axpm0n
2007-11-20, 06:25 PM
開放Guest權限給網路使用者,先必須有下面8步驟:
1、網路連線---"File and Printer Sharing for Microsoft Networks"有安裝且打勾。
http://140.134.4.20/~d9036177/clp01.jpg
2、Server服務請設定為"自動",且確認狀態為"已啟動"。
http://140.134.4.20/~d9036177/clip_1.jpg
3、電腦管理---共用,確認預設ADMIN$、C$、D$、E$、IPC$有開啟分享
http://140.134.4.20/~d9036177/clip_2.jpg
4、Guest帳戶請啟用,電腦管理---使用者---Guest,確認Guest沒停用,
”帳戶已停用”不要選。
http://140.134.4.20/~d9036177/clip_4.jpg
5、電腦管理---使用者---Guest,Guest密碼不要設定,確認設定為空密碼。
http://140.134.4.20/~d9036177/clip_5.jpg
6、防火牆請開通 TCP 139 445 開放給任何電腦,其他軟體防火牆也一樣,
IP分享器的防火牆也一樣開放TCP 139 445 給任何電腦。
http://140.134.4.20/~d9036177/clip_6.jpg
7、群組原則---使用者權限指派---"拒絕從網路存取這台電腦",
移除Guest,確認清單無Guest
http://140.134.4.20/~d9036177/clip_7.jpg
8、我的電腦---工具(T)---資料夾選項---檢視,不要選取"使用簡易檔案共用"。
http://140.134.4.20/~d9036177/clip_8.jpg
開放Guest權限給網路使用者,理論上應該不會對本機電腦有害,
但有個工具getacct可以讓另一端的網路使用者知道本機電腦的所有使用者名稱,
getacct http://www.indianz.ch/tools/scan/getacct.zip
這樣就可以進一步再用暴力密碼來入侵本機電腦,
即使本機電腦在群組原則裡面設定:
網路存取:允許匿名SID/名稱轉譯----------已停用
網路存取:不允許SAM帳戶和共用的匿名列舉----已啟用
網路存取:不允許SAM帳戶的匿名列舉----已啟用
仍然會讓getacct得知所有使用者名稱,包括管理者名稱,
這算不算微軟的安全漏洞,向微軟建議會修改這漏洞嗎?
這漏洞怎會從2003年到現在都沒改?
如果取消上面8步驟,我有試過這樣getacct就無法得知使用者名稱,
但這樣也同時失去Guest分享功能,
想這邊確認一下,到底是
A、微軟安全漏洞,
B、還是有防止被知道使用者名稱的方法,但也同時開放Guest分享功能?
bx2aa
2007-11-20, 11:12 PM
只要使用了簡易共用
就算知道 administrator 帳號密碼, 無法從遠端登入.
僅能以 guest 登入.
axpm0n
2007-11-20, 11:25 PM
只要使用了簡易共用
就算知道 administrator 帳號密碼, 無法從遠端登入.
僅能以 guest 登入.
"簡易共用"這樣會限制管理者從遠端管理本機電腦,
本篇重點不在於如何防範來自網路攻擊,而在於:想這邊確認一下,到底是
A、微軟安全漏洞,以Guest權限卻獲得超越Guest權限範圍的資訊,應該催促微軟改善才對。
B、有防止被知道使用者名稱的方法,但也同時開放Guest分享功能?也不影響管理者從遠端管理本機電腦。
axpm0n
2007-11-21, 03:48 PM
從別人哪裡聽說,把Guest的成員隸屬所有群組移除,
預設是Guests群組,就是把Guests移除,
我試過這樣可以防止GETACCT得知本機電腦使用者名稱,
不過,移除Guests群組後,不會連帶影響其他方面功能?例如對於本機電腦使用者而言?
bx2aa
2007-11-21, 04:05 PM
"簡易共用"這樣會限制管理者從遠端管理本機電腦,
本篇重點不在於如何防範來自網路攻擊,而在於:想這邊確認一下,到底是
A、微軟安全漏洞,以Guest權限卻獲得超越Guest權限範圍的資訊,應該催促微軟改善才對。
B、有防止被知道使用者名稱的方法,但也同時開放Guest分享功能?也不影響管理者從遠端管理本機電腦。
既然知道 guest 密碼, 應該正常.
把 guest 設一下密碼就列不出 account 了.
網路存取:允許匿名SID/名稱轉譯----------已停用
網路存取:不允許SAM帳戶和共用的匿名列舉----已啟用
網路存取:不允許SAM帳戶的匿名列舉----已啟用
這幾個設定是知道 guest 的密碼, 讓 getacct140 列不出帳號屬性
我把 guest 密碼改為 123456
把上面三個原則都停用(預設值)
再以 getacct140 以 guest 123456 去抓可以抓到屬性
還是要先知道密碼.
axpm0n
2007-11-23, 03:41 AM
更正,移除群組可以防止GETACCT得知本機電腦使用者名稱,
但只是暫時,可能是套用新設定這短暫時間拒絕存取,
總之,移除群組這招無效,害我空歡喜一場。
回bx2aa:
看不太懂你說的?是說Guest要設密碼?
但是這樣就無法分享給訪客,有些分享就是不設密碼給任何人來使用,
這招還是會有影響分享功能,不太理想,
難道這真的是微軟安全漏洞?
bx2aa
2007-11-24, 12:37 AM
更正,移除群組可以防止GETACCT得知本機電腦使用者名稱,
但只是暫時,可能是套用新設定這短暫時間拒絕存取,
總之,移除群組這招無效,害我空歡喜一場。
回bx2aa:
看不太懂你說的?是說Guest要設密碼?
