[[185051]]

保護(hù)Windows工作站免受現(xiàn)代的網(wǎng)絡(luò)攻擊威脅是一件非常具有挑戰(zhàn)性的事情。 似乎每個(gè)星期攻擊者們總有一些新的方法用來入侵系統(tǒng)并獲取用戶憑據(jù)。

創(chuàng)建一個(gè)非常安全的Windows工作站的最佳方法是下載Microsoft安全合規(guī)管理器(當(dāng)前版本為4.0)，并在要為其創(chuàng)建安全基線GPO的操作系統(tǒng)版本下選擇“安全合規(guī)”選項(xiàng)。 查看選項(xiàng)，根據(jù)需要進(jìn)行更改，并導(dǎo)出為GPO備份(文件夾)。 創(chuàng)建新的并且為空的GPO然后從SCM GPO備份中導(dǎo)入設(shè)置。 然后將新創(chuàng)建的GPO應(yīng)用到你的工作站。 如果你已配置為最小的安全設(shè)置，這將改進(jìn)你的工作站安全基線，特別是如果你還沒有創(chuàng)建現(xiàn)有的工作站GPO。

作為開發(fā)Windows工作站安全基線GPO的一部分，有幾個(gè)大型組織花費(fèi)了一些時(shí)間和金錢確定了什么才是“安全”：

DoD STIG：http://iase.disa.mil/stigs/os/windows

DoD Windows 10安全主機(jī)基準(zhǔn)文件：https：//github.com/iadgov/Secure-Host-Baseline

澳大利亞信息安全手冊(cè)：http://www.asd.gov.au/infosec/ism/index.htm

CIS基準(zhǔn)：https：//benchmarks.cisecurity.org/downloads/browse/?category=benchmarks.os.windows

用于通過組策略控制設(shè)置的Microsoft管理模板如下：

Windows 7和Windows Server 2008 R2：https：//www.microsoft.com/en-us/download/details.aspx?id=6243

Windows 8.1和Windows Server 2012 R2：https：//www.microsoft.com/en-us/download/details.aspx?id=43413

Windows 10(v1607)和Windows Server 2016：https：//www.microsoft.com/en-us/download/details.aspx?id=53430

Office 2010：https：//www.microsoft.com/en-us/download/details.aspx?id=18968

Office 2013：https：//www.microsoft.com/en-us/download/details.aspx?id = 35554

Office 2016：https://www.microsoft.com/en-us/download/details.aspx?id=49030

請(qǐng)注意，這些鏈接可能會(huì)隨著更新而更改。

Windows及Windows Server的組策略設(shè)置參考：https://www.microsoft.com/en-us/download/details.aspx?id=25250

Windows 10(v1607)和Windows Server 2016安全配置基線設(shè)置：https://blogs.technet.microsoft.com/secguide/2016/10/17/security-baseline-for-windows-10-v1607-anniversary-edition-和-windows-server-2016 /

如果你已經(jīng)使用一個(gè)GPO配置了工作站的安全性，你還可以使用Microsoft的策略分析器將你現(xiàn)有的GPO與SCM生成的“安全合規(guī)性”的GPO進(jìn)行比較。

除了標(biāo)準(zhǔn)的“Windows安全事件”之外，還存在許多遺留和經(jīng)常未使用的組件，它們從早期的Windows版本中遺留下來，而現(xiàn)有的版本通常不再需要，但由于考慮到兼容性的原因而繼續(xù)保留。

本文涵蓋了許多此類以及其他一些很不錯(cuò)的安全實(shí)踐和配置。

保護(hù)Windows工作站：

部署免費(fèi)/幾乎免費(fèi)的Microsoft工具以提高Windows安全性：

部署Microsoft AppLocker以鎖定可以在系統(tǒng)上運(yùn)行的文件。使用推薦的軟件設(shè)置部署當(dāng)前Windows版本的EMET。部署LAPS對(duì)本地管理員(RID 500)的密碼進(jìn)行管理。強(qiáng)制組策略在“刷新”期間重新應(yīng)用設(shè)置。

