Win98SE Registry: NetBIOS

Dieses Thema im Forum "Windows NT / 95 / 98 / 2000 / ME" wurde erstellt von ghost rider, 25. Dezember 2002.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. ghost rider

    ghost rider Megabyte

    Registriert seit:
    23. März 2002
    Beiträge:
    2.319
    Hi @ll,

    Forensuche und google haben leider nicht die gewünschten Ergebnisse geliefert. Ich möchte über die Registry die Eigenschaften des TCP/IP so ändern, daß ich in der Systemsteuerung unter dem Reiter: NetBIOS das gesetzte Häcken direkt deaktivieren kann.

    Zur Zeit ist es grau unterlegt, aber mit gesetztem Häkchen. Es läßt sich also keine direkte Veränderung vornehmen. Ich möchte aber jetzt auch nicht unbedingt ein spezielles Tool dafür installieren müssen.

    Bin zwar in der Registrysuche auf den Schlüssel von NetBIOS gestoßen, weiß aber nicht, was man dort genau ändern muß, damit eine direkte Bearbeitung möglich ist.

    mfg ghostrider
     
  2. ghost rider

    ghost rider Megabyte

    Registriert seit:
    23. März 2002
    Beiträge:
    2.319
    Hallo Franz,

    aus mir unerfindlichen Gründen hat die Deaktivierung der Bindung des Protokolls an den Clienten am Anfang nicht gefunzt.

    @Siegfried:

    Bin auch selbst auf dem Trjanerboard aktives Mitglied ;) , allerdings hab ich jetzt nicht gleich dieses Häkchen mit dem Port 139 in Verbindung gebracht... . Hab mir ja ne Menge Material downgeloadet, was IT-Sicherheit anbelangt und das muß ich erstmal alles durcharbeiten... und das dauert natürlich ein bischen.

    Der Link zum Datenschutzbeauftragten ist mir auch bekannt gewesen, allerdings war in der Vergangenheit der Test inkaktiv.
    Trotzdem Danke.

    Jedenfalls wird mir bei diesem Test bescheinigt, daß die "Well known - Ports" alle dicht sind (ohne aktive Firewall).

    Leider schmiert mir nach wie vor mein Modem zwischendurch ab, so daß ich wahrscheinlich die restlichen Ports nicht vollständig werde scannen können :( .

    Bezüglich des Modems hab ich auch hier gepostet:

    de.comm.modems

    mfg ghostrider
    [Diese Nachricht wurde von ghost rider am 26.12.2002 | 20:28 geändert.]
     
  3. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Hallo ghost rider!

    Wenn ich den Text bzw. die grafische Darstellung in Deinem Link richtig verstehe,entspricht das der Empfehlung, die ich Dir oben gegeben habe :

    "Wenn Du die Bindung des Protokolls[TCP/IP] an den Client deaktivierst,..."

    Ich würde allerdings meinen, dass eine Installation des NetBui-Protokolls nicht unbedingt notwendig ist,um den Port 139 sicher zu machen,da ja auch ein solches Protokoll, dass Du ja de facto nicht benötigst,Resssourcen beansprucht.

    franzkat
     
  4. ghost rider

    ghost rider Megabyte

    Registriert seit:
    23. März 2002
    Beiträge:
    2.319
    Hallo Siegfried,

    Deine Antwort hat sich mit meinem 2. Nachtrag im vorigen Posting überschnitten.

    Also:

    Mit der Anleitung die ich oben verlinkt habe, konnte ich das Häkchen entfernen und der Port wird jetzt als geschlossen angezeigt.

    Wie gesagt, bei Shields up heißt es immer noch:

    Ihr Computer kann ohne Ihr Wissen und Ihre Zustimmung als Server mißbraucht / verwendet werden, oder auch Daten auf Ihrem System verändert oder gelöscht werden.

    IMHO ist dies aber nicht möglich, da ja jetzt alle Ports zu sind und natürlich keine Datei-/Druckerfreigabe aktiviert ist.

    mfg ghostrider
     
  5. ghost rider

    ghost rider Megabyte

    Registriert seit:
    23. März 2002
    Beiträge:
    2.319
    Hallo Siegfried,

    insbesondere irritiert mich diese Aussage, die sich IMHO jetzt nicht expliziet auf den 139er bezieht:

    Shields UP! is now attempting to contact the Hidden Internet Server within your PC.

    It is likely that no one has told you that your own personal computer may now be functioning as an Internet Server with neither your knowledge nor your permission. And that it may be serving up all or many of your personal files for reading, writing, modification and even deletion by anyone, anywhere, on the Internet!

