Null Cuộc tấn công phiên và Cách tránh Them - núm vú

Một lỗ hổng nổi tiếng trong Windows có thể ánh xạ một kết nối nặc danh (hoặc session vô hạn) sang một chia sẻ ẩn được gọi là IPC $ (viết tắt của liên lạc truyền thông). Phương pháp hack này có thể được sử dụng để

• Thu thập thông tin cấu hình máy chủ Windows, chẳng hạn như ID người dùng và tên chia sẻ.

• Chỉnh sửa các phần của registry của máy tính từ xa. Mặc dù Windows Server 2008, Windows XP, Windows 7 và Windows 8 không cho phép kết nối phiên mặc định, Windows 2000 Server vẫn có thể gây ra các vấn đề trên hầu hết các mạng.

Định dạng lệnh net cơ bản, như thế này:

sử dụng mạng

1. Một mật khẩu trống và tên người dùng

   Nhấn Enter để kết nối.
   

   Sau khi bạn ánh xạ phiên null, bạn sẽ thấy thông báo Lệnh đã hoàn thành thành công

   • Để xác nhận rằng các phiên đã được ánh xạ, nhập lệnh này tại cửa sổ dòng lệnh:

   • net use

     Bạn sẽ thấy các ánh xạ tới phần IPC $ trên mỗi máy tính mà bạn đã kết nối >

   • Glean thông tin

2. Với một kết nối null session, bạn có thể sử dụng các tiện ích khác để thu thập thông tin quan trọng của Windows từ xa.Thêm các công cụ có thể thu thập thông tin kiểu này < Bạn - giống như một hacker - có thể lấy đầu ra của các chương trình liệt kê và cố gắng

   Crack các mật khẩu của người dùng được tìm thấy.

   

Bản đồ ổ đĩa để chia sẻ mạng.

Bạn có thể sử dụng các ứng dụng sau để liệt kê hệ thống chống lại các phiên bản máy chủ của Windows trước khi cài đặt Server 2003 cũng như Windows XP.

net view

Lệnh net view hiển thị các cổ phiếu mà máy chủ Windows đã có sẵn. Bạn có thể sử dụng đầu ra của chương trình này để xem thông tin mà máy chủ đang quảng cáo trên thế giới và có thể làm gì với nó, bao gồm:

Chia sẻ thông tin mà một hacker có thể sử dụng để tấn công các hệ thống của bạn, và chia sẻ mật khẩu chia sẻ.

Quyền chia sẻ có thể cần phải được loại bỏ, chẳng hạn như sự cho phép đối với nhóm Everyone, ít nhất là chia sẻ trên các hệ thống dựa trên Windows 2000 cũ.

Thông tin về cấu hình và thông tin người dùng

• Winfo và DumpSec có thể thu thập thông tin hữu ích về người dùng và cấu hình, chẳng hạn như

• miền Windows mà hệ thống thuộc

Cài đặt chính sách bảo mật

Tên người dùng cục bộ

Chia sẻ Drive

• Tùy chọn của bạn có thể tùy thuộc vào việc bạn thích các giao diện đồ hoạ hoặc một dòng lệnh.Winfo là một công cụ dòng lệnh. Dưới đây là phiên bản rút gọn của đầu ra của máy chủ Windows NT, nhưng bạn có thể thu thập cùng một thông tin từ các hệ thống Windows khác:

• Winfo 2. 0 - bản quyền (c) 1999-2003, Arne Vidstrom - // www. ntsecurity. Nếu bạn không có thời gian đăng nhập, bạn có thể đăng nhập vào tài khoản của mình bằng mật khẩu. (tài khoản này được xây dựng trong tài khoản khách) * IUSR_WINNT * kbeaver * nikki CỔ PHIẾU: * Mật khẩu: * ADMIN $ - Loại: Dành riêng cho IPC hoặc chia sẻ hành chính * IPC $ - Loại: Unknown * Here2Bhacked - Loại: Ổ đĩa * C $ - Loại: Dành riêng cho IPC hoặc chia sẻ hành chính * Tài chính - Loại: Ổ đĩa * HR-Type: Disk drive

  

Thông tin này không thể lượm lặt từ một cài đặt mặc định của Windows Server 2003, Windows XP, Windows 7 hoặc Windows 8.

Bạn có thể đọc các đầu ra của các công cụ như vậy cho ID người dùng, t thuộc về hệ thống của bạn, chẳng hạn như

• Tài khoản Ex-nhân viên chưa bị vô hiệu hóa

• Các tài khoản bí mật tiềm ẩn mà một hacker có thể đã tạo ra

• NetUsers

• Công cụ NetUsers có thể cho biết ai đã đăng nhập vào một máy tính Windows ở xa. Bạn có thể xem các thông tin như

Các quyền tài khoản bị lạm dụng

Người dùng hiện đang đăng nhập vào hệ thống

Thông tin này có thể giúp bạn theo dõi, cho mục đích kiểm toán, ai đang đăng nhập vào hệ thống. Thật không may, thông tin này có thể hữu ích cho các hacker khi họ cố gắng tìm ra ID người dùng nào có sẵn để crack.

Các biện pháp đối phó với phiên làm việc vô thời hạn

• Nếu nó có ý nghĩa kinh doanh tốt và thời gian phù hợp, hãy nâng cấp lên Windows Server 2012 hoặc Windows 7. An toàn hơn Windows Server 2012 hoặc Windows 7. Họ không có lỗ hổng được mô tả trong danh sách dưới đây.

• Chặn NetBIOS trên máy chủ Windows của bạn bằng cách ngăn các cổng TCP này đi qua tường lửa mạng hoặc tường lửa cá nhân của bạn:

139 (Các dịch vụ phiên NetBIOS)

445 (chạy SMB qua TCP / IP không có NetBIOS)

• Vô hiệu hoá Chia sẻ Tệp và Máy in cho Mạng Microsoft trong tab Thuộc tính của kết nối mạng của máy cho những hệ thống không cần.

• Hạn chế các kết nối ẩn danh vào hệ thống. Đối với các hệ thống Windows NT và Windows 2000, bạn có thể đặt HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSARestrictAnonymous với giá trị DWORD như sau:

  

Không có:

Đây là cài đặt mặc định.

Dựa vào Quyền Mặc định (Cài đặt 0)

:

• Cài đặt này cho phép các kết nối phiên mặc định null.

  • Không Cho phép Điều tra các Tài khoản và Cổ phần SAM (Cài đặt 1):

  • Đây là cài đặt mức bảo mật trung bình. Cài đặt này vẫn cho phép các phiên null được ánh xạ tới IPC $, cho phép các công cụ như Walksam thu thập thông tin từ hệ thống.

• Không truy cập mà không có quyền truy cập vô danh (Thiết lập 2):

• Thiết đặt bảo mật cao này ngăn chặn các kết nối null session và liệt kê hệ thống.

  • Cơ sở Kiến thức Microsoft Bài 246261 bao gồm các khuyến cáo sử dụng các thiết lập bảo mật cao cho RestrictAnonymous. Tính năng này có sẵn trên web tại hỗ trợ //. microsoft. com / mặc định. aspx? scid = KB; en-chúng tôi; 246261.