禁用Windows舊版本中通常不會(huì)使用到的功能：

禁用Net會(huì)話枚舉(NetCease)禁用WPAD禁用LLMNR禁用Windows瀏覽器協(xié)議禁用NetBIOS禁用Windows腳本宿主(WSH)并且控制腳本文件擴(kuò)展名部署禁用Pass-The-Hash的安全補(bǔ)丁(KB2871997)。阻止本地管理員(RID 500)帳戶通過網(wǎng)絡(luò)進(jìn)行身份驗(yàn)證確保WDigest已禁用從Windows 8.1和Windows Server 2012 R2中移除SMB v1

Windows 10和Windows 2016的安全配置：

Windows 10&2016系統(tǒng)映像配置阻止不受信任的字體啟用憑據(jù)保護(hù)配置設(shè)備保護(hù)

應(yīng)用程序安全設(shè)置：

禁用Microsoft Office宏禁用Microsoft Office OLE組件

其他組策略安全設(shè)置

將Lanman驗(yàn)證配置為安全設(shè)置配置未認(rèn)證的RPC客戶端的限制設(shè)置配置NTLM會(huì)話安全

使用免費(fèi)或幾乎免費(fèi)的Microsoft工具提高Windows安全性

部署AppLocker以鎖定可以在系統(tǒng)上運(yùn)行的文件

Microsoft AppLocker為Windows提供了開箱即用的應(yīng)用程序白名單功能。

強(qiáng)烈建議在那些你需要設(shè)置高級(jí)別安全性的Windows工作站和服務(wù)器上使用AppLocker鎖定可以在系統(tǒng)上執(zhí)行的操作。

AppLocker可用于將應(yīng)用程序執(zhí)行限制為特定的已批準(zhǔn)的應(yīng)用程序。這里有幾個(gè)我需要推薦的有關(guān)于AppLocker的不同設(shè)置階段：

階段1：審核模式 - 審核用戶的所有執(zhí)行操作及其運(yùn)行的路徑。這個(gè)階段的日志記錄模式會(huì)提供有關(guān)企業(yè)中運(yùn)行的程序的信息，并將此數(shù)據(jù)記錄到事件日志中。階段2：“黑名單模式” - 配置AppLocker以阻止執(zhí)行用戶的主目錄，配置文件路徑和用戶對(duì)其具有寫入和訪問權(quán)限的臨時(shí)文件夾位置(例如c:\temp)中的任何文件。階段3：“文件夾白名單模式” - 通過添加新規(guī)則以允許執(zhí)行特定文件夾(如c:\Windows和c:\Program Files)中的文件，這種AppLocker配置是在階段2的基礎(chǔ)上進(jìn)行構(gòu)建。階段4：“應(yīng)用程序白名單” - 列出企業(yè)環(huán)境中正在使用的所有應(yīng)用程序，并通過路徑和/或文件哈希(優(yōu)先使用數(shù)字簽名)將這些應(yīng)用程序列入白名單。這需要確保只有經(jīng)過批準(zhǔn)的企業(yè)或組織的應(yīng)用程序才會(huì)執(zhí)行。

AppLocker組策略創(chuàng)建和管理的步驟：

計(jì)算機(jī)配置\策略\ Windows設(shè)置\安全設(shè)置\應(yīng)用程序控制策略\ AppLocker

查看AppLocker策略設(shè)計(jì)指南以獲取部署幫助。

此方案預(yù)計(jì)的努力水平：中等偏上

此方案預(yù)計(jì)的影響：這很可能會(huì)影響企業(yè)的一些事情，最好在部署前先進(jìn)行測(cè)試。

使用推薦的軟件設(shè)置部署當(dāng)前Windows版本的EMET

Microsoft增強(qiáng)型緩解體驗(yàn)工具包(EMET)有助于防止應(yīng)用程序漏洞被利用(包括減少許多0day)。它是一個(gè)免費(fèi)的產(chǎn)品，能夠有效地“包裝” 熱門的應(yīng)用程序，所以當(dāng)嘗試漏洞利用時(shí)，嘗試的行為將被阻斷在“包裝器”中，而不會(huì)接觸到操作系統(tǒng)。

