201704241209關閉 Server Message Block (SMB) 避免被 DoublePulsar 利用

  網路芳鄰這個在 win98 就惡名昭彰的好用工具,一直到今天 Server Message Block (SMB) 仍持續的危害著 windows OS。你的電腦還開著 TCP 445 port 嗎?如果沒用網芳快把他關掉或者限制使用的IP範圍吧~今天就來說如何關閉 SMB。

前因超過3萬台PC被植入NSA攻擊工具DoublePulsar,台灣受害數量名列第3
【資安威脅】US-CERT警告:建議關閉與修改SMB設定,以防駭客竊取機敏資訊

建議:關閉所有版本 SMB ,關閉 TCP:139, 445 、UDP:137, 138
https://www.us-cert.gov/ncas/current-activity/2017/01/16/SMB-Security-Best-Practices

----------------------------------

設定方式:各個 Windows 版本設定不盡相同,我以 window 7 為例,其他版本可參照或依底下參考連結進行設定。

Step 1:關閉 NetBIOS over TCPIP
-1. 從網路介面卡關閉 NetBIOS      
開啟區域網路設定,然後依照下圖順序 停用 NetBIOS over TCPIP
https://support.microsoft.com/en-us/help/204279/direct-hosting-of-smb-over-tcp-ip 

-2. 從服務 Service 關閉 NetBIOS
開啟「電腦管理」點選服務,找到 TCP/IP NetBIOS Helper

停止服務並且停用啟動

 

Step 2 :修改 Registry 關閉 SMB (執行 regedit.exe)
切換到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
新增兩筆 DWORD 取名為 SMB1 與 SMB2 並值設定為 0

設定值 0 代表 disable 停用,1 代表 enable 啟用

也可以執行,底下命令進行停用
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

Reference:https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012 

 

清除分享的名稱 TransportBindName

另外從控制台,也可以修改與關閉部分不需要的功能 
關閉網路探索 TCP port 
關閉檔案與印表機共享
關閉公用資料夾

Step 3:重新啟動 Windows (Reboot)     

Step 4:再觀察 SMB port:445 是否有執行 listening      

~End

回應
關鍵字
Google Search
Google
累積 | 今日
loading......
平均分數:0 顆星
投票人數:0
我要評分:
Google