Disabilita la condivisione di file su Windows XP

14

Voglio disabilitare la condivisione dei file (SMB) su Windows XP e l'ho disattivato nella finestra di dialogo delle proprietà di rete, ma il sistema è ancora in ascolto sulla porta 445. Esiste un modo per interrompere completamente l'ascolto su 445? È ancora acceso in modalità invisibile?

inserisci qui la descrizione dell'immagine

windows-xp  security  file-sharing 
Tyler Durden
fonte
7
Basta installare la patch per Windows XP che corregge l'exploit SMB
Ramhound
7
@Ramhound Anche con una correzione per l'attuale vulnerabilità, SMB è ancora una superficie di attacco piuttosto grande.
Codici A Caos
1
Puoi sempre utilizzare il firewall integrato, bloccare tutto tranne ciò che devi ascoltare.
Sam,
@Sam Buona idea, blocca il software buggy che non uso con ... altro software buggy che non uso. Ho un'idea migliore: disattivare il software difettoso.
Tyler Durden,
Le risposte attuali non disabilitano effettivamente SMBv1, questo articolo spiega come farlo
Ramhound

Risposte:

13

Ho capito come farlo da un altro post.

Aggiungi la seguente chiave di registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters

Name: SMBDeviceEnabled Type: DWORD (REG_DWORD) Data: 0

Ciò disattiverà completamente i servizi SMB e spegnerà il server in ascolto su 445. Riavvia il computer per rendere effettive. Puoi verificare che sia spento usando netstat -an

Tyler Durden
fonte
4
Hai provato a disabilitare il servizio Server?
Todd Wilcox,
5
L'azione corretta è contrassegnare la tua domanda come duplicata, non rispondere senza nemmeno attribuire alle domande e risposte di origine.
Più tardi
Questo non disabilita SMBv1 però
Ramhound
1
@Ramhound Chiude la porta 445. Che porta utilizza "SMBv1"?
Tyler Durden,
Dopo aver aggiunto la chiave, il comando: netstat -na | trova "ASCOLTO" | trova ": 445", ritorna vuoto - quindi nessuno ascolta il 445
Lucio M. Tato
7

Metodo della riga di comando

Supponendo che l'utente corrente sia un membro del Administratorsgruppo, apri un prompt dei comandi e inserisci:

reg add HKLM\System\CurrentControlSet\Services\NetBT\Parameters /V SmbDeviceEnabled /T REG_DWORD /F /D 0

(ciò aggiunge l'impostazione di registro richiesta per disabilitare SMB ed è l'equivalente CLI della risposta del PO)

Quindi inserire:

sc stop lanmanserver
sc config lanmanserver start= disabled

(questo interrompe e disabilita il serverservizio, aka lanmanserver)

Riavvia il tuo computer:

shutdown -r -t 01

Dopo il riavvio, aprire un prompt dei comandi e immettere il comando seguente per verificare che SMB non sia più in ascolto sulla porta 445:

netstat -na | find "LISTENING" | find ":445 "

Se nessun comando viene restituito da questo comando, sei tutto a posto!

Un altro possibile metodo che coinvolge la GUI

... è disinstallare File and Printer Sharing for Microsoft Networkscompletamente:

  1. Vai a Start| Control Panele fare doppio clic Network Connectionssull'applet.
  2. Fare clic con il pulsante destro del mouse Local Area Connection(ad esempio, la connessione a Internet) e selezionare Properties.
  3. Seleziona File And Printer Sharing For Microsoft Networkse fai clic sul Uninstallpulsante.
  4. Scegliere Yesquando richiesto per disinstallare il componente. Chiudi tutte le finestre di dialogo e le applet.

Per coloro che potrebbero beneficiare di una guida con schermate, consultare:
http://ca.huji.ac.il/services/security/sharingXP-uninstall.shtml

Jimadine
fonte
2
Il server era già spento. Era ancora in ascolto su 445. La porta è di proprietà di PID 4, che è fondamentalmente il kernel, non è un servizio. La parte di servizio è, credo, solo una sorta di front-end. Il server stesso non si trova effettivamente nel servizio "Server", quindi la disattivazione del server non disattiva il listener 445.
Tyler Durden,
Ho aggiornato la mia risposta in base alla tua esperienza: la cintura e le bretelle sono probabilmente le migliori! Visualizzo risultati contrastanti per quanto riguarda la necessità di modificare sia le impostazioni del registro sia lo stato del servizio. Su una scatola XP ho provato, modificando il registro era abbastanza, e sulla mia 7 scatola, bastava fermare il servizio. Forse l'ordine delle modifiche fa la differenza.
Jimadine,
1

Poiché questa vulnerabilità riguarda SMB e NetBT, può essere rimossa con cmd (se questi servizi non sono richiesti):

::Disable netbt service
net stop netbt & sc delete netbt
net stop netbios & sc delete netbios

::Disable Workstation Service
sc stop "LanmanWorkstation"
sc config "LanmanWorkstation" start= disabled
sc delete "LanmanWorkstation"

::Disable SMB feature (windows 7 or higher)
DISM /Online /Disable-Feature /FeatureName:SMB1Protocol /Remove /NoRestart
DISM /Online /Disable-Feature /FeatureName:SmbDirect /Remove /NoRestart

::File and Printer Sharing for Microsoft Networks       
netcfg /u ms_server

Esegui questo come amministratore e riavvia il PC. Questi comandi rimuoveranno permanentemente i servizi. È possibile chiudere le porte nel firewall.

Biswapriyo
fonte
1
Poiché questa domanda è contrassegnata con Windows XP, sei sicuro che DISM sia dotato di XP?
Jimadine,
Non ...
Ramhound,
Quindi modifico il post. Scopri di più su Serverfault :: Funzionalità opzionale su Windows XP
Biswapriyo
@Biswa Solo la riga netcfg nei tuoi comandi è rilevante per i parametri della domanda di OP, ovvero disabilitare SMB 445 in Win XP. Ma anche netcfg è dubbio dato che non è un programma di utilità standard per console XP ( arstechnica.com/civis/viewtopic.php?f=17&t=627079 ).
Jimadine,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.