有幾個(gè)用于部署的配置方式：

默認(rèn)配置。推薦軟件。熱門軟件。

至少，使用默認(rèn)配置方式部署EMET會(huì)強(qiáng)化核心應(yīng)用程序。

使用EMET管理模板(EMET.admx和EMET.adml)通過GPO啟用EMET管理，可在安裝了EMET的系統(tǒng)上的<系統(tǒng)盤符> \Program Files\EMET\Deployment\Group Policy File

文件夾中找到。將這些復(fù)制到Active Directory GPO中央存儲(chǔ)。

通過組策略自定義EMET配置

最好對(duì)應(yīng)用程序進(jìn)行測(cè)試，因?yàn)橐恍?ldquo;更安全”的設(shè)置可能會(huì)導(dǎo)致程序崩潰如Outlook和Chrome以及一些安全軟件。

請(qǐng)注意，微軟EMET將在2018年終止生命(EOL)，因?yàn)樗怯晌④涢_發(fā)的，它被發(fā)布的目的是幫助改進(jìn)Windows安全的某些元素。 Windows 10已經(jīng)極大的提升了安全性，超過了大多數(shù)EMET的安全增強(qiáng)功能。

此方案預(yù)計(jì)的努力水平：中等

此方案預(yù)計(jì)的影響：這很可能會(huì)影響企業(yè)的一些事情，最好在部署前先進(jìn)行測(cè)試。

使用LAPS對(duì)本地管理員(RID 500)的密碼進(jìn)行管理

Microsoft本地管理員密碼解決方案(LAPS)為Active Directory中的每臺(tái)計(jì)算機(jī)提供了自動(dòng)對(duì)本地管理員帳戶進(jìn)行管理的功能(LAPS特別適用于工作站的本地管理員密碼管理)。 安裝在每臺(tái)計(jì)算機(jī)上的客戶端組件會(huì)生成隨機(jī)的密碼，并更新與本機(jī)相關(guān)聯(lián)的AD計(jì)算機(jī)帳戶上的LAPS密碼屬性，并在本地設(shè)置密碼。 LAPS配置通過組策略管理，該策略需要提供密碼復(fù)雜性，密碼長度，密碼更改的本地帳戶名稱，密碼更改頻率等設(shè)置值。

點(diǎn)此查看LAPS部署信息。

此方案預(yù)計(jì)的努力水平：低到中等

此方案預(yù)計(jì)的影響：這很可能會(huì)影響企業(yè)的一些事情，最好在部署前先進(jìn)行測(cè)試。

強(qiáng)制組策略在“刷新”期間重新應(yīng)用設(shè)置

默認(rèn)的組策略應(yīng)用程序會(huì)在客戶端上“刷新組策略”，雖然這實(shí)際上并不意味著重新應(yīng)用GPO設(shè)置。默認(rèn)情況下，只有在刷新之前修改GPO才會(huì)重新應(yīng)用GPO的設(shè)置。這意味著可以通過計(jì)算機(jī)的注冊(cè)表(通常具有管理員權(quán)限)撤消GPO強(qiáng)制設(shè)置，并且未經(jīng)授權(quán)的設(shè)置將一直保持到GPO被修改(如果有的話)，之后才會(huì)重新應(yīng)用GPO設(shè)置。

通過測(cè)試后發(fā)現(xiàn)，更改組策略默認(rèn)設(shè)置以在每次刷新時(shí)重新應(yīng)用GPO設(shè)置 – “即使組策略對(duì)象未更改也會(huì)進(jìn)行處理”。這對(duì)客戶端有潛在的性能損失，但是能確保所有的GPO強(qiáng)制設(shè)置重新應(yīng)用生效。

