也許大家都知道網上有些掃描器如letmein.exe,whoisadmin.exe等,是通過TCP的139和445端口來獲取一些計算機相關信息,如計算機的名稱,管理員帳號。這樣便可以通過相應的攻擊工具進行入侵了。當知道了管理員的帳號后,可以猜測或暴力破解其密碼來獲得計算機的控制權。怎么辦呢?利用win2000自身的策略設置,就能解決。我們采取對本地安全設置里的"IP安全設置,在本地機器" 來進行設置,禁止TCP的139/445連接。
在進行策略設置前,首先來了解一下相應的原理吧!
一、基本原理SMB(Server Message Block) Windows協議族,用于文件和打印共享服務。NBT(NetBIOS over TCP/IP) 使用137(UDP), 138(UDP) and 139 (TCP)來實現基于TCP/IP的NETBIOS網際互聯。
在Windows NT中SMB基于NBT實現。 而在Windows2000中,SMB除了基于NBT的實現,還有直接通過445端口實現。 當Win2000(允許NBT)作為client來連接SMB服務器時,它會同時嘗試連接139和445端口,如果445端口有響應,那么就發送RST包給139端口斷開連接,以455端口通訊來繼續.當445端口無響應時,才使用139端口。當Win2000(禁止NBT)作為client來連接SMB服務器時,那么它只會嘗試連接445端口,如果無響應,那么連接失敗。(注意可能對方是NT4.0服務器。) 如果win2000服務器允許NBT, 那么UDP端口137, 138, TCP 端口 139, 445將開放。 如果 NBT 被禁止, 那么只有445端口開放。
二、實戰操作簡單的原理就這些了,那如何實現呢?方法如下
1. 通過對開始->設置->控制面版->管理工具 -> 本地安全策略 ->(鼠標右擊)IP安全策略,在本地機器。點擊"管理IP篩選器表和篩選器操作",如圖1所示。
2.在"管理IP篩選器列表"選項卡上點擊"添加"。
3.彈出"IP篩選器列表"窗口。
4.分別添入名稱和描述,如禁用139連接。并點擊"添加",接著會出現一個IP"篩選器向導",單擊下一步。
5.到"指定IP源地址"窗口,在"源地址"中選擇"任何IP地址",點擊下一步。
6.在"IP通信目標"的"目標地址"選擇"我的IP地址",點擊下一步。
7.在"IP協議類型"的"選擇協議類型"選擇"TCP",點擊下一步。
8.在"篩選器向導"的"設置IP協議端口"里第一欄為"從任意端口",第二欄為"到此端口"并添上"139",點擊下一步。
9.接著點擊"完成" ->然后再單擊"關閉" 回到"管理IP篩選器表和篩選器操作"窗口。
10.選擇"管理篩選器操作"選項卡點擊"添加"。
11.同樣會出現一個"篩先器操作向導"的窗口,點擊"下一步",在"名稱"里添上"禁用139連接"。
12.按"下一步",并選擇"阻止",再按"下一步"。
點擊"完成"和"關閉"。
到這里"禁止139連接"的策略算是制定好了。不用多說了,禁用445端口的"篩選器列表"和"篩選器操作"的添加是和"禁止139連接"的方法一樣的! 有一點,是需要注意的在添加139和445的篩選器操作時,不能為了省事用同一個"阻止"篩選器操作,這樣制定出的規則將無法使用。
13.當禁止139/445的操作都完成后,回到"IP安全策略,在本地機器" ,通過右擊創建"IP安全策略"
14.會出現一個"IP安全策略向導"的窗口,直接點擊"下一步",在"名稱"添入"禁用139/445連接",一直點擊"下一步"到"完成"。
15.在"禁用139/445連接 屬性"里點擊"添加"。
16.會出現一個"安全規則向導"窗口,一直點擊"下一步"到"IP篩選器列表"選擇"禁用139連接",點擊"下一步"。
17.在"篩選器操作"選擇"禁用139連接",點擊"下一步",接著點去"完成"和"確定"。
18. 此時,可以通過"添加"將禁用445端口的篩選器列表和操作也加進去。
19.接著是一直點擊"下一步",到"IP篩選器列表",選擇"禁用445連接",點擊"下一步"。
20.此時,已經完成了所有的配置。點擊"關閉"。回到"屬性"窗口,設置好的窗口呈現如下 。
21.最后,將我們剛才配置好的"禁用139/445連接"的安全策略指派即可。大功告成啦!
當然,如果你已有了自己的策略或使用系統自代的策略也是可以通過添加規則的方法來實現禁用139/445的目的,但創建"IP篩選器列表"和"管理篩選器操作"是一定要作的。同理你也可以通過IP安全設置里,對ICMP進行策略的制定,限制ping工具的使用。現用在用letmein之類的掃描器再試試吧!
附:這是未作禁用139/445策略時,用letmein.exe和whoisadmin.exe的探測結果,如下圖:
作過禁用139/445策略后的探測結果就變成了這樣,如下圖:
注:以上的測試是在域控制器上作的,如果不是的話,在2000server上操作的過程中會有如下的提示:
不需要去管它,點擊"是"就可以了!