Deshabilitar el uso compartido de archivos en Windows XP

14

Quiero deshabilitar el uso compartido de archivos (SMB) en Windows XP y lo apagué en el cuadro de diálogo de propiedades de red, pero el sistema todavía está escuchando en el puerto 445. ¿Hay alguna forma de que deje de escuchar en 445 por completo? ¿Sigue encendido en modo sigilo?

ingrese la descripción de la imagen aquí

windows-xp security file-sharing Tyler Durden
fuente
77
Simplemente instale el parche para Windows XP que corrige la vulnerabilidad de SMB
Ramhound,
77
@Ramhound Incluso con una solución para la vulnerabilidad actual, SMB sigue siendo una superficie de ataque bastante grande.
CodesInChaos
1
Siempre puede usar el firewall incorporado, bloquear todo excepto lo que necesita escuchar.
Sam
@Sam Buena idea, bloquee el software con errores que no uso con ... más software con errores que no uso. Tengo una mejor idea: apague el software con errores.
Tyler Durden
Las respuestas actuales en realidad no deshabilitan SMBv1, este artículo explica cómo hacerlo
Ramhound

Respuestas:

13

Descubrí cómo hacer esto desde otra publicación.

Agregue la siguiente clave de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters

Name: SMBDeviceEnabled Type: DWORD (REG_DWORD) Data: 0

Esto deshabilitará por completo los servicios SMB y apagará el servidor que escucha en 445. Reinicie la computadora para que surta efecto. Puede verificar que está apagado usando netstat -an

Tyler Durden
fuente
44
¿Intentaste deshabilitar el servicio del servidor?
Todd Wilcox
55
La acción correcta es marcar su pregunta como un duplicado, no responderla sin siquiera atribuir la fuente de preguntas y respuestas.
AStopher
Sin embargo, esto no deshabilita SMBv1
Ramhound
1
@Ramhound Cierra el puerto 445. ¿Qué puerto está usando "SMBv1"?
Tyler Durden
Después de agregar la clave, el comando: netstat -na | encontrar "ESCUCHANDO" | find ": 445", vuelve vacío - para que nadie escuche en 445
Lucio M. Tato
7

Método de línea de comando

Suponiendo que el usuario actual es miembro del Administratorsgrupo, abra un símbolo del sistema e ingrese:

reg add HKLM\System\CurrentControlSet\Services\NetBT\Parameters /V SmbDeviceEnabled /T REG_DWORD /F /D 0

(esto agrega la configuración de registro requerida para deshabilitar SMB, y es el equivalente de CLI de la respuesta del OP)

Luego ingrese:

sc stop lanmanserver
sc config lanmanserver start= disabled

(esto detiene y desactiva el serverservicio, también conocido como lanmanserver)

Reinicia tu computadora:

shutdown -r -t 01

Después del reinicio, abra un símbolo del sistema e ingrese el siguiente comando para verificar que SMB ya no está escuchando en el puerto 445:

netstat -na | find "LISTENING" | find ":445 "

Si este comando no devuelve ningún resultado, ¡todo está bien!

Otro posible método que involucra la GUI

... es desinstalar File and Printer Sharing for Microsoft Networkscompletamente:

  1. Ir a Start| Control Panely haga doble clic en el Network Connectionsapplet.
  2. Haga clic con el botón derecho Local Area Connection(es decir, la conexión a Internet) y seleccione Properties.
  3. Seleccione File And Printer Sharing For Microsoft Networksy haga clic en el Uninstallbotón.
  4. Elija Yescuando se le solicite que desinstale el componente. Cierre todos los cuadros de diálogo y applets.

Para aquellos que podrían beneficiarse de una guía con capturas de pantalla, consulte:
http://ca.huji.ac.il/services/security/sharingXP-uninstall.shtml

Jimadine
fuente
2
Ya tenía el servidor apagado. Seguía escuchando en 445. El puerto es propiedad de PID 4, que es básicamente el núcleo, no es un servicio. La porción de servicio es, creo, solo una especie de front end. El servidor en sí no está realmente en el servicio "Servidor", por lo que apagar el servidor no apaga el oyente 445.
Tyler Durden
He actualizado mi respuesta en función de su experiencia: ¡los cinturones y llaves probablemente sean los mejores! Estoy viendo resultados mixtos con respecto a si necesita modificar tanto la configuración del registro como el estado del servicio. En una caja de XP que probé, modificar el registro fue suficiente, y en mi propia caja de 7, detener el servicio fue suficiente. Posiblemente el orden de modificaciones hace la diferencia.
Jimadine
1

Como esta vulnerabilidad se dirige a SMB y NetBT, se puede eliminar con cmd (si estos servicios no son necesarios) ::

::Disable netbt service
net stop netbt & sc delete netbt
net stop netbios & sc delete netbios

::Disable Workstation Service
sc stop "LanmanWorkstation"
sc config "LanmanWorkstation" start= disabled
sc delete "LanmanWorkstation"

::Disable SMB feature (windows 7 or higher)
DISM /Online /Disable-Feature /FeatureName:SMB1Protocol /Remove /NoRestart
DISM /Online /Disable-Feature /FeatureName:SmbDirect /Remove /NoRestart

::File and Printer Sharing for Microsoft Networks       
netcfg /u ms_server

Ejecute esto como administrador y reinicie la PC. Estos comandos eliminarán los servicios de forma permanente. Puede cerrar los puertos en el firewall.

Biswapriyo
fuente
1
Como esta pregunta está etiquetada con Windows-XP, ¿estás seguro de que DISM viene con XP?
Jimadine
No ...
Ramhound
Por eso edito la publicación. Ver más sobre Serverfault :: Función opcional en Windows XP
Biswapriyo
@Biswa Solo la línea netcfg en sus comandos es relevante para los parámetros de la pregunta de OP, es decir, deshabilite SMB 445 en Win XP. Pero incluso netcfg es dudoso dado que no es una utilidad de consola XP estándar ( arstechnica.com/civis/viewtopic.php?f=17&t=627079 ).
Jimadine