計(jì)算機(jī)配置，策略，管理模板，系統(tǒng)，組策略，配置安全策略處理：設(shè)置為啟用。

同時(shí)也要選中“即使組策略對(duì)象未更改也進(jìn)行處理”的選擇框，

同樣建議為以下每個(gè)配置相同的設(shè)置：

計(jì)算機(jī)配置，策略，管理模板，系統(tǒng)，組策略，配置注冊(cè)表策略處理計(jì)算機(jī)配置，策略，管理模板，系統(tǒng)，組策略，配置腳本策略處理以及根據(jù)需要的任何其他的策略設(shè)置。

啟用LSA保護(hù)/審核模式

從Windows 8.1 / Windows Server 2012 R2開始，可以添加注冊(cè)表項(xiàng)來啟用LSA保護(hù)，以防止未簽名的代碼與LSASS(如Mimikatz)進(jìn)行交互。在啟用LSA保護(hù)之前，最佳實(shí)踐是啟用LSA審核模式以了解哪些代碼可能與LSASS交互，否則將被阻止。

Microsoft的“配置額外的LSA保護(hù)”中有如下描述：

LSA 包含本地安全機(jī)構(gòu)服務(wù)器服務(wù) (LSASS) 進(jìn)程，可以驗(yàn)證用戶的本地和遠(yuǎn)程登錄，并強(qiáng)制本地安全策略。Windows 8.1 操作系統(tǒng)為 LSA 提供附加保護(hù)，以防止未受保護(hù)的進(jìn)程讀取內(nèi)存及注入代碼。 這為 LSA 存儲(chǔ)和管理的憑據(jù)提供了更高的安全性。 LSA 的受保護(hù)進(jìn)程設(shè)置可以在 Windows 8.1 中配置，但不能在 Windows RT 8.1 中配置。 將此設(shè)置與安全啟動(dòng)結(jié)合使用時(shí)，便可以實(shí)現(xiàn)附加保護(hù)，因?yàn)榻? HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 注冊(cè)表項(xiàng)不起作用。

插件或驅(qū)動(dòng)程序的受保護(hù)進(jìn)程要求

要使 LSA 插件或驅(qū)動(dòng)程序以受保護(hù)進(jìn)程的形式成功加載，它必須符合以下條件：

1. 簽名驗(yàn)證

保護(hù)模式要求加載到 LSA 中的任何插件都已使用 Microsoft 簽名進(jìn)行數(shù)字簽名。 因此，未簽名的或者未使用 Microsoft 簽名進(jìn)行簽名的任何插件都無法加載到 LSA 中。 這些插件的示例包括智能卡驅(qū)動(dòng)程序、加密插件和密碼篩選器。

用作驅(qū)動(dòng)程序(例如智能卡驅(qū)動(dòng)程序)的 LSA 插件需要使用 WHQL 認(rèn)證進(jìn)行簽名。 有關(guān)詳細(xì)信息，請(qǐng)參閱 WHQL 版本簽名(Windows 驅(qū)動(dòng)程序)。

不需要經(jīng)歷 WHQL 認(rèn)證過程的 LSA 插件必須使用 LSA 的文件簽名服務(wù)進(jìn)行簽名。

2. 遵守 Microsoft 安全開發(fā)生命周期 (SDL) 過程指導(dǎo)

所有插件必須符合適用的 SDL 過程指導(dǎo)。 有關(guān)詳細(xì)信息，請(qǐng)參閱 Microsoft 安全開發(fā)生命周期 (SDL) 附錄。