    Dies würde ja bedeuten, daß sehr wohl ein Dienst aktiv ist, der als Server fungiert.

    mfg ghostrider

    <B>Nachtrag für Alle:</B>

    Hier der Link mit einer (englischen) Anleitung, wie man auf das Inaktive Netbiosfeld zugreifen kann (unter Win9x):

    http://grc.com/su-rebinding9x.htm

    Nachtrag 2:

    Konnte jetzt das Häckchen nach der oben genannten Anleitung entfernen.

    Der anschließende Porttest <B>ohne</B> aktiver Firewall brachte als Ergebnis, daß alle Ports jetzt dicht sind, also auch der 139er.

    Der Shieldsup-Test beinhaltet immer noch dieses obskuren : Your Computer can be used as an server without your knowledge - Punkt.

    IMHO kann dies aber ja nicht stimmen, da keine Dienste von mir bereitgestellt werden.

    mfg ghostrider

    [Diese Nachricht wurde von ghost rider am 26.12.2002 | 19:32 geändert.]
     
  6. ghost rider

    ghost rider Megabyte

    Registriert seit:
    23. März 2002
    Beiträge:
    2.319
    s highly insecure NetBIOS File and Printer Sharing port (139). Subsequent tests conducted on this page, and elsewhere on this website, will probe more deeply to determine the extent of this system\'s vulnerability. But regardless of what more is determined, the presence and availability of some form of Internet Server HAS BEEN CONFIRMED within this machine . . . and it is accepting anonymous connections!

    The rest of this website explains the implications and dangers of your present configuration and provides complete and thorough instruction for increasing the security of this system. At the moment, any passing high speed Internet scanner will quickly spot this computer as a target for attack. (When this page has completely finished displaying, you might wish to sneak a quick peek at these two pages to see what lies ahead at this website: Scanner1 & Scanner2)

    The phrase you must remember is:
    "My port 139 is wide OPEN!"

    Unable to connect with NetBIOS to your computer.

    The attempt to connect to your computer with NetBIOS protocol over the Internet (NetBIOS over TCP/IP) FAILED. But, as you can see below, significant personal information is still leaking out of your system and is readily available to curious intruders. Since you do not appear to be sharing files or printers over the TCP/IP protocol, this system is relatively secure. It is exposing its NetBIOS names (see below) over the Internet, but it is refusing to allow connections, so it is unlikely that anyone could gain casual entry into your system due to its connection to the Internet.

    Meine Firewall (Outpost) war beim Test deaktiviert.

    Nachtrag:

    Mit aktivierter Firewall, die ich <B>nicht</B> im Stealth-Mode betreibe , werden alle Ports als : Stealth gekennzeichnet, auch der Netbios-Port.

    mfg ghostrider
    [Diese Nachricht wurde von ghost rider am 26.12.2002 | 16:18 geändert.]
     
  7. Gast

    Gast Guest

    Na ich glaube, den Link kennt er schon. Allerdings sind die Ergebnisse, insbesondere was Port 139 betrifft, etwas zweifelhaft.
    MEIN Port 139 ist definitiv dicht, dennoch wird er dort als offen gemeldet.
     
  8. ghost rider

    ghost rider Megabyte

    Registriert seit:
    23. März 2002
    Beiträge:
    2.319
    Danke Ihr beiden für die erschöpfende Auskunft. Will halt sichergehen, daß die Netbiosports 100% dicht sind und nicht durch ein Hintertürchen doch aktiv sind.

    Wie gesagt, es geht nicht darum, daß das Feld an sich Grau unterlegt ist, sondern viel mehr darum, daß da <B>zusätzlich</B> bei der Option: Netbios über TCP/IP aktivieren gesetzt ist, obwohl ich <B>keine</B> Datei- / Druckerfreigabe aktiviert habe, weder über TCP/IP, noch für ein LAN, da keines vorhanden.

    Somit dürfte IMHO zwar das Feld an sich Grau unterlegt sein, aber <B>ohne</B> dem Haken.

    Hab schon mal zum ausprobieren die Datei- und Druckerfreigabe aktiviert über MS-Netzwerke und über TCP-IP, allerdings bleibt das Feld trotzdem Grau unterlegt.

    mfg ghostrider
     
  9. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Hallo ghost rider !

    Habe mir das jetzt noch mal genauer angeschaut.Wenn Du die Bindung des Protokolls an den Client deaktivierst, dann ist die Checkbox nicht mehr grau und auch automatisch nicht aktiviert.Du kannst dann das Häkchen setzen.Allerdings bin ich auch der Auffassung, dass das grau aktivierte Feld korrekt ist, wenn der Client installiert und die Datei-und Druckerfreigabe deaktiviert sind.

    franzkat
     
  10. Gast

    Gast Guest

    Doch, das bezieht sich SELBSTVERSTÄNDLICH auch auf NetBIOS. Die von dir erwähnte ausgegraute Option kannst du nicht ändern. Brauchst du auch gar nicht.
     
