null Session.
FoundStone建議我們:To prevent NetBIOS null sessions you should block access to
TCP port 139 and TCP port 445 on the system.他的方法是:到network
connection然後Disable NetBIOS over TCP/IP.
我依步驟做完重開機之後,再利用superscan4再去掃一次,的卻port 139已經不見了。但是
port445依然存在。我想請教的是:這樣問題就可以解決了嗎?另外,當我關閉port
139這樣對我的系統會有何影響?我可以使用vbs或GPO來做嗎?不然一台一台做太慢了!
謝謝!
AJNeoK
2005-09-10 07:35:02 UTC
Permalink
參考文章:http://wei.servehttp.com/read_article.aspx?id=14


【Port 139】關閉NetBIOS

在Regedit.exe 裡,在HKEY_LOCAL_MACHINE打開:
SYSTEM\CurrentControlSet\Control\LSA
裡頭會有一個名稱叫:
RestrictAnonymous
修改它的DWORD 值為: 00000001
(效果: 匿名限制 - optional)

前往控制台 -> 系統管理工具 -> 服務:
1. 停止 TCP/IP NetBIOS Helper 服務,並修改成手動,或停止

再開啟regedit.exe ,在HKEY_LOCAL_MACHINE展開:
SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
將名稱為 AutoShareServer 的 DWORD值改為: 0
(效果:停止自動分享)

在系統管理工具,這一次開啟電腦管理,把所有您在共用資料夾的資源全部都移除
(效果:停止分享資源)

【Port 445】關閉SMB Session

當Port 139不存在(無回應)的時候,Windows會自己自動開啟Port 445,也就是SMB Session (Server Message
Block)‧
如果這一個端口是開啟的,那麼遠端使用者就還是照樣有辦法知道您的電腦很多資訊,例如帳號清單(沒密碼)、密碼長度、密碼過期日期、系統名稱、Domain...
等等‧ 所以,建議您關閉SMB Session:

再開啟regedit.exe,在HKEY_LOCAL_MACHINE展開:
System\CurrentControlSet\Services\NetBT\Parameters
裡頭會有一個名稱叫做:TransportBindName
把這一個名稱的值清空

這樣子,Windows下一次就不會再自動開啟Port 445了‧

【完成最後動作】重新開機

最後,建議您馬上重新開機讓所有剛修改的設定生效‧ 等您重新登入Windows後,開啟DOS,輸入:

netstat -a -n

您會發現 Port 139 及445 消失了

注意在您停止 netbios 服務後,這也可能會影響到其他軟體上在遠端相關服務的功能




"glaziz" 來函:
Post by glaziz
我們公司的FoundStone系統掃瞄出我們的網路設備有一個安全性漏洞即Null Session.
FoundStone建議我們:To prevent NetBIOS null sessions you should block access to
TCP port 139 and TCP port 445 on the system.他的方法是:到network
connection然後Disable NetBIOS over TCP/IP.
我依步驟做完重開機之後,再利用superscan4再去掃一次,的卻port 139已經不見了。但是
port445依然存在。我想請教的是:這樣問題就可以解決了嗎?另外,當我關閉port
139這樣對我的系統會有何影響?我可以使用vbs或GPO來做嗎?不然一台一台做太慢了!
謝謝!
glaziz
2005-09-12 00:33:04 UTC
Permalink
Thanks a lot...

