::Уязвимость RestrictAnonymous

Глобальная контрмера NT: ключ RestrictAnonymous

Начальная конфигурация поставки WindowsNT содержит крупную дыру в защите, с ней связаны почти все методы сбора информации в домене NT. Проблема в том, что ключ RestrictAnonymous – разрешает анонимным пользователям подключаться и просматривать определенные ресурсы без каких-либо полномочий. Эта дыра известна под разными названиями: уязвимость «Красной кнопки», подключение нулевым сеансом, анонимная регистрация в системе. В любом случае это одна из наиболее разрушительных для системной защиты опорных точек, которые ищутся взломщиками. Выполнить подключение несложно:

net use \\127.0.0.1\IPC$ “ “ /user: “ “

Здесь производится подключение к скрытому «разделяемому ресурсу» межпроцессорных коммуникаций (IPC$, Interprocess Communications) по IP-адресу (в качестве примера я вставил адрес localhost) и по встроенной учетной записи анонимного пользователя (/user “ “) с пустым (null) паролем (“ “). Если подключение будет успешным, атакующий получает открытый канал, через который можно пробовать разные методы вторжения для сбора как можно большего количества информации об исследуемой системе: сетевая информация, разделяемые ресурсы, пользователи, группы, ключи системного реестра и т.д.

Это прекрасный пример того, как корпорация Microsoft пытается облегчить жизнь пользователям. К счастью, вслед за Service Pack 3 был реализован механизм отключения данной возможности, чем могут воспользоваться все, кто не желает облегчить задачу взломщикам. Механизм называется «Ограничение анонимного пользователя», по названию ключа системного реестра (RestrictAnonymous).

Также для защиты от подключения нулевым сеансом я предлагаю выполнить следующие действия:

1.      Запустите regedit и перейдите в

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

2.      Выполните команду меню Edit | Add Value и введите следующие данные:

Value Name: RestrictAnonymous

Data Type: REG_DWORD

Value: 1

3.      Закройте редактор системного реестра и перезагрузите компьютер, чтобы изменение реестра вступило в силу.

Установка этого ключа на самом деле не блокирует анонимные подключения. Однако блокируется утечка большей части информации, доступной в нулевом сеансе. Одним известным исключением является программа sid2user, которая функционирует даже при ограничении действий анонимного пользователя.

Распространение без нашего ведома строго запрещено!!!
Статья является собственностью John Ext. 2001г