IPC$-Freigabe als Sicherheitsloch

Man liest häufig, dass man in Netzwerken die administrativen Freigaben deaktivieren soll, da sie eine Sicherheitslücke darstellen.Standardmäßig sind sie auf XP-Prof-Maschinen aktiviert.Es gibt drei Typen : c$ (und andere Laufwerkbuchstaben mit dem Dollar-Zeichen, je nachdem ); admin$ und ipc$.Der erste Typ gewährt mit Admin-Kennwort dem Administrator auch ohne irgendwelche gesetzen Freigaben den Gesamtzugriff auf das Dateisystem des Remote-Rechners,bei admin$ gilt das Gleiche für den %systemroot%-Ordner. IPC$ steht für Inter Process Communication und ermöglicht Admins (aber auch allen, die das Admin-Kennwort kennen) Aktionen auf dem entfernten Rechner.
Häufig findet man in Netzwerk-Tutorials die Sicherheitsempfehlung, die administrativen Freigaben zu deaktivieren, in dem man in dem Registry-Schlüssel :
HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters den Eintrag : AutoShareWks auf 0 setzt (standardmäßig ist der Eintrag nicht vorhanden und muss erst manuell gesetzt werden; bei Servern : AutoShareServer. Das Nichtvorhandensein bedeutet aber, dass die administrativen Freigaben gelten !).
Deaktiviert wird durch diese Aktion aber nur c$ und admin$, ipc$ ist nicht zu deaktivieren.Genau hier liegt die Sicherheitslücke, denn mit ipc$ lassen sich remote die beiden anderen Freigabetypen wieder freischalten, auch wenn sie vom User - wie oben beschrieben - vorher deaktiviert worden sind. Das geht so :

Ich öffne mit cmd eine Eingabekonsole und gebe folgenden Befehl ein :

net use \\rechnername\ipc$ adminkennwort /user:administrator

Anschliessend :

reg add "\\rechnername\HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters" /v AutoShareWks /t reg_dword /d 00000001 (ohne Umbruch)

Damit setze ich remote den Freigabeeintrag auf 1 (administrative Freigaben aktiviert).Theoretisch könnte man das verhindern, indem man auf dem Remote-Rechner den Remote-Registry-Service deaktiviert. Aber auch das läßt sich umgehen, indem man mit dem Tool psservice von sysinternals.com den deaktivierten Dienst remote wieder aktiviert mit folgendem Befehl :

psservice \\rechnername -u administrator -p adminkennwort setconfig remoteregistry auto

 

>wenn der server-dienst aus ist, ist schicht im schacht. da ist nix mehr mit remote

Da hast du freilich recht, obwohl sich so das Problem nicht darstellt. Du kannst auch das Netzwerkkabel rausziehen oder den Rechner ausstellen, dann greift auch keiner mehr remote auf deinen Rechner zu. Voraussetzung der Diskussion ist natürlich, dass eine Netzwerkverbindung immer noch vorhanden ist. Natürlich ist es da nicht korrekt, wenn ich schreibe: alle Dienste.
In einer Sache muss ich dir aber trotzdem widersprechen : Es gibt Remote-Tools, die nicht auf der RPC-Basis funktionieren, sondern nur die Named-Piped-Schnittstelle der Windows-API nutzen, also ohne RPC auskommen (zu denen gehören IMHO die pstools).Den Remote-Prozedur-Dienst kann man ohnehin nicht deaktivieren, wenn man nicht ein völlig kastriertes Windows haben will, bei dem kaum noch etwas funktioniert. Der Server-Dienst beinhaltet die Named-Piped-Schnittstelle. RPC setzt zwar auf Named Piped auf; aber wie gesagt, es sind zwei unterschiedliche Schnittstellen in der Windows-API.

 

hallo, dein ernst???
zu dem, was du anfangs geschrieben hast, konnt ich dir ja noch zustimmen, aber das jetzt ist quark - sorry.
wenn der server-dienst aus ist, ist schicht im schacht. da ist nix mehr mit remote, falls kein 3.-anbieter-tool inst. ist. "psservice" kommuniziert genau wie "sc" aus dem resource kit (und jedes andere mir bekannte tool) über den rpc-service mit dem server-dienst, der dann die rpc-anfragen verarbeitet... schon mal gelesen "the rpc-server is not available"? wie willst du denn einen dienst aktivieren, der über einen dienst, der deaktiviert ist, aktiviert würde?
die gedanken um die registry muß du dir auch nicht machen, weil der remote-zugriff ebenso vom server-dienst abhängt.
genauso gut könnte man auch inbound-traffic auf port 139 (und evtl. auch noch 135) blocken, das käm nahezu aufs selbe raus.

schönes we

 

Mit dem Sysinternal-Tool kannst Du Dir alle Dienste, die aus Sicherheitsgründen deaktiviert worden sind, wieder remote aktivieren.Um den reg add-remote-Zugriff zu vermeiden, könnte man theoretisch dem Admin das Schreibrecht auf den Registry-Zweig nehmen, der den Eintrag für die administrativen Freigaben setzt. Aber auch dagegen gäbe es ein Gegenmittel : Mit dem Tool "setacl" kannst du remote die ACLs der einzelnen Registry-Zweige bearbeiten und remote eine Schreibsperre wieder deaktivieren.

 

hallo,

richtig, was du schreibst, aber dagegen kann man ja den server-dienst noch abschalten und seine lan-aktivitäten über andere dienste (http, ftp...) abfackeln.
für ne (privat-) workstation ist das durchaus sinnig, aber halt auch nur für ne workstation.

gruß