Null Serangan Sesi dan Bagaimana Menghindari Mereka - makam

Kerentanan yang terkenal di dalam Windows boleh memetakan sambungan tanpa nama (atau sesi null) ke bahagian tersembunyi yang dipanggil IPC $ (yang bermaksud komunikasi interprocess). Kaedah hack ini boleh digunakan untuk

Kumpulkan maklumat konfigurasi hos Windows, seperti ID pengguna dan nama kongsi.
Edit bahagian pendaftaran komputer jauh.

Walaupun Windows Server 2008, Windows XP, Windows 7, dan Windows 8 tidak membenarkan sambungan sesi null secara lalai, Windows 2000 Server tidak - dan (sedih) banyak sistem tersebut masih berada di sekitar untuk menyebabkan masalah pada kebanyakan rangkaian.

Peta sesi null

Ikuti langkah-langkah ini untuk setiap komputer Windows yang anda hendak memetakan sesi null:

Format arahan bersih asas, seperti ini:
```
penggunaan bersih host_name_or_IP_addressipc $ "" / user: "
```
Perintah bersih untuk memetakan sesi null memerlukan parameter ini:
- net diikuti oleh perintah penggunaan
- Alamat IP atau nama hos sistem yang anda ingin peta sambungan null
- Kata laluan kosong dan nama pengguna
Tekan Enter untuk membuat sambungan.

Selepas memetakan sesi null,.

Untuk mengesahkan bahawa sesi dipetakan, masukkan arahan ini pada arahan arahan:

penggunaan bersih

Anda harus melihat pemetaan ke bahagian IPC $ pada setiap komputer yang anda sambungkan. >

Glean information

Dengan sambungan sesi null, anda boleh menggunakan utiliti lain untuk mengumpul maklumat Windows kritis dari jauh. Anda - seperti penggodam - boleh mengambil output program penghitungan ini dan cuba

Crack kata laluan pengguna yang dijumpai.

Peta memandu ke saham rangkaian.

Anda boleh menggunakan aplikasi berikut untuk penghitungan sistem terhadap versi pelayan Windows sebelum Server 2003 serta Windows XP.
paparan bersih

Perintah pandangan bersih menunjukkan saham bahawa tuan rumah Windows telah tersedia. Anda boleh menggunakan output program ini untuk melihat maklumat yang pelayan itu iklan ke dunia dan apa yang boleh dilakukan dengannya, termasuk yang berikut:

Kongsi maklumat yang boleh digunakan oleh penggodam untuk menyerang sistem anda, seperti pemetaan pemetaan dan password berkongsi retak.

Kongsi kebenaran yang mungkin perlu dialih keluar, seperti kebenaran untuk kumpulan Semua orang, sekurang-kurangnya melihat bahagian pada sistem berasaskan Windows 2000 yang lebih lama.

Konfigurasi dan maklumat pengguna
Winfo dan DumpSec boleh mengumpul maklumat berguna mengenai pengguna dan konfigurasi, seperti domain

Windows yang sistemnya

Tetapan dasar keselamatan

Nama pengguna lokal
Saham cakera
Pilihan anda mungkin bergantung kepada sama ada anda suka antara muka grafik atau baris arahan.Winfo adalah alat baris arahan. Berikut adalah ringkasan output Winfo dari pelayan Windows NT, tetapi anda boleh mengumpul maklumat yang sama dari sistem Windows lain:
Winfo 2. 0 - copyright (c) 1999-2003, Arne Vidstrom - // www. nsecurity. MAKLUMAT SYARAT: - OS versi: 4. 0 POLISI PASSWORD: - Masa antara akhir masa logon dan logoff paksa: Tiada logoff paksa - Umur kata laluan maksimum: 42 hari - Umur kata laluan minimum: 0 hari - Sejarah kata laluan panjang: 0 kata laluan - Panjang kata laluan minimum: 0 aksara AKAUN PENGGUNA: * Administrator (Akaun ini adalah akaun pentadbir terbina dalam) * doktorx * Tetamu (Akaun ini adalah akaun tetamu terbina) * IUSR_WINNT * kbeaver * * ADMIN $ - Jenis: Saham khusus dikhaskan untuk IPC atau bahagian pentadbiran * IPC $ - Jenis: Tidak diketahui * Here2Bhacked - Jenis: Pemacu cakera * C $ - Jenis: Saham khusus dikhaskan untuk IPC atau bahagian pentadbiran * HR - Type: Pemacu cakera

Maklumat ini tidak dapat diperoleh dari pemasangan default Windows Server 2003, Windows XP, Windows 7, atau Windows 8.

Anda boleh membaca perihal output alat tersebut untuk ID pengguna yang tidak ' Anda tergolong dalam sistem anda, seperti

akaun Ex-pekerja yang tidak dilumpuhkan

Potensi akaun pintu belakang yang mungkin dicipta penggodam

NetUsers
Alat NetUsers boleh menunjukkan siapa yang telah log masuk ke komputer Windows jauh. Anda boleh melihat maklumat seperti

Keistimewaan akaun yang ditimpa

Pengguna yang sedang dilog masuk ke sistem

Maklumat ini dapat membantu anda mengesan, untuk tujuan pengauditan, siapa yang log masuk ke sistem. Malangnya, maklumat ini berguna untuk penggodam apabila mereka cuba mencari ID pengguna apa yang tersedia untuk retak.
Penangguhan terhadap hacks sesi null

Jika ia membuat akal perniagaan yang baik dan masa yang tepat, naik taraf kepada Windows Server 2012 atau Windows 7. Lebih selamat mereka tidak mempunyai kerentanan yang dijelaskan dalam senarai berikut.

Anda boleh dengan mudah mencegah hacks sambungan sesi null dengan melaksanakan satu atau lebih langkah keselamatan berikut:

Blok NetBIOS pada pelayan Windows anda dengan menghalang port TCP ini daripada melewati firewall rangkaian atau firewall peribadi anda:

139 (Perkhidmatan Sesi NetBIOS)

445 (menjalankan SMB melalui TCP / IP tanpa NetBIOS)
- Lumpuhkan Perkongsian Fail dan Pencetak untuk Microsoft Networks dalam tab Properties sambungan rangkaian mesin untuk sistem yang tidak memerlukannya.
- Hadkan sambungan tanpa nama kepada sistem. Untuk sistem Windows NT dan Windows 2000, anda boleh menetapkan HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSARestrictAnonymous kepada nilai DWORD seperti berikut:
Tiada:
Ini adalah tetapan lalai.
- Bergantung pada Kebenaran Lalai (Menetapkan 0):
- Tetapan ini membolehkan sambungan sesi null default. Jangan Benarkan Penghitungan Akaun SAM dan Saham SAM (Penetapan 1): Ini ialah tahap tahap keselamatan sederhana. Tetapan ini masih membenarkan sesi null dipetakan ke IPC $, yang membolehkan alat seperti Walksam untuk mendapatkan maklumat dari sistem.
- Tiada Akses Tanpa Kebenaran Anonymous Eksplisit (Menetapkan 2): Tetapan keselamatan yang tinggi ini menghalang sambungan sesi null dan penghitungan sistem.
- Pangkalan Pengetahuan Microsoft Artikel 246261 merangkumi peringatan menggunakan tetapan keselamatan yang tinggi untuk RestrictAnonymous. Ia boleh didapati di web di // support. microsoft. com / lalai. aspx? scid = KB; en-us; 246261.