Versteckte Netzfreigaben schließen

Dieses Thema im Forum "Ihre Meinung zu Artikeln auf pcwelt.de" wurde erstellt von ra-raisch, 17. Mai 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Man liest häufig, dass man in Netzwerken die administrativen Freigaben deaktivieren soll, da sie eine Sicherheitslücke darstellen.Standardmäßig sind sie auf XP-Prof-Maschinen aktiviert.Es gibt drei Typen : c$ (und andere Laufwerkbuchstaben mit dem Dollar-Zeichen, je nachdem ); admin$ und ipc$.Der erste Typ gewährt mit Admin-Kennwort dem Administrator auch ohne irgendwelche gesetzen Freigaben den Gesamtzugriff auf das Dateisystem des Remote-Rechners,bei admin$ gilt das Gleiche für den %systemroot%-Ordner. IPC$ steht für Inter Process Communication und ermöglicht Admins (aber auch allen, die das Admin-Kennwort kennen) Aktionen auf dem entfernten Rechner.
    Häufig findet man in Netzwerk-Tutorials die Sicherheitsempfehlung, die administrativen Freigaben zu deaktivieren, in dem man in dem Registry-Schlüssel :
    HKLM\SYSTEM\CurrentControlSet\Services\lanmanserve
    r\parameters den Eintrag : AutoShareWks auf 0 setzt (standardmäßig ist der Eintrag nicht vorhanden und muss erst manuell gesetzt werden; bei Servern : AutoShareServer. Das Nichtvorhandensein bedeutet aber, dass die administrativen Freigaben gelten !).
    Deaktiviert wird durch diese Aktion aber nur c$ und admin$, ipc$ ist nicht zu deaktivieren.Genau hier liegt die Sicherheitslücke, denn mit ipc$ lassen sich remote die beiden anderen Freigabetypen wieder freischalten, auch wenn sie vom User - wie oben beschrieben - vorher deaktiviert worden sind. Das geht so :

    Ich öffne mit cmd eine Eingabekonsole und gebe folgenden Befehl ein :

    net use \\rechnername\ipc$ adminkennwort /user:administrator

    Anschliessend :

    reg add " \\rechnername\HKLM\SYSTEM\CurrentControlSet\Servic
    es\lanmanserver\parameters" /v AutoShareWks /t reg_dword /d 00000001 (ohne Umbruch)

    Damit setze ich remote den Freigabeeintrag auf 1 (administrative Freigaben aktiviert).Theoretisch könnte man das verhindern, indem man auf dem Remote-Rechner den Remote-Registry-Service deaktiviert. Aber auch das läßt sich umgehen, indem man mit dem Tool psservice von sysinternals.com den deaktivierten Dienst remote wieder aktiviert mit folgendem Befehl :

    psservice \\rechnername -u administrator -p adminkennwort setconfig remoteregistry auto
     
  2. ra-raisch

    ra-raisch Byte

    Registriert seit:
    27. November 2003
    Beiträge:
    58
    Ich habe unter XP den Dienst "Server" deaktiviert. Bei mir ist es gar nicht mehr möglich, die "freigegebenen Ordner" aufzurufen.

    My Computer is my castle
     
  3. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246

    In diesem Kontext geht es ja um Remote-Zugriffe. Die aufgeführten Techniken des Passwort-Wechsels sind aber remote (zum Glück !) nicht möglich.
     
  4. King_Selassie

    King_Selassie ROM

    Registriert seit:
    16. August 2002
    Beiträge:
    3
    hallo.

    ich kann eure problematik nicht ganz nachvollziehen.

    bin selbst admin im firmennetzwerk, und wenn ich auf einen rechner remote draufwill, kann ich das auch.

    egal ob ich jetzt net use, c$ oder ips$ benutze, ....
    und falls irgendjemand meint er müsste die versteckte freigabe deaktivieren (jedoch, wenn man mal ehrlich ist, welcher Standard - User macht, bzw. kann das)

    lösche ich einfach sein passwort und melde mich mit seinem benutzernamen an. ....

    nochmal zum thema "sicherheitsrisiko"

    HHHAAAALLLLLLLLLLLLLLOOOOOOOOOO

    wenn nicht DER admin auf einen firmenrechner remote draufkommt, wer denn bitte dann????

    seit wann läuft ein admin auf dem gang rum?
    zum maustreiber installieren, oder was????


