Hallo Turrican, zunächst einmal:
NEIN, da du ja Windows 7 besitzt, würde ich das genannte Script AUF KEINEN FALL laufen lassen.
Hingegen wäre es wohl einen Versuch wert, auch bei Windows 7 auf manuellem Weg gefährliche Dienste und Configs zu beenden bzw. zu ändern.
Da ich kein Windows 7 habe, kann ich dir allerdings nicht versprechen, dass alle Menüs, Unterverzeichnisse etc. die exakt gleiche Bezeichnung tragen wie die im folgenden genannten. Das kannst nur du selbst überprüfen. Falls ja, sehe ich keinen Grund, die einzelnen Schritte nicht zu wagen! Sicher, ist etwas zeitaufwändiger, aber bei Handarbeit lässt sich dafür viel leichter alles rückgängig machen…
Zu den Ports muss ich wohl nicht viel sagen? Oder doch… ich halt mich aber kurz.
epmap (Port TCP 135)
Dienste, die DCOM und/oder RPC im Netzwerk nutzen, registrieren u.a. ihren Standort mit dem end-point mapper (epmap) auf dem PC. Wenn andere Clients sich mit einem PC verbinden um bestimmte DCOM oder RPC Dienste auf diesem zu nutzen, fragen sie über den end-point mapper (epmap) in einer Art Datenbank ab, wo sich diese Dienste befinden. Man kann über diesen Port und dem epmap Dienst herausfinden ob z.B. auf dem Zielrechner ein MS-Exchange Server läuft und welche Version der hat. Dieser Port wird auch vom Scanner-Tool ‘epdump’ ausgewertet und es gibt auch Denial-of-Service (DoS) Angriffe, direkt auf diesen Port.
microsoft-ds (Port TCP/UDP 445)
Über diesen Port und dem microsoft-ds Dienst können ebenso wie über Port 139 die SMB Anfragen (Filesharing) geleitet werden. Es findet auch über diesen Port eine Namensauflösung, login und browsing wie beim ‘normalen’ NetBios statt.
netbios-ssn (Port TCP 139)
Der Dienst “netbios session service”, über den beim Zugriff auf Drucker/Dateifreigaben der eigentliche Datenverkehr läuft.
Port 1025… Warum er bei dir als offen angezeigt wird, bedeutet wahrscheinlich, dass irgendein MS-Programm (möglicherweise der Dienst für die Updateüberprüfung des Windows Defenders?) seltsamer Weise diesen Port nutzt und dabei offen hält. Eigentlich sollte höchstens die interne Firewall daran horchen und auch keiner erweiterten IP Adresse ein Zugriff darauf erlaubt sein.
PS: Bekannte Bedrohungen, die Port 1025 nutzen, sind u. a. NetSpy, Maverick’s Matrix, RemoteStorm (TCP/UDP).
Du kannst im folgenden also zumindest mal versuchen, Port 135, 139 und 445 dichtzumachen.
GANZ wichtig ist jedenfalls, dass die Reihenfolge der einzelnen Schritte genauestens befolgt wird (inkl. der erforderlichen Neustarts). Druck dir die Anleitung also unbedingt vorher aus!
Schritt 1. Entbinden der Netbiosdienste (netbios-ssn, netbios-ns, netbios-dgm, Port 135,137,139) von der DFÜ
Teil A: DFÜ
- Unter Systemsteuerung / Netzwerkverbindungen
- Den Eintrag unter DFÜ auswählen und unter Netzwerkaufgaben “Einstellungen dieser Verbindung ändern” aufrufen.
- Tab-Seite “Netzwerk” anzeigen
- Die Auswahl (Haken) von "Datei- und Druckerfreigabe für Microsoft-Netzwerke und “Client für Microsoft-Netzwerke” entfernen und/oder beide Elemente deinstallieren.