即使插件已使用 Microsoft 簽名正確地進(jìn)行簽名，但如果不符合 SDL 過程，也可能會(huì)導(dǎo)致加載插件失敗。

建議的做法

在廣泛部署該功能之前，請(qǐng)使用以下列表來全面測(cè)試是否已啟用 LSA 保護(hù)：

識(shí)別組織中使用的所有 LSA 插件和驅(qū)動(dòng)程序。 這包括非 Microsoft 驅(qū)動(dòng)程序或插件(例如智能卡驅(qū)動(dòng)程序和加密插件)，以及內(nèi)部開發(fā)的、用于強(qiáng)制密碼篩選器或密碼更改通知的所有軟件。確保使用 Microsoft 證書對(duì)所有 LSA 插件進(jìn)行數(shù)字簽名，以防止插件加載失敗。確保正確簽名的所有插件都能成功加載到 LSA 中，并且能按預(yù)期工作。使用審核日志來識(shí)別無法以受保護(hù)進(jìn)程運(yùn)行的 LSA 插件和驅(qū)動(dòng)程序。如何識(shí)別無法以受保護(hù)進(jìn)程運(yùn)行的 LSA 插件和驅(qū)動(dòng)程序本部分所述的事件位于 Applications and Services Logs\Microsoft\Windows\CodeIntegrity 下的運(yùn)行日志中。 這些事件可幫助你識(shí)別由于簽名方面的原因而無法加載的 LSA 插件和驅(qū)動(dòng)程序。 若要管理這些事件，可以使用 wevtutil 命令行工具。 有關(guān)此工具的信息，請(qǐng)參閱 Wevtutil [Vista]。

在選擇加入之前：如何識(shí)別 lsass.exe 加載的插件和驅(qū)動(dòng)程序?

可以使用審核模式來識(shí)別 LSA 保護(hù)模式下無法加載的 LSA 插件和驅(qū)動(dòng)程序。 在審核模式下，系統(tǒng)將生成事件日志，標(biāo)識(shí)在啟用 LSA 保護(hù)的情況下無法在 LSA 下加載的所有插件和驅(qū)動(dòng)程序。 將會(huì)記錄消息，而不阻止這些插件或驅(qū)動(dòng)程序。

在一臺(tái)計(jì)算機(jī)上通過編輯注冊(cè)表為 Lsass.exe 啟用審核模式的步驟

1.打開注冊(cè)表編輯器 (RegEdit.exe)，然后導(dǎo)航到位于以下位置的注冊(cè)表項(xiàng)：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe。2.將該注冊(cè)表項(xiàng)的值設(shè)置為 AuditLevel=dword:00000008.。3.重新啟動(dòng)計(jì)算機(jī)。

分析事件 3065 和事件 3066 的結(jié)果。

事件 3065：此事件記錄：代碼完整性檢查已確定某個(gè)進(jìn)程(通常為 lsass.exe)嘗試加載特定的驅(qū)動(dòng)程序，但該驅(qū)動(dòng)程序不符合共享區(qū)域的安全要求。 但是，由于所設(shè)置的系統(tǒng)策略的原因，允許加載相應(yīng)的映像。

事件 3066:此事件記錄：代碼完整性檢查已確定某個(gè)進(jìn)程(通常為 lsass.exe)嘗試加載特定的驅(qū)動(dòng)程序，但該驅(qū)動(dòng)程序不符合 Microsoft 簽名級(jí)別要求。 但是，由于所設(shè)置的系統(tǒng)策略的原因，允許加載相應(yīng)的映像。

此方案預(yù)計(jì)的努力水平：低到中等

此方案預(yù)計(jì)的影響：這很可能會(huì)影響企業(yè)的一些事情，最好在部署前先進(jìn)行測(cè)試。

禁用Windows舊版和通常未使用的功能：

禁用Net會(huì)話枚舉(NetCease)

默認(rèn)情況下，Windows計(jì)算機(jī)允許任何經(jīng)過身份驗(yàn)證的用戶枚舉其網(wǎng)絡(luò)會(huì)話。這意味著攻擊者可以枚舉托管主目錄的文件共享或域控制器的網(wǎng)絡(luò)會(huì)話，以查看誰連接到SYSVOL(應(yīng)用組策略)，并確定每個(gè)用戶和管理員帳戶登錄到哪個(gè)工作站。 Bloodhound廣泛地使用此功能來映射網(wǎng)絡(luò)中的憑證。