    (vielleicht zum kippen holen, aber das wars....)

    ach ja, eins noch

    ADMIN - Password, -->

    man nehme den CIA-Commander, oder eine LinuX Diskette, drückt dreimal auf enter, und schon hat man ein neues Lokales adminpassword... hui wie toll.


    mfg
    morgoth
     
  5. Gast

    Gast Guest

    "social hacking" ist gut. Habe hier auch noch was im Web gefunden:
     
  6. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Natürlich hast du da im Prinzip Recht. Es geht in diesem Zusammenhang ja auch um die Frage, was für Möglichkeiten existieren, wenn jemand -in welcher Form auch immer - an das Admin-Kennwort gekommen ist (man glaubt ja gar nicht, wie erfolgreich z.B. social hacking sein kann) und man meint, durch das Deaktivieren der Admin-Freigaben sei der Netzwerkrechner dann gegen Mißbrauch abgesichert.
     
  7. MagicAM

    MagicAM Byte

    Registriert seit:
    3. September 2000
    Beiträge:
    35
    Hallo
    Bin zwar kein Super Profi, aber solange der "Angreifer" das Adminkennwort nicht weis, kann er da doch auch nicht viel mit anfangen oder? Insofern kann man auch die c$- Freigaben lassen, wenn man ein halbwegs "ordentliches" Password besitzt oder irre ich da ?

    Mir ist jedenfalls so noch nix auf einer LAN, zum Beispiel, passiert. Aber da gibt es eh genug die auch C: Jedem zugänglich freigegeben haben, weshlab wohl der Angriff auf?s Adminkennword zu zeitraubend wäre.
     
  8. c62718hris

    c62718hris Megabyte

    Registriert seit:
    17. März 2003
    Beiträge:
    1.908
    Nur gut das es keinen Admin gibt, der den Spieß dann umdreht. Bei uns haben sich einige Benutzer schon darüber gewundert warum sie plötzlich nicht mehr dürfen...

    Ich brauche nicht auf den Rechner um ihn im LAN zu isolieren.
     
  9. hansi1000

    hansi1000 ROM

    Registriert seit:
    17. Mai 2004
    Beiträge:
    1
    Doch den Admin ärgern *lol*:dafür:
     
  10. Dammpfwallze

    Dammpfwallze Megabyte

    Registriert seit:
    4. Juni 2002
    Beiträge:
    1.322
    Hehe mag ja Zuhause am eigenen PC als Spielchen gut sein um bissel Admin zu spielen, aber da draussen in der grossen weiten Welt ist der Tipp absolut überflüssig u. wird auch nie benutzt. Fast alle Firmen arbeiten mit Fernwartung u. wenn man diesen Tipp benutzt gehts hat nicht mehr. Also vorher mal bissel informieren bevor man solche witzlosen Sachen als Tipp verbreitet.

    Gruss Mario
     
  11. bers

    bers ROM

    Registriert seit:
    17. Mai 2004
    Beiträge:
    1
    Schwierigkeit: Fortgeschrittener
    Aufwand: Mittel

    Nutzen: keiner
     
  12. MagicMan

    MagicMan Kbyte

    Registriert seit:
    17. November 2000
    Beiträge:
    157
    Das zwar nicht, aber innerhalb einer Domäne liegen die Benutzerpasswörter auf dem DC und dort kann der Admin der Domäne sich eine schöne Liste ziehen, die sich auf einem (oder mehreren) geeigneten Rechnern per BruteForce zu einer schönen Passwortliste aller User im Klartext knacken läßt.

    Absolute Sicherheit existiert nicht!
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen