none
如何消除SMB带来的风险 RRS feed

  • 问题

  • 近日在使用绿盟远程安全评估设备扫描时,发现公司的一台windows 2003 sp2 的AD主域服务器(也是文件共享服务器)存在三个中风险的安全漏洞:

       1. 主机SID信息可通过SMB远程获取  
       2.利用主机SID可以获取本地用户名列表
       3.域SID信息可通过SMB远程获取

    对风险1的建议是:

    NSFOCUS建议您采取以下措施以降低威胁:
    * 可以限制匿名用户对Windows NT/2000/XP/系统的LSA组件的访问,这可以避免匿名用户通过LSA获取系统的一些公开信息,例如SID信息。
    具体方法可参考如下步骤:
    Windows 2000
    在“开始 > 运行...”或者命令行窗口中运行注册表编辑器(regedt32.exe), 找到下列键:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    增加或者修改键值"RestrictAnonymous" ---------------------》改了,但没有效果

    键值: RestrictAnonymous
    类型: REG_DWORD
    数据: 0x2 (十六进制)
    重启系统使注册表修改生效。


    或者您也可以使用下面的方法:
    打开控制面版 -- 管理工具 -- 本地安全策略(如果是域控制器则是“域安全策略”),
    在其中的本地策略 -- 安全选项中设置“对匿名连接的额外限制”,----------------------》windows 2003中没找到这个选项
    选择“没有显式匿名权限就无法访问”,重启系统。
    注:Windows XP和NT只能通过关闭共享服务来禁止匿名获取SID。

    * 如果您并不需要提供网络共享服务,可以完全关闭共享。,----------------------》文件共享服务器,不能关闭共享

    * 在网关设备或边界防火墙上过滤对内网主机下列端口的访问:。。。。。,----------------------》不适用我的环境

    注意这不能防止内部恶意用户的攻击。如需防止内部恶意用户的攻击,需要安装主机防火墙软件或者启用Windows自带的TCP/IP筛选机制来过滤上述端口。

    对风险2的建议是:

    * 可以限制匿名用户对Windows NT/2000/XP系统的LSA组件的访问,这可以避免匿名用户通过LSA获取系统的一些公开信息,例如用户列表信息。

    具体方法可参考如下步骤:

    《1》 Windows 2000
    在“开始 > 运行...”或者命令行窗口中运行注册表编辑器(regedt32.exe), 找到下列键:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    增加或者修改键值"RestrictAnonymous"      ----------------------》windows 2003中试过没用
    键值: RestrictAnonymous
    类型: REG_DWORD
    数据: 0x2 (十六进制)
    重启系统使注册表修改生效。

    或者您也可以使用下面的方法:
    打开控制面版 -- 管理工具 -- 本地安全策略(如果是域控制器则是“域安全策略”),
    在其中的本地策略 -- 安全选项中设置“对匿名连接的额外限制”,-----------------------------》windows 2003中没找到这个选项
    选择“没有显式匿名权限就无法访问”,重启系统。

    《2》Windows XP
    Windows XP缺省禁止用户远程通过SID或者win32 API调用列举用户。
    如果您发现您的系统仍然可以列举用户,您可以使用如下方法:
    打开控制面版 -- 管理工具 -- 本地安全策略(如果是域控制器则是“域安全策略”),在其中的本地策略 -- 安全选项中
    选择“网络访问:允许匿名 SID/名称 转换”,双击,选择“已停用”。  ----------------------》windows 2003中试过没效果

    * 如果您并不需要提供网络共享服务,可以完全关闭共享。(不适用)

    * 在网关设备或边界防火墙上过滤对内网主机下列端口的访问。(不适用)

    对风险3的建议操作,基本上包含在前面几个问题里。

    这些操作能试的我都试过了,但都没有效果。目前我已经在域控制器策略里把下面三个选项启用了:

    网络访问: 不允许 SAM 帐户的匿名枚举(启用);网络访问: 不允许 SAM 帐户和共享的匿名枚举(启用);网络访问: 允许匿名 SID/名称转换(禁用)

    漏洞扫描照样可以扫描出这三个漏洞来。

    到底我该怎么解决这三个漏洞呢?


    magic


    2013年9月17日 14:53