Null Sessionsattacker och hur man undviker dem - dummies

kan en känd sårbarhet i Windows kartlägga en anonym anslutning (eller null session) till en dold del som heter IPC $ (vilket står för interprocess kommunikation). Denna hackmetod kan användas till

• Samla in Windows värdkonfigurationsinformation, till exempel användar-ID och dela namn.

• Redigera delar av fjärrdatorns register.

Om Windows Server 2008, Windows XP, Windows 7 och Windows 8 inte tillåter att null-anslutningar är standard, gör Windows 2000 Server - och (tyvärr) många system finns fortfarande kvar för att orsaka problem på de flesta nätverk.

Skriv en nollsession

Följ de här stegen för varje Windows-dator som du vill kartlägga en nollsession till:

1. Formatera det grundläggande nätverkskommandot, så här:

   Nätanvändning host_name_or_IP_addressipc $ "" / user: "
   

   Nätkommandot att kartera noll sessioner kräver dessa parametrar:

   • net följt av användningskommandot

   • IP-adressen eller värdnamnet för det system som du vill kartlägga en null-anslutning

   • Ett tomt lösenord och användarnamn

2. Tryck på Enter för att ansluta.

   När du har kartat null-sessionen ska du se meddelandet Kommandot slutfördes.

   

För att bekräfta att sessionerna är mappade anger du det här kommandot vid kommandotolken:

nätanvändning

Du ska se mappningarna till IPC $ -delen på varje dator som du är ansluten till. >

Glean information

Med en noll sessionsförbindelse kan du använda andra verktyg för att samla in viktig information från Windows. Dussintals verktyg kan samla denna typ av information. < Du kan, som en hackare, ta utdata från dessa uppräkningsprogram och försök att

Krypta lösenordet för användarna.

Kartdisketter till nätverksaktierna.

• Du kan använda följande program för systemräkning mot serverversioner av Windows före Server 2003 och Windows XP.

• Nettovy

Kommandot nätvisning visar aktier som Windows-värd har tillgängligt. Du kan använda utmatningen från det här programmet för att se information som servern annonserar till världen och vad som kan göras med det, inklusive följande:

Dela information som en hacker kan använda för att attackera dina system, t.ex. mappningsenheter och sprickning dela lösenord.

Delbehörigheter som kan behöva tas bort, till exempel tillståndet för gruppen Alla, åtminstone se delningen på äldre Windows 2000-baserade system.

• Konfiguration och användarinformation

• Winfo och DumpSec kan samla användbar information om användare och konfigurationer, till exempel

  

Windows-domänen som systemet hör till

Säkerhetspolicyinställningar

• Lokala användarnamn

• Drive shares

• Din preferens kan bero på om du gillar grafiska gränssnitt eller en kommandorad.Winfo är ett kommandoradsverktyg. Nedan följer en förkortad version av Winfos utdata från en Windows NT-server, men du kan samla samma information från andra Windows-system:

• Winfo 2. 0 - copyright (c) 1999-2003, Arne Vidstrom - // www. ntsecurity. nu / verktygslåda / winfo / SYSTEMINFORMATION: - OS-version: 4. 0 PASSWORD POLICY: - Tid mellan slutet av inloggningstid och tvångslogg: Ingen tvångslogg - Högsta lösenordsålder: 42 dagar - Lägsta lösenordsalder: 0 dagar - Lösenordshistorik längd: 0 lösenord - Minsta lösenordslängd: 0 tecken ANVÄNDARRÄKNINGAR: * Administratör (Detta konto är det inbyggda administratörskontot) * doctorx * Gäst (Detta konto är det inbyggda gästkontot) * IUSR_WINNT * kbeaver * nikki AKTIER: * ADMIN $ - Typ: Speciell del reserverad för IPC eller administrativ delning * IPC $ - Typ: Okänd * Here2Bhacked - Typ: Diskenhet * C $ - Typ: Special del reserverad för IPC eller administrativ delning * Finansiering - Typ: Diskdisk * HR-typ: hårddisk

Denna information kan inte hämtas från en standardinstallation av Windows Server 2003, Windows XP, Windows 7 eller Windows 8.

Du kan läsa utdata från sådana verktyg för användar-ID som inte t hör hemma på ditt system, till exempel

Ex-Employee-konton som inte har inaktiverats

Potentiella bakdörrskonton som en hackare kan ha skapat

• NetUsers

• NetUsers-verktyget kan visa vem som har loggat in på en avlägsen Windows-dator. Du kan se sådan information som

Missbrukade kontobehörigheter

Användare som för närvarande är inloggade i systemet

• Med den här informationen kan du spåra, för revisionsändamål, vem som loggar in på ett system. Tyvärr kan den här informationen vara användbar för hackare när de försöker lista ut vilka användar-ID-er som är tillgängliga för att spricka.

• Motåtgärder mot noll sessionshack

  

Om det ger bra affärsintresse och timingen är rätt, uppgradera till den säkrare Windows Server 2012 eller Windows 7. De har inte de sårbarheter som beskrivs i följande lista.

Du kan enkelt förhindra uppkopplingshackar med nollsession genom att implementera en eller flera av följande säkerhetsåtgärder:

Blockera NetBIOS på din Windows-server genom att förhindra att dessa TCP-portar passerar genom din brandvägg eller personlig brandvägg:

139 (NetBIOS-sessionstjänster)

• 445 (kör SMB över TCP / IP utan NetBIOS)

  • Inaktivera fil- och skrivardeling för Microsoft-nätverk på fliken Egenskaper i maskinens nätverksanslutning för de system som inte behöver den.

  • Begränsa anonyma anslutningar till systemet. För Windows NT och Windows 2000-system kan du ange HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSARestrictAnonymous till ett DWORD-värde enligt följande:

• Ingen:

• Detta är standardinställningen.

  • Lita på standardbehörigheter (Inställning 0):

  • Med denna inställning kan du ansluta standard null-sessionsförbindelser. Tillåt inte uppräkning av SAM-konton och -aktier (Inställning 1): Det här är den medelläkra säkerhetsnivån. Denna inställning tillåter fortfarande att noll sessioner mappas till IPC $, vilket möjliggör för sådana verktyg som Walksam att samla information från systemet.

  • Ingen åtkomst utan explicit anonyma behörigheter (Inställning 2): Den här höga säkerhetsinställningen förhindrar null session-anslutningar och systemräkning.

  • Microsoft Knowledge Base-artikel 246261 omfattar överväganden om att använda hög säkerhetsinställningen för RestrictAnonymous. Den finns tillgänglig på webben på // support. Microsoft. com / default. aspx? scid = kb; en-us; 246261.