Achtung:
Werden die beiden Elemente deinstalliert, so muss der folgende Schritt nach dem Neustart nochmal (einmalig) durchgeführt werden, weil das Betriebssystem die Option “NetBIOS über TCP/IP aktivieren” selbständig wieder setzt!
- Internetprotokoll (TCP/IP) auswählen und dessen Eigenschaften aufrufen
- unter den erweiterten Eigenschaften die Tab-Seite “WINS” anzeigen
- “NetBIOS über TCP/IP deaktivieren” auswählen.
- Dialoge mit ‘OK’ bestätigen, anschließend Neustart des PC’s (siehe auch Hinweis oben)
Teil B: (wenn LAN bzw. Netzwerkkarte installiert ist)
-
Unter Systemsteuerung / Netzwerkverbindungen
-
Den Eintrag unter LAN oder Hochgeschwindigkeitsinternet auswählen und unter Netzwerkaufgaben “Einstellungen dieser Verbindung ändern” aufrufen.
-
Tab-Seite “Allgemein” anzeigen
-
Internetprotokoll (TCP/IP) auswählen und dessen Eigenschaften aufrufen
-
unter den erweiterten Eigenschaften die Tab-Seite “WINS” anzeigen
-
“NetBIOS über TCP/IP deaktivieren” auswählen
-
Dialoge mit ‘OK’ bestätigen und Neustart des PC’s
Teil C: Erweiterte Einstellungen
-
unter Systemsteuerung / Netzwerkverbindungen
-
die “Erweiterten Einstellungen” auswählen
-
alle Vorhandenen Bindungen zu “LAN-Verbindung” und “RAS-Verbindungen” entfernen
Die Ports 137, 138, 139 sind damit geschlossen und die Dienste netbios-ssn, netbios-ns und netbios-dgm deaktiviert! Port 445 ist nach diesen Schritten auch für einen Portscan und den o.g. Angriff nicht mehr zu erreichen, ein komplettes Deaktivieren des microsoft-ds Dienstes wird in Schritt 3 beschrieben!
Schritt 2. Beenden von epmap (Port 135)
Teil A: Konfiguration von DCOM
- Ausführen von DCOMCNFG.EXE
Anmerkung: Falls nicht alle Tabs sichtbar sind, liegt die Ursache meist darin, das der Dienst Distributed Transaction Coordinator deaktiviert wurde. Damit alle Tabs sichtbar sind, den genannten Dienst zwischenzeitlich auf manuell setzen, unter den nun sichtbaren Tabs alle notwendigen Einstellungen vornehmen und anschließend den Dienst wieder deaktivieren.
- Auswahl von Konsolenstamm / Komponentendienste / Computer / Arbeitsplatz
- Die Eigenschaften vom Arbeitsplatz über den Menüpunkt “Aktion” aufrufen, bzw.das Computersymbol in der Symbolleiste anklicken
- Tab-Seite “Standardeigenschaften” anzeigen
- Den Haken bei ‘DCOM (Distributed COM) auf diesem Computer aktivieren’ entfernen
- Tab-Seite “Standardprotokolle” anzeigen
- alle Protokollbindungen entfernen
- Neustart des PC’s
Teil B: Konfiguration der Systemdienste
- Einstellungen der Startart der Dienste unter Systemsteuerung / Verwaltung / Dienste, nach folgender Auflistung durchführen.Diese Einstellungen und ein anschließender Reboot sind nötig, da sonst ein Deaktivieren des Treibers für microsoft-ds zu Schwierigkeiten und Instabilität des Betriebsystems führen kann.
