windows xp sp2 pro 安全問題





axpm0n
2007-11-12, 06:55 AM
請大家先照下面7步驟做,再來看後面結果,理論上應該是沒危險,但有問題:
1、Server服務請設定為"自動",且確認狀態為"已啟動"。
http://140.134.4.20/~d9036177/clip_1.jpg
2、電腦管理---共用,確認預設ADMIN$、C$、D$、E$、IPC$有開啟分享
http://140.134.4.20/~d9036177/clip_2.jpg
3、Guest帳戶請啟用
A、 群組原則—安全性選項---帳戶:Guest帳戶狀態,確認”已啟用”
http://140.134.4.20/~d9036177/clip_3.jpg
B、 電腦管理---使用者---Guest,確認Guest沒停用,”帳戶已停用”不要選。
http://140.134.4.20/~d9036177/clip_4.jpg
C、 電腦管理---使用者---Guest,Guest密碼不要設定,確認設定為空密碼。
http://140.134.4.20/~d9036177/clip_5.jpg
4、防火牆請開通 TCP 139 445 開放給任何電腦,其他軟體防火牆也一樣,
IP分享器的防火牆也一樣開放TCP 139 445 給任何電腦。
http://140.134.4.20/~d9036177/clip_6.jpg
5、群組原則---使用者權限指派---"拒絕從網路存取這台電腦",移除Guest,確認清單無Guest。
http://140.134.4.20/~d9036177/clip_7.jpg
6、我的電腦---工具(T)---資料夾選項---檢視,不要選取"使用簡易檔案共用"。
http://140.134.4.20/~d9036177/clip_8.jpg
7、群組原則---稽核原則,如圖設定成,(成功,失敗)
http://140.134.4.20/~d9036177/clip_9.jpg
以上7步驟設定完後,過幾分鐘後,各位會不會發現有人入侵跡象?
如下圖:電腦管理---安全性,會有一大堆稽核失敗的外來連線?
照理說,經過以上7步驟,也不會讓別人知道自己使用者名稱,
但是圖裡面藍色框user-name卻不斷被嘗試入侵,
我的user-name被知道了,遠端IP 62.1.24.19的駭客怎知我電腦使用者名稱?
竟然可以繞過user-name這一關直接試密碼,這是高明駭客的厲害,
我觀察這現象已有1年多了,幾乎每天都有數千次,還好駭客沒猜中密碼,
不曉的微軟有無補丁?
http://140.134.4.20/~d9036177/clip_10.jpg




mis339
2007-11-12, 10:35 AM
對方不知你的電腦名稱,只是可能用掃IP的方式掃到你的門戶大開,就進來逛逛。

axpm0n
2007-11-12, 11:09 AM
對方不知你的電腦名稱,只是可能用掃IP的方式掃到你的門戶大開,就進來逛逛。
沒在同一個區網,知道電腦名稱也沒作用吧,而且我發現從世界各國連進來都有,
並非區網其他電腦連進我的電腦,
補說我的網路環境:中華電信ADSL,沒有IP分享器,一台電腦直接連出去,
我只有設定一個管理者,就是預設的ADMINISTRATOR,
但是我把ADMINISTRATOR改名成一個很特別很長的名字,如 R2F05M9HH1 ,
照理說沒有人知道這名字,
但還是出現有人用R2F05M9HH1不斷地TRY,只差密碼沒猜對,
再把R2F05M9HH1改成其他,如A1AB2BC9C
對方照樣會改成A1AB2BC9C不斷地TRY,只差密碼沒猜對,
當他在猜時,也可從紀錄看出遠端有不明IP連進我電腦445PORT,
這是從事件記錄簿裡頭看到的,這現象已觀察1年多了,
我也不曉的他會知道我的管理者名稱?

bx2aa
2007-11-12, 02:18 PM
只要改簡易共用就是使用 guest 帳號.
若以前有人連過 , 在 "檔案總管" 工具 "中斷網路磁碟機" 有 ICON 在.
那他每天都會連.
如果以前他是用自己的帳號連現在改為簡易共用, 每次連都是認證錯誤.

請先檢查您自己的檔案總管 工具 中斷網路磁碟機 沒有任何東西?
鹰為您自己在連.

axpm0n
2007-11-12, 03:55 PM
只要改簡易共用就是使用 guest 帳號.
若以前有人連過 , 在 "檔案總管" 工具 "中斷網路磁碟機" 有 ICON 在.
那他每天都會連.
如果以前他是用自己的帳號連現在改為簡易共用, 每次連都是認證錯誤.

請先檢查您自己的檔案總管 工具 中斷網路磁碟機 沒有任何東西?
鹰為您自己在連.
我這邊是單一電腦,不是區域網路,也從來沒讓別人知道管理者名稱,
別人如何使用我的磁碟當網路磁碟機?
我自己直接使用磁碟即可,幹麻MAPPING自己磁碟當網路磁碟機?
"中斷網路磁碟機"確實沒有任何東西,不是我自己連,
而且那IP 62.1.24.19 也不是我的IP,查了一下是希臘來,
你可以照我說的7步驟做看看,說不定你也會發現,就可以了解我說的。

rogershu
2007-11-13, 03:44 PM
沒在同一個區網,知道電腦名稱也沒作用吧,而且我發現從世界各國連進來都有,
並非區網其他電腦連進我的電腦,
補說我的網路環境:中華電信ADSL,沒有IP分享器,一台電腦直接連出去,
我只有設定一個管理者,就是預設的ADMINISTRATOR,
但是我把ADMINISTRATOR改名成一個很特別很長的名字,如 R2F05M9HH1 ,
照理說沒有人知道這名字,
但還是出現有人用R2F05M9HH1不斷地TRY,只差密碼沒猜對,
再把R2F05M9HH1改成其他,如A1AB2BC9C
對方照樣會改成A1AB2BC9C不斷地TRY,只差密碼沒猜對,
當他在猜時,也可從紀錄看出遠端有不明IP連進我電腦445PORT,
這是從事件記錄簿裡頭看到的,這現象已觀察1年多了,
我也不曉的他會知道我的管理者名稱?

在ms-windows的作業環境下,不管你把administrator改成什麼名稱,還是一樣掃的出來,

1、這台電腦目前有幾個帳號、帳號名稱、權限,都掃的出來。

2、這台電腦目前有那些分享資料夾及預設分享有無關閉,都掃的出來。

3、這台電腦目前有那些port開啟,進而判定有那些服務在運作,也都掃的出來。



既然帳號名掃的出來,那剩下的,就是密碼的問題了,用暴力破解法就可以了,
所以結論是:密碼設長一點,最好把windows的內建防火牆開啟,或加裝個ip分享器就搞定了。:fd:

bx2aa
2007-11-13, 05:27 PM
我這邊是單一電腦,不是區域網路,也從來沒讓別人知道管理者名稱,
別人如何使用我的磁碟當網路磁碟機?
我自己直接使用磁碟即可,幹麻MAPPING自己磁碟當網路磁碟機?
"中斷網路磁碟機"確實沒有任何東西,不是我自己連,
而且那IP 62.1.24.19 也不是我的IP,查了一下是希臘來,
你可以照我說的7步驟做看看,說不定你也會發現,就可以了解我說的。
群組原則中的 網路存取:共用和安全模式用於本機帳號:僅適用於來賓 - 本機使用者以 guest 驗證
(PS: 簡易共用群組原則就會變上面的設定)

就算 administrators 內的任何帳號密碼被人知道
還是沒辦法連入, 因為連進來時的認證只會有username : guest 灰色 然後只能輸入密碼.

不然請試試 檔案總管 工具 連線網路磁碟機 點使用其他使用者名稱連線
然後輸入 您的 administrator 的帳號密碼.
看看 c$ d$ e$ ipc$ 有沒有任何一個能連成功?

而 xshare 任何人都能連入並不需要任何破解過程.

把 群組原則中的 網路存取:不允許 SAM 帳戶匿名列舉 啟動

axpm0n
2007-11-13, 06:48 PM
在ms-windows的作業環境下,不管你把administrator改成什麼名稱,還是一樣掃的出來,

1、這台電腦目前有幾個帳號、帳號名稱、權限,都掃的出來。

:fd:
喔~是這樣嗎?那我現在的環境就是已經按照上述7步驟做過,
你可以掃出我的電腦有幾個帳號、帳號名稱、權限?然後把它列出,
我的電腦網址 abcd.eft.com (暫時不開放)
可以用指令 nslookup abcd.eft.com
查出我的IP,然後可以掃出帳號嗎?