但是這樣就無法分享給訪客,有些分享就是不設密碼給任何人來使用,
這招還是會有影響分享功能,不太理想,
難道這真的是微軟安全漏洞?
samba 不能遠端更改檔案屬性
Microsoft 的可以, 那可以用 guest 和空密碼登入 不就是合法授權的使用者.
可以列舉帳號才能更改某個檔案屬性.
您所謂的這個漏洞先決條件要先把 "停用 guest" 點掉, 而且還要是空密碼, 才會洩漏 RID 對應的 account.
再加上使用簡易共用, 那洩露 RID 對應的帳號 並不危害到主機.
安全性選項裏 網路存取:共用和安全性模式用於本機帳戶 使用 傳統 - 本機使用者以自身身分驗證 那就可以不用 guest , 自己新增帳號密碼.
axpm0n
2007-11-24, 07:20 AM
用 guest 和空密碼登入 不就是合法授權的使用者.
可以列舉帳號才能更改某個檔案屬性.
你這麼說就是認為guest權限理所當然可以列舉帳號?
那請你用微軟內建或研發的工具或指令來示範列舉,我不相信可以,
要是可以,那更改帳號名稱就沒意義了。
事實上,網路上還有其他工具如 enum 、 local 等也號稱可列舉帳號,但是比較老舊,
我測試結果是不行的,換句話說,微軟是有防到enum 、 local,但還沒防到getacct
再加上使用簡易共用
安全性選項裏 網路存取:共用和安全性模式用於本機帳戶 使用 傳統 - 本機使用者以自身身分驗證
你是說建議用簡易共用?怎麼又繞回上面說的?
簡易共用有缺點,"簡易共用"會限制管理者從遠端管理本機電腦,
好比說管理者在遠端下指令 sc \\本機電腦 query wuauserv 就無法作用,
不能因為防範某個,卻也影響到其他吧!
bx2aa
2007-11-24, 04:52 PM
用 guest 和空密碼登入 不就是合法授權的使用者.
可以列舉帳號才能更改某個檔案屬性.
你這麼說就是認為guest權限理所當然可以列舉帳號?
那請你用微軟內建或研發的工具或指令來示範列舉,我不相信可以,
要是可以,那更改帳號名稱就沒意義了。
事實上,網路上還有其他工具如 enum 、 local 等也號稱可列舉帳號,但是比較老舊,
我測試結果是不行的,換句話說,微軟是有防到enum 、 local,但還沒防到getacct
再加上使用簡易共用
安全性選項裏 網路存取:共用和安全性模式用於本機帳戶 使用 傳統 - 本機使用者以自身身分驗證
你是說建議用簡易共用?怎麼又繞回上面說的?
簡易共用有缺點,"簡易共用"會限制管理者從遠端管理本機電腦,
好比說管理者在遠端下指令 sc \\本機電腦 query wuauserv 就無法作用,
不能因為防範某個,卻也影響到其他吧!
不需要用什麼工具或軟體, 簡單的電腦管理看看 users 群組有哪些帳號?
再看看 guest 空密碼 是不是驗證?
不然把 users 的
NT AUTHORITY/Authenication
NT AUTHORITY/INTERACTIVE
兩個群組移除看看, 若出問題與我無關喔!
用簡易共用是 xp profession 檔案總管 工具 資料夾選項 檢視 建議用 簡易共用
xp home 只能用簡易共用, 不用簡易共用; 不是把 gpedit.msc 和相關檔案複製到相對位置, 用 gpedit.msc 去改, 不然就是要用
c:\windows\system32\reg ADD HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ /v forceguest /t REG_DWORD /D 0 去改
guests 害我重裝好幾台電腦, 只因系統工程師的疏失.
guests 應該是停用的, 後來我請系統工程師把帳號的權限列給我看.
才發現, user ID 被加到 guests 難怪每次一重開機 user Profile 就不見.
公司用的, 要方便分享又不想每台電腦去改權限 那就要用 Domain Control
為了方便只用 guest 空密碼, 那就用簡易共用, 買 XP Home 就好了.
暫時討論到這裡, 我晚上裝一下 vmware 內的 XP Profession 再試.
bx2aa
2007-11-27, 12:09 AM
用 apimon 找 net.exe
共使用
loading 0x01000000 net.exe
loading 0x7c920000 ntdll.dll
loading 0x7c800000 kernel32.dll
loading 0x77be0000 msvcrt.dll
loading 0x77da0000 ADVAPI32.dll
loading 0x77e50000 RPCRT4.dll
loading 0x69a00000 NETAPI32.dll
loading 0x71a80000 MPR.dll
loading 0x77d10000 USER32.dll
loading 0x77ef0000 GDI32.dll
loading 0x5c2e0000 ShimEng.dll
loading 0x58600000 AcGenral.DLL
loading 0x76b10000 WINMM.dll
loading 0x76990000 ole32.dll
loading 0x770f0000 OLEAUT32.dll
loading 0x77bb0000 MSACM32.dll
loading 0x77bd0000 VERSION.dll
loading 0x773a0000 SHELL32.dll
loading 0x77f40000 SHLWAPI.dll
loading 0x759d0000 USERENV.dll
loading 0x5a410000 UxTheme.dll
loading 0x76300000 IMM32.DLL
loading 0x621f0000 LPK.DLL
loading 0x73fa0000 USP10.dll
loading 0x77180000 comctl32.dll
loading 0x5c820000 comctl32.dll
ApiMon>
因為 net users 可以查詢到使用者名稱, 且我是用 guest 登入的.
目前沒什麼發現.