Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Null sessie beveilgen

12-09-2011, 10:45 door Anoniem, 13 reacties
Null sessie met IPC$

De NULL session is een verbinding tussen Windows-machines waarvoor geen gebruikersnaam en/of wachtwoord opgegeven dient te worden. Een NULL session geeft verbonden computers de mogelijkheid om heel eenvoudig informatie uit het systeem te extraheren. Zo kunnen gegevens over printers, gedeelde mappen, gebruikers of zelfs instellingen van het register uitgelezen worden. Positief is dat er niet echt veel geweten is over de null session, buiten de gebouwen van Microsoft.

Wat is hier de beste beveiliging voor?
Reacties (13)
12-09-2011, 11:38 door Bitwiper
Server service uitzetten? (Dat doe ik standaard op PC's, het levert heel soms problemen op bij beheerwerkzaamheden).

PS waar heb je die quote vandaan?
12-09-2011, 11:41 door SecOff
Firewall, NETBIOS uitschakelen, of Restrict Anonymous settings in registry of policy.
12-09-2011, 11:45 door Niby
Je kunt die NULL session uitzetten.


Voor Windows XP.
Na naar: Administrative Tools --> Local Security Policy --> Local Policies --> Security Options.

Deze 2 policies op Enabled zetten:
Network Access: Do not allow anonymous enumeration of SAM accounts: Enabled (Default)
Network Access: Do not allow anonymous enumeration of SAM accounts and shares: Enabled

of zelf in de regedt32 aanpassen.

HKLM\System\CurrentControlSet\Control\Lsa\RestrictAnonymous=1 (This disallows enumeration of shares)
HKLM\System\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM=1 (Default, not allowing enumeration of user accounts)

in Windows 7:
Open secpol.msc
Dan naar "local policies>security opties"
Zoek naar: Network access: Restrict anonymous access to named pipes and shares.
En die op Enabled zetten.
12-09-2011, 12:46 door [Account Verwijderd]
[Verwijderd]
12-09-2011, 13:11 door Niby
Door Peter V: secpol.msc is alleen aanwezig in W-7 Pro en Ultimate Niby...

Owja was ik helemaal vergeten! Bedankt Peter V!

Dan voor andere windows 7 gebruikers dit aanpassen in de regedit:
HKEY\SYSTEM\CurrentControlSet\Control\Lsa:
RestrictAnonymous = 1
Restrict AnonymousSAM = 1
EveryoneIncludesAnonymous = 0

HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:
RestrictNullSessAccess = 1
12-09-2011, 15:08 door Anoniem
Door Niby:
Door Peter V: secpol.msc is alleen aanwezig in W-7 Pro en Ultimate Niby...

Owja was ik helemaal vergeten! Bedankt Peter V!

Dan voor andere windows 7 gebruikers dit aanpassen in de regedit:
HKEY\SYSTEM\CurrentControlSet\Control\Lsa:
RestrictAnonymous = 1
Restrict AnonymousSAM = 1
EveryoneIncludesAnonymous = 0

HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:
RestrictNullSessAccess = 1


Ik neem aan dat die spatie bij de regkey "Restrict AnonymousSAM=1" daar niet thuishoort?
12-09-2011, 15:28 door Ilja. _V V
Door Peter V: secpol.msc is alleen aanwezig in W-7 Pro en Ultimate Niby...
Enterprise-versies hebben het ook. Als een andere versie zonder beleidseditoren opgenomen word in een Active Directory, kan van daaruit een beleid door gevoerd worden. Overigens overschrijft een AD- beleid altijd het bestaande, ongeacht versie of registerinstelling (Zie RSoP).

Door Bitwiper: PS waar heb je die quote vandaan?
Waarschijnlijk 1 van deze 2:
http://hacken.nickhermans.nl/?pagina=toegepast
http://www.mediatechweb.nl/~mt11721/hacken2/index.php?pagina=toegepast maar deze is netter:
http://www.multidesk.be/woordenboek/woordverklaring/472/NULL-session.html

Hier staan de downloadlocaties voor de Excel-spreadsheets met alle register-instellingen voor systemen die geen beleid ondersteunen. Dat er voor een rekenblad is gekozen heeft als voordeel dat het eenvoudig naar eigen wens kan worden bijgewerkt, het nadeel is echter dat de registerinstellingen zelf er niet bij staan. Dat moet de gebruiker zelf doen d.m.v. de gewenste register-instellingen zelf in een aparte kolom in te voeren:
http://www.microsoft.com/download/en/details.aspx?id=25250
12-09-2011, 15:39 door Anoniem
De quote kwam van http://hacken.nickhermans.nl/?pagina=toegepast
De reden waarom ik daar ging achter zoeken: iemand die mij zei dat dit een ernstig gevaar is...
Daarom speurde ik het net 'af' en stelde de vraag hier.
Bedankt voor de reacties, ik ben al iets wijzer geworden.
12-09-2011, 19:57 door Niby
Ik neem aan dat die spatie bij de regkey "Restrict AnonymousSAM=1" daar niet thuishoort?

U heeft gelijk!

Ze staan al in de regedit dus de naam niet veranderen!

restrictanonymous
restrictanonymoussam
everyoneincludesanonymous
restrictnullsessaccess
13-09-2011, 11:47 door Anoniem
Is het niet gewoon voldoende om " NETBIOS" over TCP/IP uit te zetten in je netwerk instellingen?
13-09-2011, 23:44 door Ilja. _V V
Door Anoniem: (...)
(...)Positief is dat er niet echt veel geweten is over de null session, buiten de gebouwen van Microsoft.
Ik heb even doorgezocht & met de volgende zoekstring heb ik de resultaten terug gebracht tot 76:

http://www.google.nl/search?hl=nl&source=hp&q=site%3Amicrosoft.com+interprocess+communications+%22null+session%22+IPC%24&meta=&aq=f&oq=

Daarna nog eens iets verfijnd waarna er 6 overbleven:

http://www.google.nl/search?hl=nl&source=hp&q=site%3Amicrosoft.com+%22interprocess+communications%22+%22null+session%22+IPC%24&meta=&aq=f&oq=#q=site:microsoft.com+%22interprocess+communications%22+%22null+session%22+IPC%24&hl=nl&prmd=imvns&filter=0&bav=on.2,or.r_gc.r_pw.&fp=a4ede1a860e9b785&biw=774&bih=350

Heb het zelf nog niet doorgenomen, maar vind het razend interessant, want ik zit me al jaren af te vragen wat nou die functie van IPC$ is , die je ook terug vindt als je RMK Deze computer, Beheren.., Gedeelde mappen & dan bij Shares gaat kijken.
14-09-2011, 12:39 door Blackchronicle
ipc = onderdeel van:

https://secure.wikimedia.org/wikipedia/en/wiki/Server_Message_Block
16-09-2011, 12:04 door Anoniem
Kun je niet inkomende netbios verbindingen zowieso gewoon blokkeren. Om gebruik te maken van het netwerk volstaat volgens mij ook alleen de outgoing connections 135/139-445?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.