Атаки нулевой сессии и как их избежать
- Карта нулевого сеанса
- Сбор информации
- чистый вид
- Конфигурация и информация о пользователе
- NetUsers
- Контрмеры против нулевых сеансовых хаков
- программирование
- сетей
- Атаки нулевой сессии и как их избежать
Соберите информацию о конфигурации хоста Windows, такую как идентификаторы пользователей и имена общих ресурсов.
Редактировать части реестра удаленного компьютера.
Отформатируйте базовую команду net следующим образом:
net use \ host_name_or_IP_addressipc $ "" / user: "
Команда net для отображения нулевых сеансов требует следующих параметров:
net, сопровождаемый командой use
IP-адрес или имя хоста системы, с которой вы хотите сопоставить нулевое соединение
Пустой пароль и имя пользователя
Нажмите Enter, чтобы установить соединение.
После сопоставления нулевого сеанса вы должны увидеть сообщение: Команда выполнена успешно.
Обмен информацией, которую хакер может использовать для атаки на ваши системы, например, сопоставление дисков и взлом паролей.
Разрешения общего ресурса, которые, возможно, потребуется удалить, например разрешение для группы «Все», чтобы хотя бы просмотреть общий ресурс в более старых системах под управлением Windows 2000.
Заблокируйте NetBIOS на вашем сервере Windows, не давая этим портам TCP проходить через сетевой брандмауэр или персональный брандмауэр:
Отключите общий доступ к файлам и принтерам для сетей Microsoft на вкладке «Свойства» сетевого подключения аппарата для тех систем, которые в нем не нуждаются.
Ограничить анонимные подключения к системе. Для систем Windows NT и Windows 2000 вы можете установить для HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSARestrictAnonymous значение DWORD следующим образом:
Нет: это настройка по умолчанию.
Положитесь на разрешения по умолчанию (настройка 0) : этот параметр разрешает нулевые сеансы по умолчанию.
Не разрешать перечисление учетных записей и общих ресурсов SAM (настройка 1): это настройка среднего уровня безопасности. Этот параметр по-прежнему позволяет сопоставлять нулевые сеансы с IPC $, позволяя таким инструментам, как Walksam, получать информацию из системы.
Нет доступа без явных анонимных разрешений (параметр 2). Этот параметр высокой степени безопасности предотвращает нулевые сеансовые соединения и системное перечисление.
От Кевин Бивер
Хорошо известная уязвимость в Windows может сопоставить анонимное соединение (или нулевой сеанс ) со скрытым общим ресурсом, называемым IPC $ (что означает межпроцессное взаимодействие). Этот метод взлома может быть использован для
Хотя Windows Server 2008, Windows XP, Windows 7 и Windows 8 не разрешают нулевые сеансовые подключения по умолчанию, Windows 2000 Server делает - и (к сожалению) многие из этих систем все еще существуют, чтобы вызвать проблемы в большинстве сетей.
Карта нулевого сеанса
Выполните следующие действия для каждого компьютера Windows, с которым вы хотите сопоставить нулевой сеанс:
Чтобы подтвердить, что сеансы сопоставлены, введите эту команду в командной строке:
чистое использование
Вы должны увидеть сопоставления с общим ресурсом IPC $ на каждом компьютере, к которому вы подключены.
Сбор информации
При нулевом сеансе соединения вы можете использовать другие утилиты для удаленного сбора критически важной информации Windows. Десятки инструментов могут собрать этот тип информации.
Вы - как хакер - можете взять вывод этих программ перечисления и попытаться
Вы можете использовать следующие приложения для перечисления системы для серверных версий Windows до Server 2003, а также для Windows XP.
чистый вид
Команда net view показывает общие ресурсы, доступные хосту Windows. Вы можете использовать выходные данные этой программы, чтобы увидеть информацию о том, что сервер сообщает миру, и что можно с этим сделать, включая следующее:
Конфигурация и информация о пользователе
Winfo а также DumpSec может собрать полезную информацию о пользователях и конфигурациях, таких как
Ваше предпочтение может зависеть от того, любите ли вы графический интерфейс или командную строку. Winfo - это инструмент командной строки. Ниже приведена сокращенная версия вывода Winfo сервера Windows NT, но вы можете собрать ту же информацию из других систем Windows:
Winfo 2.0 - авторское право (c) 1999-2003, Арне Видстрем - http://www.ntsecurity.nu/toolbox/winfo/ ИНФОРМАЦИЯ О СИСТЕМЕ: - Версия ОС: 4.0 ПОЛИТИКА ПАРОЛЯ: - Время между окончанием времени входа в систему и принудительным выходом из системы: Нет принудительного выхода из системы - Максимальный срок действия пароля: 42 дня - Минимальный срок действия пароля: 0 дней - Длина истории паролей: 0 паролей - Минимальная длина пароля: 0 символов УЧЕТНЫЕ ЗАПИСИ ПОЛЬЗОВАТЕЛЯ: * Администратор (эта учетная запись является встроенной учетной записью администратора) * doctorx * Гость (эта учетная запись является встроенной учетной записью гостя) * IUSR_WINNT * kbeaver * nikki АКЦИИ: * ADMIN $ - тип: специальный ресурс, зарезервированный для IPC или административного ресурса * IPC $ - тип: неизвестен * здесь2Bhacked - тип: дисковод * C $ - Тип: Специальный ресурс, зарезервированный для IPC или административного ресурса * Финансы - Тип: Дисковод * HR - Тип: Дисковод
Эта информация не может быть получена из установки по умолчанию Windows Server 2003, Windows XP, Windows 7 или Windows 8.
Вы можете просмотреть вывод таких инструментов для идентификаторов пользователей, которые не принадлежат вашей системе, таких как
NetUsers
Инструмент NetUsers может показать, кто вошел в систему на удаленном компьютере Windows. Вы можете увидеть такую информацию как
Эта информация может помочь вам в целях аудита определить, кто входит в систему. К сожалению, эта информация может быть полезна для хакеров, когда они пытаются выяснить, какие идентификаторы пользователей доступны для взлома.
Контрмеры против нулевых сеансовых хаков
Если это имеет смысл для бизнеса и подходит время, перейдите на более безопасную Windows Server 2012 или Windows 7. У них нет уязвимостей, описанных в следующем списке.
Вы можете легко предотвратить взлом соединений с нулевым сеансом, применив одну или несколько из следующих мер безопасности:
В статье 246261 базы знаний Майкрософт приведены предостережения относительно использования параметра высокой безопасности для RestrictAnonymous. Он доступен в Интернете по адресу http://support.microsoft.com/default.aspx?scid=KB;en-us;246261 ,