Null Session Angriffe und wie man sie vermeidet
Eine bekannte Schwachstelle in Windows kann eine anonyme Verbindung Karte (oder null-Sitzung
Menu
Sammeln Sie Windows-Host-Konfigurationsinformationen, wie Benutzer-IDs und Freigabenamen.
Bearbeiten Teile der Registrierung des Remote-Computers.
Obwohl Windows Server 2008, Windows XP, Windows 7 und Windows 8 keine Nullsitzungsverbindungen standardmäßig Server führt Windows 2000 ermöglichen - und (leider) viel dieser Systeme gibt es immer noch Probleme in den meisten Netzwerken zu verursachen.
Karte eine Nullsitzung
Führen Sie die folgenden Schritte für jeden Windows-Computer, auf dem eine Nullsitzung zuordnen möchten:
Formatieren Sie die Grund Netz Befehl wie folgt aus:
net use host_name_or_IP_address ipc $ "" "/ user:"
Das Netz Befehl null-Sitzungen zur Karte erfordert folgende Parameter:
Netz gefolgt von der benutzen Befehl
Die IP-Adresse oder den Hostnamen des Systems, zu dem Sie eine Null-Verbindung zur Karte
Ein leeres Passwort und Benutzername
Drücken Sie die Eingabetaste um die Verbindung herzustellen.
Nachdem Sie die Null-Sitzung zuordnen, sollten Sie die Meldung Der Befehl wurde erfolgreich.
Um zu bestätigen, dass die Sitzungen zugeordnet sind, geben Sie folgenden Befehl an der Eingabeaufforderung:
net use
Sie sollten die Zuordnungen der IPC $ -Freigabe auf jedem Computer zu sehen, bei dem Sie verbunden sind.
aufzulesen Informationen
Mit einer Nullsitzung Verbindung können Sie andere Dienstprogramme verwenden, um remote kritische Windows-Informationen zu sammeln. Dutzende von Werkzeugen können diese Art von Informationen zu sammeln.
Sie - wie ein Hacker - kann die Ausgabe dieser Aufzählung Programme nehmen und versuchen,
Knacken Sie die Passwörter der Benutzer gefunden.
Karte treibt den Netzwerkfreigaben.
Sie können die folgenden Anwendungen für System-Enumeration gegen Server-Versionen von Windows vor Server 2003 sowie Windows XP verwenden.
net view
Das net view Befehl zeigt Anteile, die die Windows-Host zur Verfügung hat. Sie können die Ausgabe dieses Programms verwenden, um Informationen zu sehen, dass der Server auf der Welt ist die Werbung und was mit ihm, einschließlich der folgenden erfolgen:
Teilen Sie Informationen, die ein Hacker Ihre Systeme, wie zB Zuordnung von Laufwerken und rissiger Anteil Passwörter angreifen können.
Freigabeberechtigungen, die für die Gruppe Jeder entfernt, wie zum Beispiel die Erlaubnis könnte werden müssen, um zumindest den Anteil an älteren Windows 2000-Systeme zu sehen.
Konfiguration und Benutzerinformationen
winfo und DumpSec Sie nützliche Informationen über Benutzer und Konfigurationen sammeln, wie zum Beispiel
Windows-Domäne, zu der das System gehört
Sicherheitsrichtlinieneinstellungen
Lokale Benutzernamen
Antriebs Aktien
Ihre Präferenz könnte davon abhängen, ob Sie grafische Oberflächen oder eine Kommandozeile mögen. Winfo ist ein Kommandozeilen-Tool. Das Folgende ist eine gekürzte Version der Winfo die Ausgabe eines Windows NT-Server, aber Sie können die gleichen Informationen aus anderen Windows-Systemen sammeln:
Winfo 2.0 - Copyright (c) 1999-2003, Arne Vidstrom- https://ntsecurity.nu/toolbox/winfo/SYSTEM INFORMATIONEN: - OS-Version: 4.0PASSWORD: - Die Zeit zwischen dem Ende der Anmeldezeit und Abmeldezwangs: keine Zwangs- logoff- Maximales Kennwortalter: 42 Tage- Minimales Kennwortalter: 0 Tage- Passwort Geschichte Länge: 0 passwords- Minimale Kennwortlänge: 0 charactersUSER KONTEN: * Administrator (Dieses Konto ist das integrierte Administratorkonto) * doctorx * Guest (Diese Konto ist das integrierte Gastkonto) * IUSR_WINNT * kbeaver * nikkiSHARES: * ADMIN $ - Typ: Sonder Aktie für IPC reserviert oder administrative Freigabe * IPC $ - Typ: Unbekannt * Here2Bhacked- Typ: Festplattenlaufwerk * C $ - Typ: Sonder Anteil reserviert für IPC oder administrative Freigabe * Finance- Typ: Festplattenlaufwerk * HR- Typ: Festplattenlaufwerk
Diese Informationen können nicht von einer Standard-Installation von Windows Server 2003, Windows XP, Windows 7 oder Windows 8 zu entnehmen.
