شناسایی 10حفره بزرگ ویندوز و نحوه بستن آنها (قسمت ششم) (شماره 61)

اگر xp دارید فایروال آن را به کار اندازید (این کار باکلیک راست روی منوی شبکه و گرفتن properties میسر است.
بعد به سراغ networking بروید و پروتکل TCP را آبی کنید و از روی آن properties بگیرید و به داخل advanced بروید. سپس روی منوی wins بروید و NetBios خود را کاملا disable کنید.
اگر مودمی هستید در روی منوی شبکه تیکی به نام client for microsoft را بردارید و بعد به عنوان یک کاربر روی درایوها بروید و با گرفتن properties ابتدا Security را برگزینید و فهرست everyone و... را بسته به کار خود حذف کنید.
از راه Groupe policy editor و از روی Administrator tools در control panel نیز می توانید آن را انجام دهید.
وقتی روی اینترنت هستید با account ، Admin خود صفحات وب را مرور نکنید ؛ بلکه یک User عادی تعریف کنید و با آن روی اینترنت بروید.
به Shareهای بی هویت اجازه ورود ندهید و فورا آنها را disable کنید.
اگر مجبور شدید یک فایل جدید و بی مصرف را روی درایو غیربرنامه ای خود بسازید و آن را share کنید ، اجازه دسترسی کامل را از کاربر خود بگیرید.
یک IP ویژه به آن اختصاص دهید؛ اما نام DSN خود را طور دیگری برگزینید و در آخر پورتهایی که sharing ویندوز از آن استفاده می کنید را ببندید.
پورت نت بایوس را طبق گفته قبلی از کار بیندازید و یک فایروال قوی پشت روتر و سیستم بگذارید تا خطاها کمتر شود.
پورتهایی که باید از کار بیفتد 137 و 139 روی TCP و 137 و 139 روی UDP و 445 روی TCP و UDP هستند.
5- راه بعدی نفوذ به نفوذ به ویندوز از طریق وارد شدن به سیستم به طریقه ناشناس و بی نام (anonymous Logon) است.


نحوه ورود از طریق ناشناس به وسیله ارتباطات پوچ یا (Null session) انجام می گیرد.
با این کار دسترسی به فایلهای به اشتراک گذاشته شده روی شبکه فهرست کاربران در دسترس قرار گرفته و کاربرناشناس بدون گرفتن تاییدیه وارد سیستم می شود.
معمولا از محیط اکسپلورر روی ویندوز و تست کردن فرمان های مورد نظر می توان چنین کاری را انجام داد.
در ویندوز 2000 و NT و XP، Logon کردن به ماشین از طریق Accuont System کار سختی نیست.


معمولا اکانت سیستم به هنگام بحرانی شدن ماشین استفاده شده تا کاربر بتواند وارد سیستم شود و اطلاعات خود را بازیابی کند.
در واقع وقتی یک کاربر می خواهد دیتای خود را از یک ماشین بازیابی کند ، Accuont System فعال شده و اجازه می دهد تا از طریق کنترل از راه دور وارد سیستم شود.
مثلا وقتی کلمه عبور را گم می کنید و راهبر مجددا آن را برایتان پست می کند در واقع logon از طریق Accuont System و از روی ماشین راهبر انجام می شود.
Accuont System نیازی به داشتن کلمه عبور ندارد؛ اما نمی تواند درون سایر سیستم ها برود و تنها روی همان ماشین حمله انجام می گیرد.
پس هکر درون Null session نفوذ می کند.
بر روی سایتهای هکری انواع مدلهای نفوذ به سیستم از طریق Null session ذکر شده است.


مثلا با دستور زیر می توانید روی یک رایانه نحوه ورود به Null session را تست کنید:
""""net use \\a.b.c.d\ipc$""""/user
در این صورت a.b.c.d همان IP مورد نظر شماست و user نیز همان اسم کاربری که شما به آن logon کرده یا خواهید کرد ، است.


اگر این دستور جواب داد ، بدانید سیستم شما کاملا آسیب پذیر است و اگر جواب خطا را برای شما پس فرستاد، بدانید سیستم شما نفوذ ناپذیراست.


سایت زیر معمولا روی این مباحث به صورت کاملا علمی کار می کند و تازه ترین حفره ها را از این طریق روی سیستم های NT می شناساند:

http://www.foundstone.com/