  11. ghost rider

    ghost rider Megabyte

    Registriert seit:
    23. März 2002
    Beiträge:
    2.319
    Hallo franzkat,

    hat leider nicht funktioniert.

    Das mit der Datei/Druckerfreigabe bezieht sich ja auf : NET<I>BUI</I> nicht jedoch auf : Net<B>BIOS</B>.

    mfg ghostrider

    PS:

    Hab ausnahmsweise nicht die editierfunktion benutzt, man möge es mir nachsehen.
     
  12. ghost rider

    ghost rider Megabyte

    Registriert seit:
    23. März 2002
    Beiträge:
    2.319
    Hallo nochmal,

    jeep, klingt logisch... werd das mal ausprobieren und dann sagen, ob sich was geändert hat.

    mfg ghostrider
     
  13. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Hallo ghost rider !

    Ich vermute, dass die Option dann grau unterlegt und nicht zu bearbeiten ist, wenn keine Datei-oder Druckerfreigabe an das Protokoll gebunden ist.Erst wenn das geschehen ist,macht es Sinn diese Option zu deaktivieren, da ja im lokalen Netz auch die Freigabe über ein anderes Protokoll erfolgen kann;das muß nicht notwendigerweise TCP/IP sein.

    mfg franzkat
     
  14. ghost rider

    ghost rider Megabyte

    Registriert seit:
    23. März 2002
    Beiträge:
    2.319
    Hi,

    danke für Deine Antwort. Es geht mir aber auch darum, daß ich diese Option in den Netzwerkeigenschaften wieder bearbeiten kann, und mit dem Entfernen des Häkchens die Bindung lösen kann.

    mfg ghostrider
     
  15. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Hallo ghost rider !

    Wenn es Dir darum geht,ganz sicher die Netbios-Ports zu deaktivieren, würde ich Dir unter Win98 raten, den Netbios-Treiber einfach umzubenennen;zum Beispiel Vnbt.386 in vnbt.bak.

    franzkat
     
  16. ossilotta

    ossilotta Ehren-Moderator

    Registriert seit:
    1. Juli 2001
    Beiträge:
    8.646
    hallo ghost rider,

    das würde sich ja wiedersprechen.
    habe hier noch was intereassantes gefunden zu einem selbsttest der über die uni läuft:

    http://www.lfd.niedersachsen.de/

    schau mal da rein.alles in deutsch.
    mfg siegfried
     
  17. ossilotta

    ossilotta Ehren-Moderator

    Registriert seit:
    1. Juli 2001
    Beiträge:
    8.646
    hallo ghost rider,

    bin leider des englischen nicht ganz so mächtig und muss immer noch mit wörterbuch rumwurschteln.
    ist der port 139 denn jetzt bei dir geschlossen ?

    bei mir war damals bei dem test der port 139 auch offen. geschlossen wurde er glaube ich, indem ich u.a. die bindung von tcp/ip von der netzwerkkarte entfernt habe.
    ich habe hier aber noch einen interessanten link gefunden, übrigens wirst du da eventuell auch noch über andere sachen stolpern die du brauchen kannst.

    http://www.trojaner-info.de/sicherheit/betriebssystem/port139/ports137-139.htm

    dies ist jetzt in deutsch.
    wenn du was neues in erfahrung gebracht hast, dann melde dich bitte noch einmal.
    mfg siegfried
     
  18. ossilotta

    ossilotta Ehren-Moderator

    Registriert seit:
    1. Juli 2001
    Beiträge:
    8.646
    hallo ghost rider,
    bei mir sieht es wie folgt aus:
    21
    FTP
    Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

    23
    Telnet
    Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

    25
    SMTP
    Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

    79
    Finger
    Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

    80
    HTTP
    Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

    110
    POP3
    Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

    113
    IDENT
    Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

    135
    RPC
    Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

    139
    Net
    BIOS
    Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

    143
    IMAP
    Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

    443
    HTTPS
    Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

    445
    MSFT
    DS
    Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

    5000
    UPnP
    Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!
    mfg ossilotta
     
  19. ossilotta

    ossilotta Ehren-Moderator

    Registriert seit:
    1. Juli 2001
    Beiträge:
    8.646
    hallo ghost rider,

    lass mal deine ports und shields unter folgendem link scannen, dann hast du absolute gewissheit was los ist.
    geb mir mal bitte rückmeldung was bei rausgekommen ist.

    https://grc.com/x/ne.dll?bh0bkyd2

    mfg siegfried
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen