Null Sessionsangreb og hvordan man undgår dem - dummies

En kendt sårbarhed i Windows kan kortlægge en anonym forbindelse (eller null session) til en skjult del kaldet IPC $ (som står for interprocess kommunikation). Denne hackmetode kan bruges til at

• Indsamle Windows-hostkonfigurationsoplysninger, f.eks. Bruger-id'er og dele navne.

• Rediger dele af fjerncomputerens registreringsdatabase.

Selvom Windows Server 2008, Windows XP, Windows 7 og Windows 8 ikke tillader nullsessionstilslutninger som standard, gør Windows 2000 Server - og der er desværre stadig masser af disse systemer for at skabe problemer på de fleste netværk.

Kort en null-session

Følg disse trin for hver Windows-computer, som du vil kortlægge en null-session:

1. Formater den grundlæggende netkommando, som denne:

   netbrug host_name_or_IP_addressipc $ "" / user: "
   

   Netkommandoen til at kortlægge null-sessioner kræver disse parametre:

   • net efterfulgt af brugskommandoen

   • IP-adressen eller værtsnavnet på det system, som du vil kortlægge en null-forbindelse

   • Et tomt kodeord og brugernavn

2. Tryk på Enter for at oprette forbindelse.

   Når du har kortlagt null-sessionen, skal du se meddelelsen Kommandoen er gennemført.

   

For at bekræfte, at sessionerne er kortlagt, skal du indtaste denne kommando ved kommandoprompten:

netbrug

Du skal se mappings til IPC $ -delen på hver computer, som du er tilsluttet til. >

Glean information

Med en null session forbindelse kan du bruge andre værktøjer til at indsamle vigtige Windows-informationer på afstand. Tusindvis af værktøjer kan samle denne type information. < Du kan som en hacker - tage output fra disse taleprogrammer og forsøge at

Sprænge adgangskoderne for de fundet brugere.

Kortdrev til netværket aktier.

• Du kan bruge følgende programmer til systemregistrering mod serverversioner af Windows forud for Server 2003 samt Windows XP.

• netvisning

Netvisningskommandoen viser aktier, som Windows-værten har til rådighed. Du kan bruge output fra dette program til at se oplysninger, som serveren annoncerer til verden, og hvad der kan gøres med det, herunder følgende:

Del oplysninger, som en hacker kan bruge til at angribe dine systemer, såsom kortlægningsdrev og cracking dele adgangskoder.

Del tilladelser, der muligvis skal fjernes, f.eks. Tilladelsen til gruppen Alle, skal i hvert fald se delingen på ældre Windows 2000-baserede systemer.

• Konfiguration og brugeroplysninger

• Winfo og DumpSec kan indsamle nyttige oplysninger om brugere og konfigurationer, som f.eks.

  

Windows-domæne, som systemet tilhører

Sikkerhedspolitikindstillinger

• Lokale brugernavne

• Drive shares

• Din præference kan afhænge af, om du kan lide grafiske grænseflader eller en kommandolinje.Winfo er et kommandolinjeværktøj. Følgende er en forkortet version af Winfos output fra en Windows NT-server, men du kan indsamle de samme oplysninger fra andre Windows-systemer:

• Winfo 2. 0 - copyright (c) 1999-2003, Arne Vidstrom - // www. ntsecurity. nu / værktøjskasse / winfo / SYSTEMOPLYSNINGER: - OS version: 4. 0 PASSWORD POLICY: - Tid mellem slutningen af ​​logon tid og tvungen aflogning: Ingen tvungen aflogning - Maksimal adgangskode alder: 42 dage - Mindste adgangskode alder: 0 dage - Password historie længde: 0 adgangskoder - Mindste adgangskode længde: 0 tegn USER ACCOUNTS: * Administrator (Denne konto er den indbyggede administrator konto) * doctorx * Gæst (Denne konto er den indbyggede gæstekonto) * IUSR_WINNT * kbeaver * nikki AKTIER: * ADMIN $ - Type: Særlig del reserveret til IPC eller administrativ deling * IPC $ - Type: Ukendt * Here2Bhacked - Type: Diskdrev * C $ - Type: Særlig del reserveret til IPC eller administrativ deling * Finansiering - Type: Diskdrev * HR-Type: Diskdrev

Disse oplysninger kan ikke hentes fra en standardinstallation af Windows Server 2003, Windows XP, Windows 7 eller Windows 8.

Du kan se resultaterne af sådanne værktøjer til bruger-id'er, der ikke bruger ' t hører hjemme på dit system, som f.eks.

Ex-Employee-konti, der ikke er blevet deaktiveret

Potentielle bagdørskonti, som en hacker kunne have oprettet

• NetUsers

• NetUsers-værktøjet kan vise, hvem der er logget på en fjern Windows-computer. Du kan se sådanne oplysninger som

Misbrugte konto privilegier

Brugere, der er logget på systemet i øjeblikket

• Disse oplysninger kan hjælpe dig med at spore, hvem der logger ind på et system til revision. Desværre kan disse oplysninger være nyttige for hackere, når de forsøger at finde ud af, hvilke bruger-id'er der er tilgængelige for at revne.

• Modforanstaltninger mod null session hacks

  

Hvis det giver god forretningssans, og timingen er korrekt, skal du opgradere til den sikrere Windows Server 2012 eller Windows 7. De har ikke de sårbarheder, der er beskrevet i den følgende liste.

Du kan nemt forhindre null session-forbindelseshacker ved at implementere en eller flere af følgende sikkerhedsforanstaltninger:

Bloker NetBIOS på din Windows-server ved at forhindre, at disse TCP-porte passerer gennem din firewall eller personlig firewall:

139 (NetBIOS-sessionstjenester)

• 445 (kører SMB over TCP / IP uden NetBIOS)

  • Deaktiver fil- og printerdeling til Microsoft Networks på fanen Egenskaber i maskinens netværksforbindelse for de systemer, der ikke har brug for det.

  • Begræns anonyme forbindelser til systemet. For Windows NT og Windows 2000-systemer kan du indstille HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSARestrictAnonymous til en DWORD-værdi som følger:

• Ingen:

• Dette er standardindstillingen.

  • Stol på standard tilladelser (Indstilling 0):

  • Denne indstilling tillader standard null-sessionforbindelser. Tillad ikke opregning af SAM-konti og -aktier (indstilling 1): Dette er indstillingen for mellemliggende sikkerhedsniveau. Denne indstilling tillader stadig, at nul sessioner skal kortlægges til IPC $, hvilket gør det muligt for sådanne værktøjer som Walksam at hente oplysninger fra systemet.

  • Ingen adgang uden eksplicit anonyme tilladelser (Indstilling 2): Denne høje sikkerhedsindstilling forhindrer null sessionstilslutninger og systemtælling.

  • Microsoft Knowledge Base-artikel 246261 dækker overvejelserne om at bruge den høje sikkerhedsindstilling for RestrictAnonymous. Den er tilgængelig på internettet på // support. microsoft. dk / standard. aspx? scid = KB; en-os; 246261.