開放Guest權限給網路使用者,先必須有下面8步驟:
1、網路連線---"File and Printer Sharing for Microsoft Networks"有安裝且打勾。
http://140.134.4.20/~d9036177/clp01.jpg
2、Server服務請設定為"自動",且確認狀態為"已啟動"。
http://140.134.4.20/~d9036177/clip_1.jpg
3、電腦管理---共用,確認預設ADMIN$、C$、D$、E$、IPC$有開啟分享
http://140.134.4.20/~d9036177/clip_2.jpg
4、Guest帳戶請啟用,電腦管理---使用者---Guest,確認Guest沒停用,
”帳戶已停用”不要選。
http://140.134.4.20/~d9036177/clip_4.jpg
5、電腦管理---使用者---Guest,Guest密碼不要設定,確認設定為空密碼。
http://140.134.4.20/~d9036177/clip_5.jpg
6、防火牆請開通 TCP 139 445 開放給任何電腦,其他軟體防火牆也一樣,
IP分享器的防火牆也一樣開放TCP 139 445 給任何電腦。
http://140.134.4.20/~d9036177/clip_6.jpg
7、群組原則---使用者權限指派---"拒絕從網路存取這台電腦",
移除Guest,確認清單無Guest
http://140.134.4.20/~d9036177/clip_7.jpg
8、我的電腦---工具(T)---資料夾選項---檢視,不要選取"使用簡易檔案共用"。
http://140.134.4.20/~d9036177/clip_8.jpg
開放Guest權限給網路使用者,理論上應該不會對本機電腦有害,
但有個工具getacct可以讓另一端的網路使用者知道本機電腦的所有使用者名稱,
getacct http://www.indianz.ch/tools/scan/getacct.zip
這樣就可以進一步再用暴力密碼來入侵本機電腦,
即使本機電腦在群組原則裡面設定:
網路存取:允許匿名SID/名稱轉譯----------已停用
網路存取:不允許SAM帳戶和共用的匿名列舉----已啟用
網路存取:不允許SAM帳戶的匿名列舉----已啟用
仍然會讓getacct得知所有使用者名稱,包括管理者名稱,
這算不算微軟的安全漏洞,向微軟建議會修改這漏洞嗎?
這漏洞怎會從2003年到現在都沒改?
如果取消上面8步驟,我有試過這樣getacct就無法得知使用者名稱,
但這樣也同時失去Guest分享功能,
想這邊確認一下,到底是
A、微軟安全漏洞,
B、還是有防止被知道使用者名稱的方法,但也同時開放Guest分享功能?
書籤