Enquêter NetBIOS pour détecter et se prémunir contre les vulnérabilités de Windows

Vous pouvez recueillir des informations Windows en farfouillé avec NetBIOS (réseau / Output System Basic Input) fonctions et programmes. NetBIOS permet aux applications de faire des appels de réseautage et de communiquer avec d'autres hôtes au sein d'un réseau local.

Ces ports de Windows NetBIOS peuvent être compromis si elles ne sont pas correctement sécurisés:

• Les ports UDP pour la navigation du réseau:

• Port 137 (services de noms NetBIOS)

• Port 138 (NetBIOS des services de datagramme)

Énumération non authentifié sur les systèmes Windows

Lorsque vous effectuez vos tests de dénombrement non authentifiés, vous pouvez recueillir des informations de configuration sur les systèmes locaux ou distants de deux façons:

• Utilisation de tout-en-un, comme les scanners ou LanGuard QualysGuard

• Utilisation du programme de nbtstat qui est construit à Windows (nbtstat signifie NetBIOS avec TCP / IP Statistiques)

  

nbtstat montre la table de nom NetBIOS de l'ordinateur distant, qui vous vous réunissez en utilisant le nbtstat -A commande. Cette affiche les informations suivantes:

• Nom de l'ordinateur

• Nom de domaine

• L'adresse MAC de l'ordinateur

Lors de l'exécution nbtstat sur un serveur Windows 2000 plus, vous pourriez même être en mesure de glaner l'ID de l'utilisateur qui est actuellement connecté.

Un programme de pointe telles que LanGuard est pas nécessaire de recueillir cette information de base d'un système Windows. Cependant, l'interface graphique offerte par des logiciels commerciaux comme cela présente ses conclusions dans un mode plus joli et est souvent beaucoup plus facile à utiliser. En outre, vous avez l'avantage de rassembler les informations dont vous avez besoin avec un seul outil.

Les partages réseau peuvent contenir des vulnérabilités du système

Windows utilise des partages réseau à partager certains dossiers ou lecteurs sur le système afin que les autres utilisateurs puissent y accéder à travers le réseau. Actions sont faciles à mettre en place et fonctionnent très bien. Cependant, ils sont souvent mal configuré, permettant aux pirates et autres utilisateurs non autorisés d'accéder aux informations qu'ils ne devraient pas être en mesure d'obtenir à.

Vous pouvez rechercher des partages réseau Windows en utilisant l'outil Finder Partager intégré à LanGuard. Cet outil scanne toute une gamme d'adresses IP, à la recherche d'actions de Windows.

Les actions affichées sont exactement ce que les initiés malveillants recherchent parce que les noms de partage donnent une idée de ce type de fichiers pourrait être accessible si elles se connectent aux actions. Après les méchants découvrir ces actions, ils sont susceptibles de creuser un peu plus loin pour voir si elles peuvent parcourir les fichiers dans les actions.

Les contre-mesures contre les attaques NetBIOS

Vous pouvez mettre en œuvre les contre-mesures de sécurité suivantes afin de minimiser NetBIOS et NetBIOS sur les attaques TCP / IP sur vos systèmes Windows:

• Utilisez un pare-feu réseau.

• Utiliser Pare-feu Windows ou un autre logiciel de pare-feu personnel sur chaque système.

• Désactiver NetBIOS - ou tout au moins fichiers Windows et Partage d'imprimante.

  NetBIOS invalidantes pourraient ne pas être pratique dans un réseau où les utilisateurs et les applications dépendent de partage de fichiers ou dans un environnement mixte où les systèmes Windows 2000 et NT âgés comptent sur NetBIOS pour partage de fichiers et d'imprimante.

• Eduquez vos utilisateurs sur les dangers de permettre des partages de fichiers pour chacun d'accéder.

Les partages cachés - ceux avec un signe de dollar ($) ajouté à la fin du nom de l'action - ne pas vraiment aider cacher le nom de partage. Tous les outils peuvent voir à travers cette forme de sécurité par l'obscurité. En fait, si vous tombez sur ces actions, vous aurez envie de regarder de plus près, car un utilisateur peut être quelque chose à cacher.