禁用網(wǎng)絡(luò)會(huì)話枚舉將會(huì)刪除任何用戶枚舉網(wǎng)絡(luò)會(huì)話信息(Recon-探測(cè))的功能。

這些設(shè)置也可以通過組策略進(jìn)行部署：

在參考工作站上運(yùn)行NetCease PowerShell腳本。打開 組策略管理控制臺(tái)。右鍵單擊應(yīng)包含新首選項(xiàng)條目的組策略對(duì)象(GPO)，然后單擊編輯。在計(jì)算機(jī)配置下的控制臺(tái)樹中，展開首選項(xiàng)文件夾，然后展開Windows設(shè)置文件夾。右鍵單擊注冊(cè)表節(jié)點(diǎn)，指向“新建”，然后選擇“注冊(cè)表向?qū)?rdquo;。選擇存在所需注冊(cè)表設(shè)置的參考工作站，然后單擊下一步。瀏覽到HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ DefaultSecurity \并選中要從中創(chuàng)建注冊(cè)表首選項(xiàng)條目的“SrvsvcSessionInfo”復(fù)選框。僅當(dāng)您要為鍵而不是鍵中的值創(chuàng)建注冊(cè)表項(xiàng)時(shí)，才選中鍵的復(fù)選框。單擊“完成”。你所選擇的設(shè)置會(huì)在注冊(cè)表向?qū)е导现酗@示為首選項(xiàng)。

此方案預(yù)計(jì)的努力水平：低到中等

此方案預(yù)計(jì)的影響：這很可能會(huì)影響企業(yè)的一些事情，最好在部署前先進(jìn)行測(cè)試。

禁用WPAD

Web代理自動(dòng)發(fā)現(xiàn)協(xié)議(WPAD)是一種由客戶端使用的方法，用于使用DHCP和/或DNS發(fā)現(xiàn)方法來定位配置文件的URL。一旦配置文件的檢測(cè)和下載完成，就可以執(zhí)行這個(gè)配置文件，以確定指定URL的代理。

禁用WPAD會(huì)使得用于被動(dòng)竊取證書的方法以及Responder程序不可用。僅在環(huán)境中未使用時(shí)禁用。

通過部署以下選項(xiàng)通過組策略禁用WPAD：

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Wpad新建名為“WpadOverride”的DWORD(32位值)類型，并設(shè)置值為“1”禁用服務(wù)“WinHTTP Web代理自動(dòng)發(fā)現(xiàn)服務(wù)”計(jì)算機(jī)配置/策略/ Windows設(shè)置/安全設(shè)置/系統(tǒng)服務(wù)

注意：

通過安裝Microsoft修補(bǔ)程序KB3165191(MS16-077)可以部分緩解WPAD問題。

此修補(bǔ)程序會(huì)強(qiáng)化WPAD進(jìn)程和系統(tǒng)響應(yīng)NetBIOS請(qǐng)求的時(shí)間。

此方案預(yù)計(jì)的努力水平：低到中等

此方案預(yù)計(jì)的影響：這很可能會(huì)影響企業(yè)的一些事情，最好在部署前先進(jìn)行測(cè)試。

禁用LLMNR

鏈路本地多播名稱解析(LLMNR)：

簡(jiǎn)而言之，當(dāng)DNS分配無法解析名稱時(shí)，鏈路本地多播名稱解析(LLMNR)就會(huì)解析本地子網(wǎng)上的單個(gè)標(biāo)簽名稱(如：COMPUTER1)。如果你處于Ad-Hoc網(wǎng)絡(luò)場(chǎng)景或DNS條目不包括本地子網(wǎng)上的主機(jī)的情況下，這將非常有用。LLMNR應(yīng)在不使用時(shí)禁用，因?yàn)榻盟鼤?huì)刪除響應(yīng)程序，此程序用于被動(dòng)證書竊取。

組策略：計(jì)算機(jī)配置/管理模板/網(wǎng)絡(luò)/ DNS客戶端

將“關(guān)閉多播名稱解析”設(shè)置為“已啟用”

