Desabilitar o compartilhamento de arquivos no Windows XP

14

Desejo desativar o compartilhamento de arquivos (SMB) no Windows XP e desativei-o na caixa de diálogo de propriedades da rede, mas o sistema ainda está escutando na porta 445. Existe uma maneira de fazê-lo parar de escutar 445 completamente? Ainda está no modo furtivo?

insira a descrição da imagem aqui

windows-xp security file-sharing Tyler Durden
fonte
7
Basta instalar o patch para o Windows XP, que fixa o SMB explorar
Ramhound
7
@ Ramhound Mesmo com uma correção para a vulnerabilidade atual, o SMB ainda é uma superfície de ataque bastante grande.
CodesInChaos
1
Você sempre pode usar o firewall embutido, bloquear tudo, exceto o que precisa ouvir.
Sam
@ Sam Boa ideia, bloquear o software de buggy que não uso com ... mais software de buggy que não uso. Tenho uma ideia melhor: desligue o software do buggy.
Tyler Durden
As respostas atuais realmente não desativar SMBv1, este artigo explica como fazer isso
Ramhound

Respostas:

13

Eu descobri como fazer isso em outro post.

Adicione a seguinte chave do Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters

Name: SMBDeviceEnabled Type: DWORD (REG_DWORD) Data: 0

Isso desabilitará completamente os serviços SMB e desligará o servidor que escuta 445. Reinicie o computador para entrar em vigor. Você pode verificar se está desativado usando netstat -an

Tyler Durden
fonte
4
Você tentou desativar o serviço do servidor?
Todd Wilcox
5
A ação correta é sinalizar sua pergunta como duplicada, e não respondê-la sem mesmo atribuir as perguntas e respostas da fonte.
AStopher
Isto não desactiva SMBv1 embora
Ramhound
1
@ Ramhound Ele desliga a porta 445. Qual porta está usando "SMBv1"?
Tyler Durden
Após adicionar a chave, o comando: netstat -na | encontre "ESCUTANDO" | find ": 445", retorna vazio - para que ninguém ouça 445
Lucio M. Tato
7

Método de linha de comando

Supondo que o usuário atual seja um membro do Administratorsgrupo, abra um prompt de comandos e digite:

reg add HKLM\System\CurrentControlSet\Services\NetBT\Parameters /V SmbDeviceEnabled /T REG_DWORD /F /D 0

(isso adiciona a configuração de registro necessária para desativar o SMB e é o equivalente da CLI da resposta do OP)

Em seguida, digite:

sc stop lanmanserver
sc config lanmanserver start= disabled

(isso interrompe e desativa o serverserviço, também conhecido como lanmanserver)

Reinicie o seu computador:

shutdown -r -t 01

Após a reinicialização, abra um prompt de comandos e digite o seguinte comando para verificar se o SMB não está mais atendendo na porta 445:

netstat -na | find "LISTENING" | find ":445 "

Se nenhuma saída for retornada por este comando, você estará bem!

Outro método possível envolvendo a GUI

... é desinstalar File and Printer Sharing for Microsoft Networkscompletamente:

  1. Vá para Start| Control Panele clique duas vezes no Network Connectionsminiaplicativo.
  2. Clique com o botão direito do mouse Local Area Connection(ou seja, na conexão com a Internet) e selecione Properties.
  3. Selecione File And Printer Sharing For Microsoft Networkse clique no Uninstallbotão
  4. Escolha Yesquando solicitado a desinstalar o componente. Feche todas as caixas de diálogo e applets.

Para aqueles que podem se beneficiar de um guia com capturas de tela, consulte:
http://ca.huji.ac.il/services/security/sharingXP-uninstall.shtml

Jimadine
fonte
2
Eu já tinha o servidor desligado. Ele ainda estava ouvindo no 445. A porta pertence ao PID 4, que é basicamente o kernel, não é um serviço. A porção de serviço é, eu acho, apenas algum tipo de front end. O servidor em si não está realmente no serviço "Servidor", portanto, desativar o Servidor não desativa o ouvinte 445.
Tyler Durden
Atualizei minha resposta com base na sua experiência - o cinto e suspensórios provavelmente é o melhor! Estou vendo resultados contraditórios quanto à necessidade de modificar a configuração do registro e o estado do serviço. Em uma caixa XP que testei, modificar o registro foi suficiente e, na minha própria caixa 7, interromper o serviço foi suficiente. Possivelmente, a ordem das modificações faz a diferença.
Jimadine 17/05
1

Como essa vulnerabilidade tem como alvo SMB e NetBT, ela pode ser removida com o cmd (se esses serviços não forem necessários):

::Disable netbt service
net stop netbt & sc delete netbt
net stop netbios & sc delete netbios

::Disable Workstation Service
sc stop "LanmanWorkstation"
sc config "LanmanWorkstation" start= disabled
sc delete "LanmanWorkstation"

::Disable SMB feature (windows 7 or higher)
DISM /Online /Disable-Feature /FeatureName:SMB1Protocol /Remove /NoRestart
DISM /Online /Disable-Feature /FeatureName:SmbDirect /Remove /NoRestart

::File and Printer Sharing for Microsoft Networks       
netcfg /u ms_server

Execute isso como administrador e reinicie o PC. Esses comandos removerão os serviços permanentemente. Você pode fechar as portas no firewall.

Biswapriyo
fonte
1
Como esta pergunta está marcada como windows-XP, você tem certeza que o DISM vem com o XP?
Jimadine 14/05
Não ...
Ramhound 14/05
Por isso, edito a postagem. Veja mais sobre Serverfault :: recurso opcional no Windows XP
Biswapriyo
@Biswa Somente a linha netcfg nos seus comandos é relevante para os parâmetros da pergunta do OP, ou seja, desative o SMB 445 no Win XP. Mas mesmo o netcfg é duvidoso, pois não é um utilitário padrão do console XP ( arstechnica.com/civis/viewtopic.php?f=17&t=627079 ).
Jimadine 17/05