[Anmerkung von MorphOS: Nicht alle Dienste werden bei Windows 7 genauso heißen, sei also vorsichtig, und ändere im Zweifelsfall den Status des jeweiligen Dienstes vorerst nicht! Dazu zwei Links, die dich vielleicht interessieren:
http://sashland.de/portal/2009/12/06/unotige-dienste-in-windows-7-deaktivieren/
http://www.tomshardware.com/de/fotoreportage/44-13-Vista-Windows7-RC1.html
Auf MANUELL setzen
- Ablagemappe
- Anwendungsverwaltung
- COM±Ereignissystem
- COM±Systemanwendung
- Computerbrowser
- Designs
- DHCP-Client
- Distributed Transaction Coordinator
- DNS-Client
- Gatewaydienst auf Anwendungsebene
- Hilfe und Support
- IMAPI-CD-Brenn Com Dienste
- Intelligenter Hintergrundübertragungsdienst
- Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung
- IPSEC-Dienste
- Leistungsdatenprotokolle und Warnungen
- Kompatibilität für schnelle Benutzerumschaltung
- Konfigurationsfreie drahtlose Verbindung
- MS Software Shadow Copy Provider
- NetMeeting-Remotedesktop-Freigabe
- Netzwerk-DDE-Dienst
- Netzwerk-DDE-Serverdienst
- Netzwerkverbindungen
- NLA (Network Location Awareness)
- NT-LM-Sicherheitsdienst
- QoS RSVP
- RAS-Verbindungsverwaltung
- Remote-Registrierung
- Sekundäre Anmeldung
- Dienst für Seriennummern der tragbaren Medien
- Sicherheitskontenverwaltung
- Sitzungs-Manager für Remotedesktophilfe
- Smartcard
- Smartcard-Hilfsprogramm
- Taskplaner
- TCP/IP-NetBIOS-Hilfsprogramm
- Telefonie
- Terminaldienste
- Treibererweiterungen für Windows-Verwaltungsinstrumentation
- Überwachung verteilter Verknüpfungen (Client)
- Universeller Plug & Play-Gerätehost
- Unterbrechungsfreie Stromversorgung
- Verwaltung für automatische RAS-Verbindung
- Verwaltungsdienst für die Verwaltung logischer Datenträger
- Volumeschattenkopie
- Wechselmedien
- Windows Installer
- Windows-Bilderfassung (WIA)
- Windows-Verwaltungsinstrumentation
- Windows-Zeitgeber
- WMI-Leistungsadapter
Auf AUTOMATISCH setzen
- Druckwarteschlange
- Ereignisprotokoll
- Geschützter Speicher
- Anmeldedienst
- Kryptografiedienste
- Plug & Play
- Remoteprozeduraufruf (RPC)
- Shellhardwareerkennung
- Systemereignisbenachrichtigung
- Systemwiederherstellungsdienst
- Upload-Manager (nur SP1)
- Verwaltung logischer Datenträger
- WebClient
- Windows Audio
Auf DEAKTIVIERT setzen
- Automatische Updates
- Eingabegerätezugang
- Fehlerberichterstattungsdienst
- Indexdienst
- Routing und RAS
- SSDP Suchdienst
- Telnet
- Neustart des PC’s
Schritt 3: Beenden von microsoft-ds (Port 445)
Hinweis:
Das Beenden des Dienstes microsoft-ds setzt zwingend den Schritt 2. (DCOM- und Dienste-Konfiguration) voraus!
- über Systemsteuerung / System, den Gerätemanager aufrufen
- “Augeblendete Geräte anzeigen” auswählen
- im Zweig "Nicht-PnP-Treiber"den Eintrag “NetBIOS über TCP/IP” mit der rechten Maustaste auswählen
- Treiber über das Kontextmenü deaktivieren
- Neustart des PC’s
- nach dem Neustarten die Treiberseite nochmals aufrufen
- den “NetBIOS über TCP/IP” Treiber mit der rechten Maustaste auswählen und die Eigenschaften anzeigen lassen
- bei den Treibereigenschaften den Starttyp auf “Bedarf” oder “Deaktiviert” setzen
Nun aber ans Werk und viel Glück mit dem Stealthing!
PS: Auch wenn es gelingt, müssen wir uns für Port 1025 noch extra was einfallen lassen.
Amiganer-Gruß
REBOL