windows xp sp2 pro 安全問題

**axpm0n** · 2007-11-12, 06:55 AM

請大家先照下面7步驟做，再來看後面結果，理論上應該是沒危險，但有問題：
1、Server服務請設定為"自動"，且確認狀態為"已啟動"。

2、電腦管理---共用，確認預設ADMIN$、C$、D$、E$、IPC$有開啟分享

3、Guest帳戶請啟用
A、群組原則—安全性選項---帳戶：Guest帳戶狀態，確認”已啟用”

B、電腦管理---使用者---Guest，確認Guest沒停用，”帳戶已停用”不要選。

C、電腦管理---使用者---Guest，Guest密碼不要設定，確認設定為空密碼。

4、防火牆請開通 TCP 139 445 開放給任何電腦，其他軟體防火牆也一樣，
IP分享器的防火牆也一樣開放TCP 139 445 給任何電腦。

5、群組原則---使用者權限指派---"拒絕從網路存取這台電腦"，移除Guest，確認清單無Guest。

6、我的電腦---工具(T)---資料夾選項---檢視，不要選取"使用簡易檔案共用"。

7、群組原則---稽核原則，如圖設定成，(成功，失敗)

以上7步驟設定完後，過幾分鐘後，各位會不會發現有人入侵跡象？
如下圖：電腦管理---安全性，會有一大堆稽核失敗的外來連線？
照理說，經過以上7步驟，也不會讓別人知道自己使用者名稱，
但是圖裡面藍色框user-name卻不斷被嘗試入侵，
我的user-name被知道了，遠端IP 62.1.24.19的駭客怎知我電腦使用者名稱？
竟然可以繞過user-name這一關直接試密碼，這是高明駭客的厲害，
我觀察這現象已有1年多了，幾乎每天都有數千次，還好駭客沒猜中密碼，
不曉的微軟有無補丁？

**mis339** · 2007-11-12, 10:35 AM

對方不知你的電腦名稱，只是可能用掃IP的方式掃到你的門戶大開，就進來逛逛。

**axpm0n** · 2007-11-12, 11:09 AM

作者：mis339

對方不知你的電腦名稱，只是可能用掃IP的方式掃到你的門戶大開，就進來逛逛。

沒在同一個區網，知道電腦名稱也沒作用吧，而且我發現從世界各國連進來都有，
並非區網其他電腦連進我的電腦，
補說我的網路環境：中華電信ADSL，沒有IP分享器，一台電腦直接連出去，
我只有設定一個管理者，就是預設的ADMINISTRATOR，
但是我把ADMINISTRATOR改名成一個很特別很長的名字，如 R2F05M9HH1 ，
照理說沒有人知道這名字，
但還是出現有人用R2F05M9HH1不斷地TRY，只差密碼沒猜對，
再把R2F05M9HH1改成其他，如A1AB2BC9C
對方照樣會改成A1AB2BC9C不斷地TRY，只差密碼沒猜對，
當他在猜時，也可從紀錄看出遠端有不明IP連進我電腦445PORT，
這是從事件記錄簿裡頭看到的，這現象已觀察1年多了，
我也不曉的他會知道我的管理者名稱？

**bx2aa** · 2007-11-12, 02:18 PM

只要改簡易共用就是使用 guest 帳號.
若以前有人連過 , 在 "檔案總管" 工具 "中斷網路磁碟機" 有 ICON 在.
那他每天都會連.
如果以前他是用自己的帳號連現在改為簡易共用, 每次連都是認證錯誤.

請先檢查您自己的檔案總管工具中斷網路磁碟機沒有任何東西?
鹰為您自己在連.

**axpm0n** · 2007-11-12, 03:55 PM

作者：bx2aa

只要改簡易共用就是使用 guest 帳號.
若以前有人連過 , 在 "檔案總管" 工具 "中斷網路磁碟機" 有 ICON 在.
那他每天都會連.
如果以前他是用自己的帳號連現在改為簡易共用, 每次連都是認證錯誤.

請先檢查您自己的檔案總管工具中斷網路磁碟機沒有任何東西?
鹰為您自己在連.

我這邊是單一電腦，不是區域網路，也從來沒讓別人知道管理者名稱，
別人如何使用我的磁碟當網路磁碟機？
我自己直接使用磁碟即可，幹麻MAPPING自己磁碟當網路磁碟機？
"中斷網路磁碟機"確實沒有任何東西，不是我自己連，
而且那IP 62.1.24.19 也不是我的IP，查了一下是希臘來，
你可以照我說的7步驟做看看，說不定你也會發現，就可以了解我說的。

**rogershu** · 2007-11-13, 03:44 PM

作者：axpm0n

沒在同一個區網，知道電腦名稱也沒作用吧，而且我發現從世界各國連進來都有，
並非區網其他電腦連進我的電腦，
補說我的網路環境：中華電信ADSL，沒有IP分享器，一台電腦直接連出去，
我只有設定一個管理者，就是預設的ADMINISTRATOR，
但是我把ADMINISTRATOR改名成一個很特別很長的名字，如 R2F05M9HH1 ，
照理說沒有人知道這名字，
但還是出現有人用R2F05M9HH1不斷地TRY，只差密碼沒猜對，
再把R2F05M9HH1改成其他，如A1AB2BC9C
對方照樣會改成A1AB2BC9C不斷地TRY，只差密碼沒猜對，
當他在猜時，也可從紀錄看出遠端有不明IP連進我電腦445PORT，
這是從事件記錄簿裡頭看到的，這現象已觀察1年多了，
我也不曉的他會知道我的管理者名稱？

在ms-windows的作業環境下，不管你把administrator改成什麼名稱，還是一樣掃的出來，

1、這台電腦目前有幾個帳號、帳號名稱、權限，都掃的出來。

2、這台電腦目前有那些分享資料夾及預設分享有無關閉，都掃的出來。

3、這台電腦目前有那些port開啟，進而判定有那些服務在運作，也都掃的出來。

既然帳號名掃的出來，那剩下的，就是密碼的問題了，用暴力破解法就可以了，
所以結論是：密碼設長一點，最好把windows的內建防火牆開啟，或加裝個ip分享器就搞定了。

**bx2aa** · 2007-11-13, 05:27 PM

作者：axpm0n

我這邊是單一電腦，不是區域網路，也從來沒讓別人知道管理者名稱，
別人如何使用我的磁碟當網路磁碟機？
我自己直接使用磁碟即可，幹麻MAPPING自己磁碟當網路磁碟機？
"中斷網路磁碟機"確實沒有任何東西，不是我自己連，
而且那IP 62.1.24.19 也不是我的IP，查了一下是希臘來，
你可以照我說的7步驟做看看，說不定你也會發現，就可以了解我說的。

群組原則中的網路存取:共用和安全模式用於本機帳號:僅適用於來賓 - 本機使用者以 guest 驗證
(PS: 簡易共用群組原則就會變上面的設定)

就算 administrators 內的任何帳號密碼被人知道
還是沒辦法連入, 因為連進來時的認證只會有username : guest 灰色然後只能輸入密碼.

不然請試試檔案總管工具連線網路磁碟機點使用其他使用者名稱連線
然後輸入您的 administrator 的帳號密碼.
看看 c$ d$ e$ ipc$ 有沒有任何一個能連成功?

而 xshare 任何人都能連入並不需要任何破解過程.

把群組原則中的網路存取:不允許 SAM 帳戶匿名列舉啟動