此方案預(yù)計(jì)的努力水平：低

此方案預(yù)計(jì)的影響：這很可能會(huì)影響企業(yè)的一些事情，最好在部署前先進(jìn)行測(cè)試。

禁用Windows瀏覽器協(xié)議(瀏覽器服務(wù))

Windows NT使用瀏覽器服務(wù)(瀏覽器協(xié)議)發(fā)現(xiàn)和共享本地網(wǎng)絡(luò)上的資源信息。該過程通過在網(wǎng)絡(luò)上廣播和收集該廣播的結(jié)果來工作。網(wǎng)絡(luò)廣播有點(diǎn)像在一個(gè)充滿著人的房間里每30秒去尋找一個(gè)朋友(一旦你發(fā)現(xiàn)你的朋友，你注意到他的位置，但過一會(huì)兒后可能會(huì)忘記，必須重新發(fā)現(xiàn)他的當(dāng)前位置)。為了使該過程效率稍低，在每個(gè)子網(wǎng)上選擇“主瀏覽器”，其跟蹤資源并響應(yīng)這些資源廣播請(qǐng)求。在Windows域中，PDC充當(dāng)域主瀏覽器，這些子網(wǎng)主瀏覽器將資源信息轉(zhuǎn)發(fā)給這些子瀏覽器。使用Windows Browser廣播的資源發(fā)現(xiàn)協(xié)議最終被Windows Internet名稱服務(wù)(WINS)和Active Directory(含DNS)取代。盡管瀏覽器服務(wù)的必要性已降至幾乎為零，但Windows中的計(jì)算機(jī)瀏覽器服務(wù)仍然在Windows 10和Windows Server 2012 R2中存在(雖然該服務(wù)在Windows 10 v1607和Windows Server 2016中已刪除)。

Windows瀏覽器協(xié)議是Responder程序用于被動(dòng)竊取憑據(jù)的另一種方法。

Windows計(jì)算機(jī)瀏覽器服務(wù)設(shè)置為手動(dòng)啟動(dòng)，但通常會(huì)在Windows啟動(dòng)時(shí)啟動(dòng)。

禁用Windows瀏覽器協(xié)議的簡(jiǎn)單方法是禁用計(jì)算機(jī)瀏覽器服務(wù)。

在Windows 10 v1607(又名“周年更新”)和Windows Server 2016中，計(jì)算機(jī)瀏覽器服務(wù)已刪除，不再可用。

通過組策略禁用計(jì)算機(jī)瀏覽器：

打開組策略管理控制臺(tái)。 右鍵單擊需要修改的組策略對(duì)象(GPO)，然后單擊編輯。在計(jì)算機(jī)配置下的控制臺(tái)樹中，展開策略文件夾，展開Windows設(shè)置，展開安全設(shè)置，然后展開系統(tǒng)服務(wù)文件夾。向下滾動(dòng)到“計(jì)算機(jī)瀏覽器”服務(wù)，右鍵單擊服務(wù)名稱，然后選擇屬性。選中“定義此策略設(shè)置”復(fù)選框，選擇“禁用”作為服務(wù)啟動(dòng)模式，單擊“確定”。

注意：組策略首選項(xiàng)也可用于管理服務(wù)。

此方案預(yù)計(jì)的努力水平：低

此方案預(yù)計(jì)的影響：這很可能會(huì)影響企業(yè)的一些事情，最好在部署前先進(jìn)行測(cè)試。

禁用NetBIOS

NetBIOS是Windows使用的最早的協(xié)議之一。

NetBIOS over TCP / IP由RFC 1001和RFC 1002指定。Netbt.sys驅(qū)動(dòng)程序是支持TDI接口的內(nèi)核模式組件。服務(wù)(例如工作站和服務(wù)器)直接使用TDI接口，而傳統(tǒng)的NetBIOS應(yīng)用程序通過Netbios.sys驅(qū)動(dòng)程序?qū)⑵湔{(diào)用映射到TDI調(diào)用。使用TDI調(diào)用NetBT是一個(gè)更困難的編程任務(wù)，但可以提供更高的性能和免受歷史NetBIOS限制。

