Cảnh báo:
- Sự truy cập đến ổ cứng là một sự xâm nhập anh ninh nghiêm trọng, nếu một người tấn công không ánh xạ (map) đến ổ cứng, anh ta có thể thu thập được thông tin dễ dàng như: tài khoản, quyền Password, dữ liệu giống nhau mà anh ta có thể khai thác sau này để tiếp tục tấn công vào hệ thồng. cái này cò thể không rõ rảng với nạn nhân lúc đầu, người tấn công có thể mất thời gian để thu thập nhiều thông tin và lên kế hoạch cồ tình viết code để lại Trojan hay Virus. Mở những tập tin chia ssẻ đó sẽ làm cho Trojan dễ dàng làm được việc đó. Ví dụ, người tấn công có thể mang một chương trình Key Logger vào thư mục khởi đông để thu thập được nhiều thông tin hơn và có lẽ sẽ đang nhập vào lần sau với một chứng nhận người dùng hợp lý.
V. BIỆN PHÁP ĐỐI PHÓ VỚI KỸ THUẬT NULL SESSION:
- Kỹ thuật Null Session yêu cầu truy cập đến TCP cổng 139, hoặc TCP cổng 445.
- Bạn có thể tắt hết dịch vụ SMB trên ámy đơn bằng cách bỏ giao thức TCP/IP từ card mạng.
- Chỉnh sửa trong Registry để hạn chế người dùng nặc danh:
Biện pháp đối phó:
- “HKLM” chỉ đến nhánh “HKEY_LOCAL_MACHINE”. Nếu giá trị đó bằng “1” thì việc kế nồi đến bởi người nặc danh bị giới hạn. tuy nhiên người dùng nặc danh có thể kết nối tới chia sẻ IPC$ mặc dù anh ta đã bị ngăn cấm trong việc thu thập được thông tin trong quá trình kết nối. giá trị “1” ngăn ngừa người dùng nặc danh liệt kê được những thư mục chia sẻ & tài khoản người dùng từ tập tin SAM. Giá trị “2” được thêm ở Windows 2000, năn ngừa tất cả người dùng nặc danh truy cập trừ khi đã được thực hiện quá trình chứng thực. Vì thế, khóa Registry đầu tiên được kiểm tra:
HKLM\System\CurrentControlSet\Control\Lsa\Restrict Anonymous
Và những khóa Registry tiếp theo được kiểm tra kỹ:
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServe r\Parameters\NullSessionShares
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServe r\Parameters\NullSessionPipes
- Đó là những MULTI_SZ (multi-line string), những thông số Registry mà liệt kê những thông số thư mục chia sẽ & pipes, riêng biệt mà được mở tới Null Session. Những khóa này xác minh lại những thư mục chia sẽ và pipes được mở. hơn nữa, những thứ được mở cần phải được bảo mật như “SYSTEM” hay “Administrators” truy cập tới để chỉnh sửa những khóa đó.
- Trong Windows 2000, bộ luật bào vệ Domain được đặt ra để bảo vệ nó. Trên hệ thống mà không có Domain, “Local Security Policy” phải được đặt ra để ngăn ngừa việc kết nối nặc danh. Giá trị “No access without explicit anonymous permission” là bảo mật tốt nhất, nó tương đương với giá trị “2” trong Registry ở nhánh:
HKLM\System\CurrentControlSet\Control\Lsa\Restrict Anonymous được đề cập ở trên.
Biện pháp đối phó:
- Bước tiếp theo thích hợp cho việc không cho phép thừa nhận việc truy cập từ xa cho tài khoản đặc biệt và nhóm. Nó cẩn thận khóa cổng NetBIOS trên bức tường lửa, phân chia đường nhằm tăng khả năng bảo mật mạng. viêc khóa những cổng sau đó nhằm ngăn ngừa, chống lại kỹ thuật Null Session (tốt như phương pháp tấn công khác sử dụng NetBIOS):Biện pháp đối phó:
- Trong Windows Server 2003, bộ luật được gọi là truy cập mạng: không cho phép người nặc danh liệt kê những tài khoản trong file SAM &truy cập mạng. không cho phép người dùng nặc danh liệt kê những tài khoản trong file SAM & thay thế thư mục chie sẽ cấu hình Win 2000. chúng quản lý những giá trị Registry được gọi là RestrictAnonymousSam và RestrictAnonymous tương ứng. cả 2 giá trị đều nằm trong nhánh:
HKLM\System\CurrentControlSet\Control\Lsa\
- Cách thực hành tốt nhất là ngừng tất cả các dịch vụ mà nó không yêu cầu phục vụ hệ thống.