zum Bauser-Enterprises IT Online Helpdesk
PHP Scripts: Formular-Generator, Glossar-Wörterbuch Gästebuch-KOMPLETT, Professionelles Newslettersystem, Tellafriend, Formmailer, Counter
zur Startseite
Diese Webseite an Freunde, Bekannte...weiterempfehlen

Seite weiterempfehlen
zum Gästebuch von Bauser-Enterprises IT

Beenden von Netzwerkkomponenten Win 2000/XP  (DCOM/NetBIOS)

Sie sollten bzw. dürfen keine Deaktivierung nachstehender Komponenten durchführen, wenn sich Ihr Rechner in einem Netzwerk befindet (z.B. mit Router) oder ein sonstiger Anwendungsfall Abhängigkeiten hierzu aufweist. Diese Anleitung bezieht sich ausschließlich auf ein Einzelplatzsystem mit direktem Anschluss an das Internet per DSL-, ISDN- oder analogem Modem. Wir empfehlen die Erstellung eines Backup der Systempartition vor Durchführung der Massnahmen.

1. Beschreibung des Sachverhalts

Die bekannten RPC-Sicherheitslücken, die z.B. durch den Wurm Lovsan ausgenutzt wurden, können zwar durch Patches behoben werden aber gegen evtl. zukünftige, in diesem Zusammenhang auftretende, Bugs kann man sich nur durch Installation einer Firewall und Block der entsprechenden Ports, Einrichtung eines vorgeschalteten isolierten Netzwerkes (siehe Router) oder gänzlichen Deaktivierung von NetBIOS bzw. DCOM schützen. Bei einer Standardinstallation von Windows 2000 oder XP sind nachstehende Ports offen und die dazugehörigen Dienste aktiviert, was bei einem Mehrplatzsystem mit isoliertem lokalen Netzwerk Sinn macht. Bei einem Einzelplatzrechner kann es jedoch fatale Folgen haben (Freigabedienste melden sich bei Portscans, Einfall von Würmern etc.).

1.1 Local Port TCP 135 (DCOM)

Der End Point Mapper (epmap) ermöglicht das Wiederfinden von Diensten im Netzwerk durch Registrierung auf dem jeweiligen PC. Dies ist bei einem direkt ans Internet angeschlossenen Rechner sehr gefährlich, da dieser auch per Denial-of-Service-Attack angesprochen werden kann. Auch Würmer können sich so Zutritt verschaffen (z.B. Lovsan). Im Durchschnitt wird dieser Port von aussen (Internet) alle 15 Minuten attackiert.

1.2 Local Port UDP 137 (NetBIOS NS)

NetBIOS Name Service ermöglicht die Namensauflösung (WINSname und IP) im Netzwerk.

1.3 Local Port UDP 138 (NetBIOS DTG)

NetBIOS Datagram Service ermöglicht das Login sowie Browsing im Netzwerk.

1.4 Local Port TCP 139 (NetBIOS SSN)

NetBIOS Session Service ist für den eigentlichen Datenverkehr im Zugriff auf die freigegebenen Dateien und Drucker im Netzwerk zuständig.

1.5 Local Port TCP/UDP 445 (MS DH/SMB)

Die Datei- und Druckerfreigabe (Filesharing) wird direkt, unter Umgehung der vorgenannten NetBIOS-Ports, an TCP/IP geleitet (Direct Hosting). Dies wird über das Server Message Block-Protocol (SMB) erreicht. Spielt eine Kernrolle in den bekannten RPC-Sicherheitslücken. So konnte man u.a. administrative Rechte auf einem angesprochenen Rechner erlangen.

2. Grundsätzliche Beseitigung der Sicherheitslücke

Dies kann durch Installation einer Firewall und Erstellung einer Regel (Block lokale Ports TCP 135, 139, 445 und UDP 137, 138, 445) sowie Update des Betriebssystems erfolgen und/oder grundsätzlichen Deaktivierung dieser Dienste wie nachfolgend beschrieben.

2.1 Deaktivierung NetBios- NS, -DGS, -SS

2.1.1 Deaktivierung NetBIOS zu DFÜ

  • Aufrufen der <Systemsteuerung/Netzwerkverbindungen> und Eigenschaften der jeweiligen DFÜ-Verbindung (z.B. ISDN, Analog oder DSL-Verbindung)
  • Unter dem Reiter <Netzwerk> die Datei- und Druckerfreigabe sowie den Client für Microsoft-Netzerke deaktivieren (Häkchen raus) und Aufrufen der Internetprotokoll (TCP/IP)-Eigenschaften
  • Unter <Erweitert> und dem Reiter <WINS> ist <NetBIOS über TCP/IP deaktivieren> auszuwählen

  • OK und Rechner neu starten

2.1.2 Deaktivierung NetBIOS zu LAN oder WLAN (sofern Netzwerkkarten installiert)

  • Aufrufen der <Systemsteuerung/Netzwerkverbindungen> und Eigenschaften der LAN -Verbindung
  • Unter <Allgemein> die Datei- und Druckerfreigabe sowie den Client für Microsoft-Netzerke deaktivieren (Häkchen raus) und Aufrufen der Internetprotokoll (TCP/IP)-Eigenschaften
  • Unter <Erweitert> und dem Reiter <WINS> ist <NetBIOS über TCP/IP deaktivieren> auszuwählen
  • OK und Rechner neu starten

Schritte für jede zusätzlich installierte Netzwerkkarte wiederholen.

2.1.3 Auflösung Bindungen

  • Aufrufen der <Systemsteuerung/Netzwerkverbindungen> und in der oberen Befehlsleiste <Erweitert> und <Erweiterte Einstellungen> aufrufen
  • alle Bindungen, sofern vorhanden, für die jeweilige Verbindung (LAN, RAS) im unteren Fenster entfernen (Haken entfernen)

  • OK und Rechner neu starten

Die Ports 137, 138, 139 und 445 sind somit geschlossen und für einen Portscan nicht mehr empfänglich.

2.2 Deaktivierung DCOM und Bindungen zu DCOM-Protokollen

  • Aufrufen der DOS-Eingabe-Aufforderung (Start/Ausführen/) und Eingabe des Befehls <dcomcnfg.exe>
  • Aufrufen von <Konsolenstamm/Komponentendienste/Computer/Arbeitsplatz> und Arbeitsplatz markieren
  • Über <Aktion/Eigenschaften> die “Eigenschaften von Arbeitsplatz” aufrufen
  • Unter dem Reiter <Standardeigenschaften> nun Häkchen bei “DCOM auf diesem Computer aktivieren” entfernen

  • Unter dem Reiter <Standardprotokolle/DCOM-Protokolle> alle Bindungen entfernen
  • OK und Rechner neu starten

Jetzt ist auch Port 135 geschlossen und kann nicht mehr angesprochen werden.

 zum Empehlungs-Formular Diese Seite weiterempfehlen   zum Gästebuch ins Gästebuch eintragen

 
© Copyright Bauser-Enterprises-IT Thomas Murr: Secured with Digital Watermarking and Patent Protection 

zum Seitenanfang  

Home | Angebot | IT-Forensik | IT-Risiken | WWW | Sicherheit | Tipps | Aktuelles | Kontakt | Links | Newsletter | AGB | Impressum | Sitemap |