Null Sessionsangrep og hvordan man unngår dem - dummies

Et kjent sikkerhetsproblem i Windows kan kartlegge en anonym forbindelse (eller null sesjon) til en skjult del kalt IPC $ (som står for interprosess kommunikasjon). Denne hackmetoden kan brukes til å

• Samle inn informasjon om vertskapskonfigurasjon for Windows, for eksempel bruker-ID og deling av navn.

• Rediger deler av den eksterne datamaskinens register.

Selv om Windows Server 2008, Windows XP, Windows 7 og Windows 8 ikke tillater nullsesjonstilkoblinger som standard, gjør Windows 2000 Server - og (dessverre) mange systemer er fortsatt rundt for å forårsake problemer på de fleste nettverk.

Kart en null-sesjon

Følg disse trinnene for hver Windows-datamaskin som du vil kartlegge en null-sesjon på:

1. Formater nettverkskommandoen slik:

   nettbruk host_name_or_IP_addressipc $ "" / user: "
   

   Nettkommandoen for å kartlegge null-økter krever disse parametrene:

   • netto etterfulgt av brukskommandoen

   • IP-adressen eller vertsnavnet til systemet du vil kartlegge en null-tilkobling

   • Et tomt passord og brukernavn

2. Trykk Enter for å opprette forbindelsen.

   Når du har kartlagt null-sesjonen, bør du se meldingen Kommandoen ble fullført.

   

For å bekrefte at øktene er kartlagt, skriv inn denne kommandoen ved ledeteksten:

nettbruk

Du bør se mappingene til IPC $ -delen på hver datamaskin du er tilkoblet til. >

Glean-informasjon

Med en null-sesjonsforbindelse kan du bruke andre verktøy til å samle kritisk Windows-informasjon eksternt. Dusinvis av verktøy kan samle denne typen informasjon. < Du - som en hacker - kan ta utdataene fra disse oppsummeringsprogrammene og forsøke å

Sprekk passordene til brukerne som er funnet.

Kartstasjoner til nettverket aksjer.

• Du kan bruke følgende programmer for systemoppsummering mot serverversjoner av Windows før Server 2003 og Windows XP.

• nettvisning

Nettvisningskommandoen viser aksjer som Windows-verten har tilgjengelig. Du kan bruke utdataene til dette programmet for å se informasjon som serveren annonserer til verden, og hva som kan gjøres med det, inkludert følgende:

Del informasjon som en hacker kan bruke til å angripe systemene dine, for eksempel kartleggingsstasjoner og sprekker dele passord.

Delbehörigheter som kanskje må fjernes, for eksempel tillatelsen for Alle-gruppen, for å minst se delen på eldre Windows 2000-baserte systemer.

• Konfigurasjons- og brukerinformasjon

• Winfo og DumpSec kan samle nyttig informasjon om brukere og konfigurasjoner, for eksempel

  

Windows-domene som systemet tilhører

Sikkerhetspolitikkinnstillinger

• Lokale brukernavn

• Drive-aksjer

• Din preferanse kan avhenge av om du liker grafiske grensesnitt eller en kommandolinje.Winfo er et kommandolinjeverktøy. Følgende er en forkortet versjon av Winfos utgang fra en Windows NT-server, men du kan samle inn samme informasjon fra andre Windows-systemer:

• Winfo 2. 0 - copyright (c) 1999-2003, Arne Vidstrom - // www. ntsecurity. Nå / verktøykasse / winfo / SYSTEMINFORMASJON: - OS-versjon: 4. 0 PASSWORD POLICY: - Tid mellom slutten av påloggingstid og tvungen avlogging: Ingen tvungen avlogging - Maksimum passordalder: 42 dager - Minimum passordalder: 0 dager - Passordhistorikk lengde: 0 passord - Minimum passordlengde: 0 tegn BRUKERTOKOLL: * Administrator (Denne kontoen er den innebygde administratorkontoen) * doctorx * Gjest (Denne kontoen er den innebygde gjestekontoen) * IUSR_WINNT * kbeaver * nikki Aksjer: * ADMIN $ - Type: Spesiell del reservert for IPC eller administrativ deling * IPC $ - Type: Ukjent * Here2Bhacked - Type: Diskstasjon * C $ - Type: Spesiell del reservert for IPC eller administrativ deling * Finans - Type: Diskstasjon * HR-Type: Diskstasjon

Denne informasjonen kan ikke hentes fra en standardinstallasjon av Windows Server 2003, Windows XP, Windows 7 eller Windows 8.

Du kan lese utdataene fra slike verktøy for bruker-IDer som ikke T hører hjemme på systemet ditt, for eksempel

Kontoer uten ansatte som ikke er deaktivert

Potensielle bakdørskontoer som en hacker kan ha opprettet.

• NetUsers

• NetUsers-verktøyet kan vise hvem som har logget på en ekstern Windows-datamaskin. Du kan se slik informasjon som

Misbrukte konto-privilegier

Brukere som er logget inn på systemet nå

• Denne informasjonen kan hjelpe deg å spore, for revisjonsformål, hvem som logger på et system. Dessverre kan denne informasjonen være nyttig for hackere når de prøver å finne ut hvilke bruker-IDer som er tilgjengelige for å sprekke.

• Tiltak mot null sessionshack

  

Hvis det gir god forretningsfølelse og timingen er riktig, oppgrader til den sikrere Windows Server 2012 eller Windows 7. De har ikke de sårbarhetene som er beskrevet i følgende liste.

Du kan enkelt forhindre nullsesjonstilkoblingshack ved å implementere ett eller flere av følgende sikkerhetsmålinger:

Blokker NetBIOS på Windows-serveren din ved å hindre at disse TCP-portene passerer gjennom nettverksbrannmuren eller personlig brannmur:

139 (NetBIOS-økttjenester)

• 445 (kjører SMB over TCP / IP uten NetBIOS)

  • Deaktiver fil- og skriverdeling for Microsoft-nettverk på fanen Egenskaper i maskinens nettverkstilkobling for de systemene som ikke trenger det.

  • Begrens anonyme tilkoblinger til systemet. For Windows NT og Windows 2000-systemer kan du angi HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSARestrictAnonymous til en DWORD-verdi som følger:

• Ingen:

• Dette er standardinnstillingen.

  • Stol på standardtillatelser (Innstilling 0):

  • Denne innstillingen tillater standard null-tilkoblinger. Ikke tillat oppregning av SAM-kontoer og -aksjer (Innstilling 1): Dette er innstillingen for middels sikkerhetsnivå. Denne innstillingen tillater fortsatt at nullsessene skal kartlegges til IPC $, slik at slike verktøy som Walksam kan skaffe seg informasjon fra systemet.

  • Ingen tilgang uten eksplisitt anonyme tillatelser (Innstilling 2): Denne høye sikkerhetsinnstillingen forhindrer null øktforbindelser og systemopptelling.

  • Microsoft Knowledge Base-artikkel 246261 dekker forbeholdene ved bruk av høy sikkerhetsinnstilling for RestrictAnonymous. Den er tilgjengelig på Internett på // support. microsoft. com / default. aspx? scid = KB; en-us; 246261.