自网络基本输入输出系统该漏洞早已广为人知,并且广为传播,补丁也已发布。那么,现在开放这个 139 端口可以吗?
答案1
端口不是易受攻击的,它们只是端口而已。监听特定端口的服务可能存在可远程利用的漏洞,或者监听特定端口的服务配置错误可能会导致意想不到的后果。据我所知,最后一次针对 NetBIOS/139 的远程攻击发生在 Windows NT/2000 时代。
端口 139 通常用于文件/打印机共享,包括与 Active Directory 的目录复制、信任、事件日志的远程访问等。
因此...如果您只是因为在互联网上某处看到该端口“不好”,或者因为您正在遵循在互联网上找到的一些通用强化检查表而阻止域控制器上的端口 139,那么您将终止 AD 复制。如果您在典型的企业网络中阻止 139,您将无法在远程计算机上执行任何操作(远程管理客户端/服务器、安装软件、共享打印机、文件...)这在托管环境中并不好,除非您喜欢在需要对计算机执行任何操作时随时派遣技术人员到现场。哎呀,您可以超级安全,只需完全禁用网卡,然后使用软盘移动位。您可以禁用 Apache Web 服务器上的端口 80,因为可能存在跨站点脚本漏洞。您可以阻止端口 1433 以减少 SQL 注入攻击的实例。(好吧,我现在退出;)
关键是要了解网络上启用的服务的目的和要求,了解它们面临的威胁,并了解适当的缓解措施。
您是否想将域控制器放在面向 Internet 的网络连接上,而不阻止/过滤对端口 139(或许多其他端口)的访问?您是否想将装有 Windows ME 并启用了文件/打印共享的家用计算机直接插入电缆调制解调器,而无需路由器过滤连接或在您的计算机上启用防火墙?当然不是。
一本涵盖了这些信息(包括你必须做出的安全决策背后的“原因”)的好书是保护您的 Windows 网络:从外围到数据作者为史蒂夫·莱利 (Steve Riley) 和杰斯帕·约翰逊 (Jesper Johansson)。
答案2
答案3
这取决于您在 139 上监听的内容。给定端口的漏洞完全取决于攻击者可以通过该端口访问的软件。
这个问题可能不是无缘无故的,所以你打开这个端口肯定是有原因的。有人想用它,对吧?所以你需要找出他们想要运行什么软件,找出它的补丁级别,调查已知的漏洞并做出判断。
如果您正在谈论保护多台服务器的防火墙,那么您还可以查看仅允许 139 个流量到特定服务器的规则。
答案4
“您是否想将您的域控制器放在面向互联网的网络连接上,而无需阻止/过滤对端口 139(或许多其他端口)的访问?您是否想将装有 Windows ME 并启用了文件/打印共享的家用计算机直接插入电缆调制解调器,而无需路由器过滤连接或在您的计算机上启用防火墙?当然不是。”
答案是这样的:
- 在本地受信任的网络接口上打开端口(除非您的服务器未提供或不适用 Windows 文件/打印机共享服务)
- 关闭面向互联网的接口上的端口(即使在防火墙后面)
当然,这是假设您位于 Windows 服务器域控制器上,对于其他任何人来说,打开此端口都是荒谬的(无论如何,对于其预期用途而言!)。
请注意,使用此端口的 Windows 服务将仅监听启用的 NIC 的默认 IP 地址的端口 139,而不是任何其他分配的 IP。