Sie können die Ausgabe solcher Werkzeuge für Benutzer-IDs lesen, die auf Ihrem System nicht gehören, wie zum Beispiel
Ex-Mitarbeiter-Konten, die nicht deaktiviert haben
Potenzielle Backdoor-Konten, die ein Hacker erstellt haben könnte
NetUsers
Das NetUsers Werkzeug kann zeigen, wer in zu einem entfernten Windows-Computer angemeldet hat. Sie können diese Informationen sehen, wie
Abused Kontoberechtigungen
Benutzer, die derzeit im System angemeldet
Diese Informationen können Sie für Revisionszwecke verfolgen, helfen, die in einem System ist zu protokollieren. Leider kann diese Informationen nützlich für Hacker sein, wenn sie, um herauszufinden, sind versucht, welche Benutzer-IDs verfügbar sind zu knacken.
Gegenmaßnahmen gegen null-Sitzung Hacks
Wenn es Sinn macht gute Geschäfte und das Timing richtig ist, ein Upgrade auf die sicherere Windows Server 2012 oder Windows 7. Sie haben nicht die Schwachstellen in der folgenden Liste beschrieben haben.
Sie können ganz einfach null Sitzungsverbindung Hacks verhindern, indem eine oder mehrere der folgenden Sicherheitsmaßnahmen ergreifen:
Block NetBIOS auf Ihrem Windows-Server, indem Sie diese TCP-Ports zu verhindern, die durch Ihre Netzwerk-Firewall oder eine persönliche Firewall:
139 (NetBIOS-Sitzungen Dienste)
445 (läuft SMB über TCP / IP ohne NetBIOS)
Deaktivieren Sie die Datei- und Druckerfreigabe für Microsoft-Netzwerke in der Registerkarte Eigenschaften der Netzwerkverbindung des Geräts für die Systeme, die sie nicht brauchen.
Beschränken Sie anonyme Verbindungen zum System. Für Windows NT und Windows 2000-Systemen können Sie einstellen, HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control LSA RestrictAnonymous auf einen DWORD-Wert wie folgt:
Keiner: Dies ist die Standardeinstellung.
Verlassen Sie sich auf Standardberechtigungen (Einstellung 0): Mit dieser Einstellung können Sie die Standardnullsitzungen.
Lassen Sie nicht Aufzählung von SAM-Konten und Freigaben (Einstellung 1): Dies ist die mittlere Sicherheitsstufe Einstellung. Mit dieser Einstellung können immer noch null-Sitzungen zu IPC $ abgebildet werden, solche Werkzeuge wie Walksam ermöglichen Informationen aus dem System zu sammeln.
Kein Zugriff ohne explizite anonyme Berechtigung (Einstellung 2): Diese hohe Sicherheitseinstellung verhindert Nullsitzungsverbindungen und System Aufzählung.
Microsoft Knowledge Base-Artikel 246261 deckt die Einsprüche der Verwendung der hohen Sicherheitseinstellung für RestrictAnonymous. Es ist erhältlich im Internet unter https://support.microsoft.com/default.aspx?scid=KB-en-us-246261.
