Ataques sessão nula e como evitá-los
A vulnerabilidade conhecida dentro do Windows pode mapear uma conexão anônima (ou sessão nula
Conteúdo
Reúna o Windows informações de configuração de host, como IDs de usuário e nomes de compartilhamento.
Editar partes do registro do computador remoto.
Embora o Windows Server 2008, Windows XP, Windows 7 e Windows 8 não permitem conexões de sessões nulas por padrão, o Windows 2000 Server faz - e (infelizmente) muitos desses sistemas ainda estão por aí para causar problemas na maioria das redes.
Mapear uma sessão nula
Siga estes passos para cada computador com Windows para o qual você deseja mapear uma sessão nula:
Formatar o básico líquido de comando, assim:
net use host_name_or_IP_addressipc $ " "/do utilizador:"
o líquido comando para mapear sessões nulas requer os seguintes parâmetros:
líquido seguido pela usar comando
O endereço IP ou nome do host do sistema para o qual você deseja mapear uma conexão nula
Uma senha em branco e nome de usuário
Pressione Enter para fazer a conexão.
Depois de mapear a sessão nula, você deverá ver a mensagem O comando foi concluído com êxito.
Para confirmar que as sessões são mapeados, digite este comando no prompt de comando:
net use
Você deve ver os mapeamentos para o compartilhamento IPC $ em cada computador ao qual você está conectado.
Video: SEGURANÇA NA INTERNET
recolher informações
Com uma conexão de sessão nula, você pode usar outros utilitários para reunir informações críticas do Windows remotamente. Dezenas de ferramentas podem recolher este tipo de informação.
Você - como um hacker - pode levar o resultado destes programas de enumeração e tentar
Quebrar as senhas dos usuários encontrados.
Mapa drives para os compartilhamentos de rede.
Você pode usar as seguintes aplicações para enumeração sistema contra as versões de servidor do Windows antes Server 2003, bem como o Windows XP.
net view
o net view comando mostra ações que o host Windows tem disponível. Você pode usar a saída deste programa para ver as informações que o servidor está anunciando para o mundo eo que pode ser feito com ele, incluindo o seguinte:
Compartilhar informações que um hacker pode usar para atacar seus sistemas, tais como unidades de mapeamento e rachaduras compartilhar senhas.
As permissões de compartilhamento que talvez precisem ser removidos, como a permissão para o grupo Todos, pelo menos ver a participação em sistemas baseados no Windows 2000 mais antigos.
informações de configuração e do usuário
Winfo e DumpSec pode reunir informações úteis sobre os usuários e configurações, tais como
Video: Ataque a Banco Central do Iraque
domínio do Windows ao qual o sistema pertence
definições de política de segurança
usernames locais
compartilhamentos de unidades
Sua preferência pode depender se você gosta de interfaces gráficas ou uma linha de comando. Winfo é uma ferramenta de linha de comando. O que se segue é uma versão abreviada de saída de um servidor Windows NT de Winfo, mas você pode coletar a mesma informação de outros sistemas Windows:
Winfo 2.0 - Copyright (C) 1999-2003, Arne Vidstrom- https://ntsecurity.nu/toolbox/winfo/SYSTEM INFORMAÇÕES: - OS versão: POLÍTICA 4.0PASSWORD: - Tempo entre o final do tempo de logon e logoff forçado: Não forçado logoff- idade máxima da senha: 42 dias- da senha mínima: 0 dias- comprimento história password: 0 passwords- comprimento mínimo da senha: 0 CONTAS charactersUSER: * administrador (Esta conta é o built-in conta de administrador) * doctorx * Visitante (Esta conta é o built-in conta de convidado) * IUSR_WINNT * kbeaver * nikkiSHARES: * ADMIN $ - Tipo: participação especial reservada para IPC ou compartilhamento administrativo * IPC $ - Tipo: Desconhecido * Tipo Here2Bhacked-: disco rígido * C $ - Tipo: participação especial reservado para IPC ou administrativa share * Tipo Finance-: unidade de disco * Tipo HR-: unidade de disco
Esta informação não pode ser adquirida a partir de uma instalação padrão do Windows Server 2003, Windows XP, Windows 7 ou Windows 8.
Você pode ler a saída de tais ferramentas para IDs de usuários que não pertencem em seu sistema, como
contas de ex-empregados que não tenham sido desactivados
contas de backdoor potenciais que um hacker possa ter criado
NetUsers
o ferramenta NetUsers pode mostrar que tem ligado para um computador Windows remoto. Você pode ver informações como
privilégios de conta abusadas
Usuários atualmente registrados no sistema
Esta informação pode ajudar a controlar, para fins de auditoria, que é o login em um sistema. Infelizmente, esta informação pode ser útil para hackers quando eles estão tentando descobrir o que usuário estão disponíveis para quebrar IDs.
Medidas contra hacks sessão nula
Se isso faz sentido para os negócios e é a hora certa, atualizar para o Windows Server mais seguro 2012 ou o Windows 7. Eles não têm as vulnerabilidades descritas na lista a seguir.
Você pode facilmente evitar hacks de conexão de sessão nula através da implementação de uma ou mais das seguintes medidas de segurança:
NetBIOS bloco em seu servidor Windows, impedindo que estas portas TCP de passar através de seu firewall de rede ou firewall pessoal:
139 (sessões serviços NetBIOS)
445 (corre SMB sobre TCP / IP sem NetBIOS)
Desativar compartilhamento de arquivos e impressoras para redes Microsoft na guia Propriedades de conexão de rede da máquina para aqueles sistemas que não precisam dele.
Restringir conexões anônimas ao sistema. Para o Windows NT e Windows 2000 sistemas, você pode definir HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSARestrictAnonymous para um valor DWORD da seguinte forma:
Nenhum: Esta é a configuração padrão.
Conta com as permissões padrão (Configuração 0): Esta configuração permite que as conexões de sessão nula padrão.
Não permitir enumeração de contas e compartilhamentos SAM (Configuração 1): Esta é a definição do nível de segurança médio. Esta configuração permite ainda sessões nulas a ser mapeado para IPC $, permitindo que ferramentas como Walksam para angariar informações do sistema.
Sem acesso sem permissões anônimas explícitas (ajuste 2): Essa configuração de segurança alta impede conexões de sessões nulas e enumeração sistema.
O artigo 246261 Microsoft Knowledge Base abrange as dicas de uso a configuração de alta segurança RestrictAnonymous. Ele está disponível na web em https://support.microsoft.com/default.aspx?scid=KB-en-us-246261.