Inhoudsopgave:
- Volg deze stappen voor elke Windows-computer waaraan u een null-sessie wilt toewijzen:
- de wachtwoorden van de gevonden gebruikers te kraken.
- Blokkeer NetBIOS op uw Windows-server door te voorkomen dat deze TCP-poorten door uw netwerkfirewall of persoonlijke firewall gaan:
Video: Gary Yourofsky - Q&A Session, 2010 Ga Tech 2024
Een bekend beveiligingslek in Windows kan een anonieme verbinding (of null-sessie) toewijzen aan een verborgen share met de naam IPC $ (wat staat voor interproces communicatie). Deze hackmethode kan worden gebruikt om
-
Windows-hostconfiguratiegegevens te verzamelen, zoals gebruikers-ID's en sharenamen.
-
Bewerk delen van het register van de externe computer. Hoewel Windows Server 2008, Windows XP, Windows 7 en Windows 8 standaard geen null-sessieverbindingen toestaan, doet Windows 2000 Server - en (helaas) veel van die systemen zijn nog steeds in de buurt om op de meeste netwerken problemen te veroorzaken.
Volg deze stappen voor elke Windows-computer waaraan u een null-sessie wilt toewijzen:
Formatteer de eenvoudige netopdracht, zoals deze:
-
netgebruik host_name_or_IP_addressipc $ "" / user: "
De net-opdracht om null-sessies te mappen vereist deze parameters:
net gevolgd door de opdracht use
-
Het IP-adres of de hostnaam van het systeem waaraan u een kaart wilt toewijzen null-verbinding
-
-
Druk op Enter om de verbinding tot stand te brengen.
-
-
Nadat u de nul-sessie hebt toegewezen, ziet u het bericht De opdracht is voltooid.
Om te bevestigen dat de sessies zijn toegewezen, voert u deze opdracht in bij de opdrachtprompt:
netgebruik
U moet de toewijzingen voor de IPC $ -share zien op elke computer waarmee u bent verbonden. >
Informatie ophalen
Met een nul-sessieverbinding kunt u andere hulpprogramma's gebruiken om op afstand kritieke Windows-informatie te verzamelen. Tientallen hulpprogramma's kunnen dit soort informatie verzamelen. < U kunt - net als een hacker - de uitvoer van deze inventarisatieprogramma's nemen en proberende wachtwoorden van de gevonden gebruikers te kraken.
Mapstations naar de netwerkshares.
U kunt de volgende toepassingen gebruiken voor systeemtelling tegen serverversies van Windows voorafgaand aan Server 2003 en Windows XP.
-
net view
-
Het net view commando toont shares die de Windows host beschikbaar heeft. U kunt de uitvoer van dit programma gebruiken om informatie te zien die de server voor de wereld adverteert en wat ermee gedaan kan worden, waaronder:
Deel informatie die een hacker kan gebruiken om uw systemen aan te vallen, zoals mapping drives en kraken gedeelde wachtwoorden.
Deelmachtigingen die mogelijk moeten worden verwijderd, zoals de machtiging voor de groep Iedereen, om op zijn minst de share te zien op oudere Windows 2000-systemen.