"AJNeoK" 來函:
Post by AJNeoK
參考文章:http://wei.servehttp.com/read_article.aspx?id=14
【Port 139】關閉NetBIOS
SYSTEM\CurrentControlSet\Control\LSA
RestrictAnonymous
修改它的DWORD 值為: 00000001
(效果: 匿名限制 - optional)
1. 停止 TCP/IP NetBIOS Helper 服務,並修改成手動,或停止
SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
將名稱為 AutoShareServer 的 DWORD值改為: 0
(效果:停止自動分享)
在系統管理工具,這一次開啟電腦管理,把所有您在共用資料夾的資源全部都移除
(效果:停止分享資源)
【Port 445】關閉SMB Session
當Port 139不存在(無回應)的時候,Windows會自己自動開啟Port 445,也就是SMB Session (Server Message
Block)‧
如果這一個端口是開啟的,那麼遠端使用者就還是照樣有辦法知道您的電腦很多資訊,例如帳號清單(沒密碼)、密碼長度、密碼過期日期、系統名稱、Domain...
System\CurrentControlSet\Services\NetBT\Parameters
裡頭會有一個名稱叫做:TransportBindName
把這一個名稱的值清空
這樣子,Windows下一次就不會再自動開啟Port 445了‧
【完成最後動作】重新開機
netstat -a -n
您會發現 Port 139 及445 消失了
注意在您停止 netbios 服務後,這也可能會影響到其他軟體上在遠端相關服務的功能
"glaziz" 來函:
Post by glaziz
我們公司的FoundStone系統掃瞄出我們的網路設備有一個安全性漏洞即Null Session.
FoundStone建議我們:To prevent NetBIOS null sessions you should block access to
TCP port 139 and TCP port 445 on the system.他的方法是:到network
connection然後Disable NetBIOS over TCP/IP.
我依步驟做完重開機之後,再利用superscan4再去掃一次,的卻port 139已經不見了。但是
port445依然存在。我想請教的是:這樣問題就可以解決了嗎?另外,當我關閉port
139這樣對我的系統會有何影響?我可以使用vbs或GPO來做嗎?不然一台一台做太慢了!
謝謝!
jazz_wu3
2006-03-07 07:19:29 UTC
Permalink
hi
你的網路設備採用windows的嗎?
445 port 你可以試試將---區域連線-內容--裡的File and Printer Sharing for Microsoft Networks
--的核取勾選取消既可
當然你也可以透過登錄檔將服務server關閉
相關的訊息可透過 google 悠

"glaziz" 來函:
Post by glaziz
我們公司的FoundStone系統掃瞄出我們的網路設備有一個安全性漏洞即Null Session.
FoundStone建議我們:To prevent NetBIOS null sessions you should block access to
TCP port 139 and TCP port 445 on the system.他的方法是:到network
connection然後Disable NetBIOS over TCP/IP.
我依步驟做完重開機之後,再利用superscan4再去掃一次,的卻port 139已經不見了。但是
port445依然存在。我想請教的是:這樣問題就可以解決了嗎?另外,當我關閉port
139這樣對我的系統會有何影響?我可以使用vbs或GPO來做嗎?不然一台一台做太慢了!
謝謝!
glaziz
2006-03-07 08:38:18 UTC
Permalink
雖然此問題已經解決了!但是還是非常謝謝你的回覆。
我的作法是在進階ICP/IP設定中,disable BetBIOS over TCP/IP 選項。
一樣可以達到目的。

"jazz_wu3" 來函:
Post by jazz_wu3
hi
你的網路設備採用windows的嗎?
445 port 你可以試試將---區域連線-內容--裡的File and Printer Sharing for Microsoft Networks
--的核取勾選取消既可
當然你也可以透過登錄檔將服務server關閉
相關的訊息可透過 google 悠
"glaziz" 來函:
Post by glaziz
我們公司的FoundStone系統掃瞄出我們的網路設備有一個安全性漏洞即Null Session.
FoundStone建議我們:To prevent NetBIOS null sessions you should block access to
TCP port 139 and TCP port 445 on the system.他的方法是:到network
connection然後Disable NetBIOS over TCP/IP.
我依步驟做完重開機之後,再利用superscan4再去掃一次,的卻port 139已經不見了。但是
port445依然存在。我想請教的是:這樣問題就可以解決了嗎?另外,當我關閉port
139這樣對我的系統會有何影響?我可以使用vbs或GPO來做嗎?不然一台一台做太慢了!
謝謝!
继续阅读narkive:
Loading...