Sicherheitshandbuch Windows 2000

Deaktivieren von NetBIOS in nicht vertrauenswürdigen Netzwerken

Aktualisiert: 22. Mrz 2004

Auf dieser Seite

	Zielsetzung
	Betrifft
	Der Nutzen dieses Moduls
	Zusammenfassung
	Erforderliche Vorkenntnisse
	Deaktivieren von SMB

Zielsetzung

•	Deaktivieren von NetBIOS auf Servern in nicht vertrauenswürdigen Netzwerken.

Zum Seitenanfang

Betrifft

Die Informationen in diesem Modul gelten für folgende Produkte und Technologien:

•	Betriebssystem Microsoft Windows 2000

Zum Seitenanfang

Der Nutzen dieses Moduls

Verwenden Sie dieses Modul zum Deaktivieren von NetBIOS auf Servern in nicht vertrauenswürdigen Netzwerken, um die Angriffsmöglichkeiten auf den Server zu reduzieren.

Zum Seitenanfang

Zusammenfassung

In diesem Modul wird das Deaktivieren von NetBIOS beschrieben. Dies ist eine spezielle Empfehlung für Server in nicht vertrauenswürdigen Netzwerken, wie zum Beispiel öffentlich erreichbare Webserver oder Unternehmens-Mailgateways. Sollten Sie Server in einem nicht vertrauenswürdigen Netzwerk betreiben, sollten Sie darüber nachdenken, die im Folgenden beschriebenen Maßnahmen zu implementieren. Allerdings nicht ohne sie zuvor gründlich getestet zu haben. Außerdem sollten Sie sich darüber im Klaren sein, was für eine Herausforderung die Deaktivierung von NetBIOS (Network Basic Input/ Output System) für die Verwaltung der Systeme darstellt.

Sicherheitslücken

Für die Server im Perimeternetzwerk sollten alle unnötigen Protokolle deaktiviert sein, einschließlich NetBIOS und SMB (Server Message Block). Webserver und DNS-Server (Domain Name System) erfordern NetBIOS oder SMB nicht. Diese Protokolle sollten beide deaktiviert werden, um der Gefahr von Benutzeraufzählungen vorzubeugen. Die Benutzeraufzählung ist eine böswillige Methode zum Sammeln von Informationen, bei der ein Hacker versucht, systemspezifische Informationen zu erhalten, um weitere Angriffe zu planen.

Das SMB-Protokoll gibt nützliche Informationen über einen Computer zurück, sogar an nicht authentifizierte Benutzer, die Nullsitzungen verwenden. Die abgerufenen Informationen enthalten unter anderem Domänen- und Vertrauensstellungen, Freigaben, Benutzerinformationen (einschließlich Gruppen und Benutzerrechte), Registrierungsschlüssel.

Hinweis: Nullsitzungen können durch Setzen des Registrierungschlüssels RestrictAnonymous blockiert werden.

Gegenmaßnahme

Das Deaktivieren von NetBIOS reicht nicht aus, um die SMB-Kommunikation zu verhindern. Dies begründet sich im Sollten nämlich die NetBIOS-Ports nicht zur Verfügung stehen, verwendet SMB TCP-Port 445 (SMB Direct Host). Deswegen müssen NetBIOS und SMB separat deaktiviert werden..

Zum Seitenanfang

Erforderliche Vorkenntnisse

NetBIOS verwendet die folgenden Ports:

•	UDP/137 (NetBIOS-Namensdienst)
•	UDP/138 (NetBIOS-Datagrammdienst)
•	UDP/139 (NetBIOS-Sitzungsdienst)

SMB verwendet die folgenden Ports:

•	TCP/139
•	TCP/445

Sie sollten SMB auf Servern deaktivieren, auf die vom Internet aus zugegriffen werden kann, indem Sie Datei- und Druckdienste für Microsoft-Netzwerke und Client für Microsoft-Netzwerke mithilfe des Dialogfelds für die Eigenschaften des TCP/IP-Protokolls in den Eigenschaften der lokalen Netzwerkverbindung entfernen.

Zum Seitenanfang

Deaktivieren von SMB

•

So deaktivieren Sie SMB

1.	Zeigen Sie im Menü Start auf Einstellungen , und klicken Sie dann auf Netzwerk- und DFÜ-Verbindungen .
2.	Klicken Sie mit der rechten Maustaste auf Internetverbindung , und klicken Sie dann auf Eigenschaften .
3.	Wählen Sie Client für Microsoft-Netzwerke , und klicken Sie dann auf Deinstallieren .
4.	Folgen Sie den Schritten zum Deinstallieren.
5.	Wählen Sie Datei- und Druckdienste für Microsoft Netzwerke , und klicken Sie dann auf Deinstallieren .
6.	Folgen Sie den Schritten zum Deinstallieren.

•

So deaktivieren Sie NetBIOS über TCP/IP

1.	Klicken Sie auf dem Desktop mit der rechten Maustaste auf Arbeitsplatz und dann auf Verwalten .
2.	Erweitern Sie Systemprogramme , und wählen Sie dann Geräte-Manager .
3.	Klicken Sie mit der rechten Maustaste auf Geräte-Manager , zeigen Sie auf Ansicht , und klicken Sie dann auf Ausgeblendete Geräte anzeigen .
4.	Erweitern Sie Nicht-PnP-Treiber .
5.	Klicken Sie mit der rechten Maustaste auf NetBIOS über TCP/IP und anschließend auf Deaktivieren .

Dadurch wird der SMB-Direkthost auf TCP/445 und UDP 445 deaktiviert.

Hinweis: Diese Vorgehensweise deaktiviert den Treiber nbt.sys. Die Registerkarte WINS im Dialogfeld Erweiterte TCP/IP-Einstellungen enthält eine Option NetBIOS über TCP/IP deaktivieren . Durch Auswählen dieser Option wird nur der NetBIOS-Sitzungsdienst deaktiviert (hört TCP-Port 139 ab). Dadurch wird das SMB-Protokollnichtvollständig deaktiviert. Führen Sie dazu die Schritte oben durch.

Mögliche Auswirkungen

Kein System kann sich mit dem Server über SMB verbinden. Die Server können nicht auf Ordner zugreifen, die im Netzwerk gemeinsam genutzt werden. Eine Reihe von Verwaltungstools können sich nicht mit den Servern verbinden.

Zum Seitenanfang

7 von 8

In diesem Beitrag

•	Sicherheitshandbuch Windows 2000 - Einführung
•	Methoden zur Analyse und Management von Risiken
•	Sicherheitsrisiken Analysieren und Identifizieren
•	Überwachung und Eindringungserkennung
•	Reaktion auf Sicherheitsverletzungen
•	TCP/IP-Angriffe und -Gegenmaßnahmen
•	Deaktivieren von NetBIOS in nicht vertrauenswürdigen Netzwerken
•	Konfiguration von digitalen Zertifikaten für sichere LDAP- und SMTP-Replikation

Download des

Sicherheitshandbuch Windows 2000