NetBIOS定義了軟件接口和命名約定，而不是協(xié)議。 NetBIOS over TCP/IP通過TCP/IP協(xié)議提供NetBIOS編程接口，將NetBIOS客戶端和服務(wù)器程序的范圍擴(kuò)展到IP互聯(lián)網(wǎng)絡(luò)，并提供與各種其他操作系統(tǒng)的互操作性。

Windows 2000工作站服務(wù)，服務(wù)器服務(wù)，瀏覽器，信使和NetLogon服務(wù)都是NetBT客戶端，并使用TDI與NetBT通信。 Windows 2000還包括NetBIOS仿真器。仿真器從NetBIOS應(yīng)用程序接收標(biāo)準(zhǔn)NetBIOS請(qǐng)求，并將其轉(zhuǎn)換為等效的TDI功能。

Windows 2000使用NetBIOS over TCP/IP與以前版本的Windows NT和其他客戶端(如Windows 95)進(jìn)行通信。但是，Windows 2000重定向器和服務(wù)器組件現(xiàn)在支持直接托管與運(yùn)行Windows 2000的其他計(jì)算機(jī)進(jìn)行通信。使用直接托管，NetBIOS不用于名稱解析。 DNS用于名稱解析，Microsoft網(wǎng)絡(luò)通信直接通過TCP發(fā)送，不使用NetBIOS頭。通過TCP/IP的直接托管使用TCP端口445而不是NetBIOS會(huì)話TCP端口139。

大多數(shù)版本的Windows正在使用中，可以利用TCP/IP直接傳輸SMB，這意味著今天在網(wǎng)絡(luò)上使用NetBIOS只是為了兼容老版本的系統(tǒng)。

2005年，Daniel Miessler寫道：

事實(shí)上，可以在Windows 2000 / XP機(jī)器上完全禁用基于TCP / IP的NetBIOS，因?yàn)檫@些新的操作系統(tǒng)(通過TCP/445)使SMB直接在TCP頂部傳輸而不是在NetBIOS上。 Microsoft稱之為SMB的“直接托管”。

禁用NetBIOS需要一些工作來確定在網(wǎng)絡(luò)上使用NetBIOS的方式和位置。禁用它會(huì)使得用于被動(dòng)竊取證書的方法以及Responder程序不可用。

請(qǐng)注意，舊版系統(tǒng)(舊版本的Windows以及非Windows系統(tǒng)等)可能需要NetBIOS。

通過(Microsoft)DHCP禁用NetBIOS：

打開Microsoft DHCP。

在導(dǎo)航窗格中，展開SERVERNAME，展開Scope，右鍵單擊Scope選項(xiàng)，然后單擊配置選項(xiàng)。單擊高級(jí)選項(xiàng)卡，然后單擊供應(yīng)商類列表中的Microsoft Windows 2000選項(xiàng)。確保在用戶類列表中選擇默認(rèn)用戶類。單擊以選中可用選項(xiàng)列下的001 Microsoft禁用Netbios選項(xiàng)復(fù)選框。在數(shù)據(jù)輸入?yún)^(qū)域中，在較長的輸入框中輸入0x2，然后單擊確定。

參考：禁用NetBIOS

在基于Linux / Unix的DHCP服務(wù)器上，設(shè)置選項(xiàng)43會(huì)將DHCP配置為禁用NetBIOS

選項(xiàng)43 hex 0104.0000.0002

禁用計(jì)算機(jī)上的NetBIOS：

轉(zhuǎn)到計(jì)算機(jī)上的所有網(wǎng)絡(luò)設(shè)備的屬性，TCPIPv4屬性，高級(jí)，WINS，禁用TCP / IP上的NetBIOS

此方案預(yù)計(jì)的努力水平：中等偏上

此方案預(yù)計(jì)的影響：這很可能會(huì)影響企業(yè)的一些事情，最好在部署前先進(jìn)行測(cè)試。