Inhaltsverzeichnis:
- Eine Nullsitzung zuordnen
- Mit einer Nullsitzungsverbindung können Sie andere Dienstprogramme verwenden, um wichtige Windows-Informationen aus der Ferne zu sammeln. Dutzende von Tools können diese Art von Informationen sammeln. Sie können - wie ein Hacker - die Ausgabe dieser Enumerationsprogramme übernehmen und versuchen,
- Sie können Verbindungssperrungen für Nullsitzungen ganz einfach verhindern, indem Sie eine oder mehrere der folgenden Sicherheitsmaßnahmen implementieren:
Video: How Not To Die: The Role of Diet in Preventing, Arresting, and Reversing Our Top 15 Killers 2025
Eine bekannte Sicherheitsanfälligkeit in Windows kann eine anonyme Verbindung (oder Nullsitzung) einer verborgenen Freigabe namens IPC $ (die für Interprozesskommunikation). Diese Hackmethode kann verwendet werden, um
-
Windows-Hostkonfigurationsinformationen zu sammeln, z. B. Benutzer-IDs und Freigabenamen.
-
Bearbeiten Sie Teile der Registrierung des Remotecomputers.
Obwohl Windows Server 2008, Windows XP, Windows 7 und Windows 8 standardmäßig keine Nullsitzungsverbindungen zulassen, funktioniert Windows 2000 Server - und (leider) sind viele dieser Systeme noch vorhanden, um in den meisten Netzwerken Probleme zu verursachen.
Eine Nullsitzung zuordnen
Führen Sie die folgenden Schritte für jeden Windows-Computer aus, dem Sie eine Nullsitzung zuordnen möchten:
-
Formatieren Sie den grundlegenden net-Befehl wie folgt:
net use host_name_or_IP_addressipc $ "" / user: "
Der Befehl net zum Zuordnen von Nullsitzungen erfordert folgende Parameter:
-
net gefolgt vom Befehl use
-
Die IP-Adresse oder der Hostname des Systems, dem Sie eine Verbindung zuordnen möchten. Nullverbindung
-
Ein leeres Kennwort und Benutzername
-
-
Drücken Sie die Eingabetaste, um die Verbindung herzustellen.
Nachdem Sie die Nullsitzung zugeordnet haben, sollte die Nachricht angezeigt werden. Der Befehl wurde erfolgreich ausgeführt.
Um zu bestätigen, dass die Sitzungen zugeordnet sind, geben Sie diesen Befehl an der Eingabeaufforderung ein:
net use
Sie sollten die Zuordnungen zur IPC $ -Freigabe auf jedem Computer sehen, mit dem Sie verbunden sind. >
Mit einer Nullsitzungsverbindung können Sie andere Dienstprogramme verwenden, um wichtige Windows-Informationen aus der Ferne zu sammeln. Dutzende von Tools können diese Art von Informationen sammeln. Sie können - wie ein Hacker - die Ausgabe dieser Enumerationsprogramme übernehmen und versuchen,
die Passwörter der gefundenen Benutzer zu knacken.
Ordnet Laufwerke den Netzwerkfreigaben zu.
-
Sie können die folgenden Anwendungen für die Systemaufzählung für Serverversionen von Windows vor Server 2003 sowie Windows XP verwenden.
-
net view
Der Befehl net view zeigt Freigaben an, die der Windows-Host verfügbar hat. Sie können die Ausgabe dieses Programms verwenden, um Informationen zu sehen, die der Server für die Welt annonciert und was damit getan werden kann, einschließlich der folgenden:
Teilen Sie Informationen, mit denen ein Hacker Ihre Systeme angreifen kann, z. und knacken Passwörter teilen.
Freigabeberechtigungen, die möglicherweise entfernt werden müssen, z. B. die Berechtigung für die Gruppe "Jeder", um die Freigabe auf älteren Windows 2000-basierten Systemen zumindest anzuzeigen.
-
Konfiguration und Benutzerinformationen
-
Winfo und DumpSec können nützliche Informationen zu Benutzern und Konfigurationen sammeln, z. B.
Windows-Domäne, zu der das System gehört
Sicherheitsrichtlinieneinstellungen
-
Lokale Benutzernamen
-
Laufwerkfreigaben
-
Ihre Präferenz hängt möglicherweise davon ab, ob Sie grafische Oberflächen oder eine Befehlszeile mögen.Winfo ist ein Befehlszeilentool. Das folgende ist eine abgekürzte Version von Winfo Ausgabe eines Windows NT-Servers, aber Sie können die gleichen Informationen von anderen Windows-Systemen sammeln:
-
Winfo 2. 0 - Copyright (c) 1999-2003, Arne Vidstrom - // www. Sicherheit. nu / toolbox / winfo / SYSTEMINFORMATION: - Betriebssystemversion: 4. 0 PASSWORTPOLITIK: - Zeit zwischen Ende der Anmeldezeit und erzwungener Abmeldung: Keine erzwungene Abmeldung - Maximales Kennwortalter: 42 Tage - Minimales Kennwortalter: 0 Tage - Kennwortverlauf Länge: 0 Passwörter - Minimale Passwortlänge: 0 Zeichen BENUTZERKONTEN: * Administrator (Dieses Konto ist das integrierte Administratorkonto) * doctorx * Gast (Dieses Konto ist das integrierte Gastkonto) * IUSR_WINNT * kbeaver * nikki SHARES: * ADMIN $ - Typ: Sonderfreigabe für IPC oder administrative Freigabe reserviert * IPC $ - Typ: Unbekannt * Here2Bhacked - Typ: Laufwerk * C $ - Typ: Sonderfreigabe für IPC oder administrative Freigabe reserviert * Finanzen - Typ: Laufwerk * HR - Typ: Laufwerk
Diese Informationen können nicht von einer Standardinstallation von Windows Server 2003, Windows XP, Windows 7 oder Windows 8 abgerufen werden.
Sie können die Ausgabe dieser Tools für Benutzer-IDs lesen, die nicht t gehören zu Ihrem System, z. B.
Ex-Mitarbeiter-Konten, die nicht deaktiviert wurden
Mögliche Backdoor-Konten, die ein Hacker möglicherweise erstellt hat
-
NetUsers
-
Das NetUsers-Tool kann anzeigen, wer sich bei einem Remote-Windows-Computer angemeldet hat. Sie können Informationen wie
Missbrauchte Kontoberechtigungen
Benutzer, die derzeit am System angemeldet sind,
-
anzeigen. Mit diesen Informationen können Sie zu Prüfzwecken verfolgen, wer sich bei einem System anmeldet. Unglücklicherweise können diese Informationen für Hacker nützlich sein, wenn sie versuchen herauszufinden, welche Benutzer-IDs verfügbar sind, um zu knacken.
-
Gegenmaßnahmen gegen Null-Sitzungs-Hacks
Wenn es betriebswirtschaftlich sinnvoll ist und das Timing stimmt, aktualisieren Sie auf den sichereren Windows Server 2012 oder Windows 7. Sie haben nicht die in der folgenden Liste beschriebenen Sicherheitsanfälligkeiten.
Sie können Verbindungssperrungen für Nullsitzungen ganz einfach verhindern, indem Sie eine oder mehrere der folgenden Sicherheitsmaßnahmen implementieren:
NetBIOS auf Ihrem Windows-Server blockieren, indem Sie verhindern, dass diese TCP-Ports durch Ihre Netzwerkfirewall oder Personal Firewall gehen:
(NetBIOS-Sitzungsdienste)
-
445 (führt SMB über TCP / IP ohne NetBIOS aus)
-
Deaktivieren Sie die Datei- und Druckerfreigabe für Microsoft-Netzwerke auf der Registerkarte Eigenschaften der Netzwerkverbindung des Computers für diejenigen Systeme, die diese nicht benötigen.
-
Schränken Sie anonyme Verbindungen zum System ein. Für Windows NT- und Windows 2000-Systeme können Sie HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSARestrictAnonymous wie folgt auf einen DWORD-Wert setzen:
-
-
None:
-
Dies ist die Standardeinstellung.
-
Verlassen Sie sich auf Standardberechtigungen (Einstellung 0):
-
Diese Einstellung ermöglicht die standardmäßigen Nullsitzungsverbindungen. Auflistung von SAM-Accounts und Shares nicht zulassen (Einstellung 1): Dies ist die Einstellung für die mittlere Sicherheitsstufe. Diese Einstellung ermöglicht weiterhin die Zuordnung von Nullsitzungen zu IPC $, sodass Tools wie Walksam Informationen vom System erfassen können.
-
Kein Zugriff ohne explizite anonyme Berechtigungen (Einstellung 2): Diese Einstellung für hohe Sicherheit verhindert Nullsitzungsverbindungen und Systemaufzählung.
-
Microsoft Knowledge Base-Artikel 246261 behandelt die Vorbehalte bei der Verwendung der Einstellung für hohe Sicherheit für RestrictAnonymous. Es ist im Internet unter // support verfügbar. Microsoft. com / default. Aspx? scid = KB; en-us; 246261.
-
