禁用 TCP/IP 上的 NetBIOS
注 这个过程将禁用 Nbt.sys 驱动程序,而且要求您重启系统。
1. | 右键单击桌面上的 mycomputer,然后单击 manage。 |
2. | 展开系统工具,并选择 devicemanager。 |
3. | 右键单击 devicemanager,指向 view,然后单击 show hidden devices。 |
4. | 展开 non-plug and Play Drivers。 |
5. | 右键单击 netbios over Tcpip,然后单击 disable。 这将禁用 TCP 445 和 UDP 445 上的 NetBIOS 直接宿主侦听程序。 |
禁用 SMB
smb 使用以下端口:
tcp 端口 139 | |
tcp 端口 445 |
要禁用 SMB,使用 local Area Connection 属性中的 TCP/IP 属性对话框解除 SMB 与面对 Internet 端口的绑定。
解除 SMB 与面对 Internet 端口的绑定
1. | 单击 start 菜单,指向 settings,然后单击 network and Dial-up Connections。 |
2. | 右键单击面对 Internet 的连接,然后单击 properties。 |
3. | 清除 client for Microsoft Networks 框。 |
4. | 清除 file and Printer Sharing for Microsoft Networks 框。 |
注advanced TCP/IP Settings 对话框的 wins 选项卡包含一个 disable NetBIOS over TCP/IP 单选按钮。选择这个选项,禁用使用 TCP 端口 139 的 NetBIOS 会话服务。它并不能完全禁用 SMB。为此,请使用上述过程。
返回页首您应该删除不使用的帐号,因为攻击者可能发现并使用它们。要求使用强密码。脆弱的密码将增加成功的蛮力或者字典攻击的可能性。使用最低特权。攻击者能够使用具有过多特权的帐号获取对未授权资源的访问。
在此步骤中,应该:
删除或者禁用未用的帐号。 | |
禁用 Guest 帐号。 | |
重命名管理员帐号。 | |
禁用 IUSR 帐号。 | |
创建自定义匿名 Web 帐号。 | |
强制坚固的密码策略。 | |
限制远程登录。 | |
禁用空会话(匿名登录)。 |
删除或者禁用未用的帐号
未用的帐号及其特权可能被攻击者用来访问服务器。审核服务器上的本地帐号,禁用未使用的本地帐号。如果禁用帐号不会导致任何问题,就删除帐号。(已删除的帐号是无法恢复的。)在生产服务器上禁用帐号之前,应该禁用测试服务器上的帐号。确保禁用帐号不会对应用程序的操作产生负面影响。
注 管理员帐号和 Guest 帐号是无法删除的。
禁用 Guest 帐号
guest 帐号是在匿名连接计算机的时候使用的。要限制匿名连接计算机,始终禁用这个帐号。Guest 帐号在 Windows 2000 上默认时是禁用的。要检查它是否启用,在计算机管理工具中显示 users 文件夹。Guest 帐号应该显示带有叉号图标。如果没有禁用,显示其 properties 对话框并选择 account is disabled。
重命名管理员帐号
默认的本地管理员帐号是恶意使用的目标之一,因为它在计算机上拥有提升的特权。要提高安全性,重命名默认的管理员帐号,并赋予其强密码。
如果您想执行本地管理,请配置帐号以拒绝网络登录权限,并要求管理员交互式地登录。这样做,能够防止用户(无论有意与否)从远程位置使用管理员帐号登录服务器。如果本地管理策略太不灵活,可以实现安全的远程管理解决方案。有关更多信息,请参阅本单元后面的“远程管理”。
禁用 IUSR 帐号
禁用默认的匿名 Internet 用户帐号 IUSR_MACHINE。这是在 IIS 安装期间创建的。MACHINE 的服务器在 IIS 安装时的 NetBIOS 名称。
创建自定义匿名 Web 帐号
如果应用程序支持匿名访问(例如,因为它们使用自定义身份验证机制,例如窗体身份验证),则应该创建自定义最低特权匿名帐号。如果您运行 IISLockdown,添加自定义用户到所创建的 Web 匿名用户组。IISLockdown 拒绝 Web 匿名用户组访问系统实用工具,也拒绝它写入 Web 内容目录。
如果您的 Web 服务器宿主多个 Web 应用程