Configuratie en gebruikersinformatie
-
Winfo en DumpSec kunnen nuttige informatie verzamelen over gebruikers en configuraties, zoals
-
Windows-domein waartoe het systeem behoort
Beveiligingsbeleid-instellingen
Lokale gebruikersnamen
-
Drive-shares
-
Uw voorkeur kan afhankelijk zijn van of u van grafische interfaces of een opdrachtregel houdt.Winfo is een opdrachtregelprogramma. Het volgende is een verkorte versie van de Winfo-uitvoer van een Windows NT-server, maar u kunt dezelfde informatie verzamelen van andere Windows-systemen:
-
Winfo 2. 0 - copyright (c) 1999-2003, Arne Vidstrom - // www. ntsecurity. nu / toolbox / winfo / SYSTEEMINFORMATIE: - Versie van het besturingssysteem: 4. 0 PASSWORDBELEID: - Tijd tussen het einde van de aanmeldtijd en geforceerde afmelding: geen gedwongen afmelding - Maximaal wachtwoord leeftijd: 42 dagen - Minimumwachtwoord leeftijd: 0 dagen - Wachtwoordgeschiedenis lengte: 0 wachtwoorden - minimale wachtwoordlengte: 0 tekens GEBRUIKERSREKENINGEN: * Beheerder (dit account is het ingebouwde beheerdersaccount) * doctorx * Gast (dit account is het ingebouwde gastaccount) * IUSR_WINNT * kbeaver * nikki SHARES: * ADMIN $ - Type: speciaal aandeel gereserveerd voor IPC of administratief delen * IPC $ - Type: Onbekend * Here2Bhacked - Type: schijfstation * C $ - Type: speciaal aandeel gereserveerd voor IPC of administratiedeel * Financiën - Type: schijfstation * HR - Type: schijfstation
-
Deze informatie kan niet worden verzameld uit een standaardinstallatie van Windows Server 2003, Windows XP, Windows 7 of Windows 8.
U kunt de uitvoer van dergelijke hulpprogramma's bekijken voor gebruikers-ID's die niet t hoort op uw systeem, zoals
Ex-werknemersaccounts die niet zijn uitgeschakeld
Potentiële backdoor-accounts die een hacker mogelijk heeft gemaakt
NetUsers
-
Het hulpprogramma NetUsers kan laten zien wie zich heeft aangemeld bij een externe Windows-computer. U kunt dergelijke informatie zien als
-
misbruikte accountprivileges
gebruikers die momenteel bij het systeem zijn aangemeld
Deze informatie kan u helpen om voor auditdoeleinden bij te houden wie zich bij een systeem aanmeldt. Helaas kan deze informatie nuttig zijn voor hackers wanneer ze proberen uit te vinden welke gebruikers-ID's beschikbaar zijn om te kraken.
-
Tegenmaatregelen tegen null-sessie-hacks
-
Als het zakelijk verstandig is en de timing klopt, upgrade dan naar de meer beveiligde Windows Server 2012 of Windows 7. Ze hebben niet de beveiligingslekken die in de volgende lijst worden beschreven.
U kunt gemakkelijk hackers van null-sessieverbindingen voorkomen door een of meer van de volgende beveiligingsmaatregelen te implementeren:
Blokkeer NetBIOS op uw Windows-server door te voorkomen dat deze TCP-poorten door uw netwerkfirewall of persoonlijke firewall gaan:
139 (NetBIOS-sessieservices)
445 (voert SMB uit via TCP / IP zonder NetBIOS)
-
Schakel bestands- en printerdeling voor Microsoft-netwerken uit op het tabblad Eigenschappen van de netwerkverbinding van het apparaat voor de systemen die het niet nodig hebben.
-
Anonieme verbindingen naar het systeem beperken. Voor Windows NT- en Windows 2000-systemen kunt u HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSARestrictAnonymous als volgt instellen op een DWORD-waarde:
-
Geen:
-
-
Dit is de standaardinstelling.
-
Vertrouw op standaardmachtigingen (instelling 0)
-
: Met deze instelling zijn de standaardverbindingen met null-sessies mogelijk.
-
Geen opsomming van SAM-accounts en -aandelen toestaan (instelling 1): Dit is de gemiddelde beveiligingsniveau-instelling. Met deze instelling kunnen nog steeds null-sessies worden toegewezen aan IPC $, waardoor tools zoals Walksam informatie van het systeem kunnen verzamelen. Geen toegang zonder expliciete anonieme machtigingen (instelling 2):
-
Deze hoge beveiligingsinstelling voorkomt nul-sessieverbindingen en systeemtelling. Microsoft Knowledge Base-artikel 246261 behandelt de voorbehouden voor het gebruik van de hoge beveiligingsinstelling voor RestrictAnonymous. Het is beschikbaar op internet op // support. microsoft. com / default. aspx? scid = KB; en-us; 246261.
-