Hidden share i w2k

[pr0phezy]

Fant ut for en liten tid tilbake at alle diskene mine var delt ut med skjult share i windows 2000, og alle hadde alt av rettigheter til dette sharet! Fikk jo totalt noia og trodde jeg hadde fått virus eller noe snusk på pc´n min, men etter litt videre undersøkelser fant jeg ut at dette var default i w2k..

Har prøvd å undersøke litt om hvorfor og hva dette brukes til og om det er noen sikkerhetsrisiko ved dette uten å finne noe svar på det..

Noen som har peiling på hvorfor det er sånn?

[ilpostino]

har også hatt det slik og har laget en 'teori' om hvorfor det er slik:

 

hvis du deler noe på hjemmenettverket ditt (feks en printer) fra maskin a og skal bruke denne printeren på maskin b. under innstalasjon av printeren på maskin b henter maskin b automatisk driverne fra maskin a som den har innstalert.

 

rett meg vis dette er feil, men dette er iallefall en teori jeg har....hvis du går inn på din maskin (eller hvilken som helst annen win nt-maskin) på et lan vil du jo ikke se hele hardiskene, men dette er noe som systemet vil bruke...

[BiosFlasher]

Ja dette er en stor risiko hvis du ikke har passord på administrator kontoen. Hvis du er koblet til internett kan hvem som helst som har ip adressen din (f.eks vha portscanning) koble til. Prøv å kjør

net use x: <din ip>c$ /user:administrator

fra en annen pc. Dette fungerer også hvis man vet brukernavnet til en bruker med admin rettigheter (og som ikke har passord). F.eks:

net use x: <din ip>c$ /user:secretuser

[ZoRaC]

maskin-navnc$ funker fint d... :razz: kommer inn på c-disken på en 2000 maskin da...

[pr0phezy]

Har passord på admin-kontoen min, og gjestekontoen er deaktivert etc., det jeg syntes var så merkelig var at det ikke gikk ann å fjerne det skjulte sharet på diskene mine, hver gang jeg fjernet sharinga og reboota, så kom sharet opp igjen av seg selv.

Eneste løsninga jeg fant var å fjerne all users og kun legge til administrator med rettigheter på diskene.

Med den default sharinga som ligger i w2k, kan ikke hvem som helst som har en brukerkonto på min pc(uansett hvordan rettigheter de har)koble seg til hvem som helst av diskene mine i og med at det står at all users har alle rettigheter som default. Eller er det jeg som har missforstått/oversett et eller annet her?!

[Tantor_]

Det står som default i policyen på w2k/xp at hidden shares skal deles ut ved pålogging.

På nt4.0 kan du fjerne dette ved å bruke poledit,samt på 2k/xp må du inn i active directore eller group policy for å fjerne dette i policyen.

 

Er du litt smart så renamer du bare admin kontoen med tanke på sikkerhet.

[Civilix]

Der ligger feilen...mange som ikke er klar over det men 'all users' betyr faktisk alle brukere!(!!) Og når 'all users' har alle rettigheter på disken. ja, da _har_ faktisk alle brukere(også de over nettverket) tilgang til å gjøre hva de vill. Hvis dette er din private maskin fixes det enkelt ved å bare gi administrators gruppa tilgang til disken.(slett alle rettigheter utenom administrators(og muligens system, husker ikke helt hvordan det var)).

[Revenant]

Hvis du er bekymret over denne problemstillingen så ta deg en tur hit: http://www.fox2k.net/2ktweaks/misc_tips.ht...Hidden%20Shares og vips så er sharene dine borte

[Invert]

Du har virus og det kalles windows!!!

:smile:

 

-------

Use Linux

[KELViN]

Dere har oversett en liten detalj her. c$ d$ osv er administrative shares. Det er kun medlemmer i den lokale administratorgruppa som har tilgang.

 

Hva er problemet da?

[moft]

Kelvin har rett , og slik har det vært siden NT 3.5

 

det der er common knowledge - eller burde være det.

[Kultom]

hør på invert

[inaktiv000]

Jeg har en 2k og en 98 maskin. På 98 bruker jeg "Administrator" som brukernavn slik at den skal kunne logge på 2k maskinen med administrator rettigheter. Problemet er at etter å ha skrevet passordet én gang, husker pc'en passordet :sad: Hvordan fikse?

[Howie]

Quote:

Den 2002-10-09 13:07, skrev KELViN: Dere har oversett en liten detalj her. c$ d$ osv er administrative shares. Det er kun medlemmer i den lokale administratorgruppa som har tilgang. Hva er problemet da?

De har ikke det, dersom admin ikke hadde hatt passord ville det vært et reelt problem (kanskje ikke stort, men dog...).

 

Det er forøvrig rett å være bekymret over ting man ikke vet hva er. Det er også rett å være av den holdning at det man ikke bruker skal vekk - Og med mindre man bruker default admin shares til backup (dårlig ide) eller til oppdateringsverktøy som UpdateExpert (nødvendig onde, men bruker kun C$ og rettighetene anbefales endret brukernivå/domenegruppe fremfor local) så er det lurt å fjerne slike ting.

Men jeg ville vært mer bekymret over IPC/NULL sessions enn C$ for å være ærlig, der har everyone tilgang under en default installasjon.

[bertie]

bare for nysgjerrigheten sin skyld, hva er IPC/NULL sessions?

 

bertie

[Howie]

Quote:

Den 2002-10-09 14:09, skrev bertie: bare for nysgjerrigheten sin skyld, hva er IPC/NULL sessions? bertie

Null sessions er det som deler ut såkalte browselists til uautoriserte maskiner (maskiner ikke medlem av domene/workgroup). En browselist er kort fortalt en liste over maskiner på nettverket.

Enkleste måten å forklare hullet i Null sessions på er ved å sidestille det men anonym login på en webside - hvem som helst kommer inn. Ved å benytte seg av null sessions i en scan kan man f.eks. få listet opp alle brukernavn, grupper og pcnavn som den scannede maskinen har/har tilgang til. En typisk tabbe blant _veldig_ mange administratorer er at de gir et nytt navn til den lokale administrator kontoen og/eller gjestekontoen, men gjør ingenting med Null sessions - det tar dermed en kyndig person ca. 3 sekunder å få vite hva den nye kontoen heter.

 

Raskeste måten å fikse Null sessions på en enkeltstående maskin er å endre denne register nøkkelen: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsarestrictanonymous

til 1 eller 2. Dersom du ikke har noen NT maskiner i nærheten er 2 som regel greit ellers må du kjøre 1, men jeg anbefaler at man faktisk _leser_ litt om hva denne gjør før man taster inn noe. 0 er uansett hvordan man ser på det en utrolig dårlig løsning :wink:

http://www.microsoft.com/technet har nyttig info om emnet

 

IPC er interprocess communications, og er en serie med kommunikasjonsinterface (f.eks. pipes eller named pipes, sockets og delte minneressurer). Flere av disse interfacene tillater kommunikasjon uten logon dersom man ikke har tatt forbehold og gjør livet herlig for en med onde hensikter. Å sikre disse er krevende så jeg tror ikke jeg vil få plass til en forklaring, men det finnes mange gode ressurser på nettet som forklarer fremgangsmåtene for å sikre seg.

[bertie]

til Howie

 

takker...

 

 

bertie

[dchr]

Tilbake til temaet om c$ osv..

 

NT har forskjellige sett med rettigheter på sharet og mappene sharet deler ut. Dvs du kan fint ha åpnet for tilgang til alle på mappene som er delt ut, mens selve sharepunktet (c$ i dette tilfellet) kun er åpent for medlemmer i administrator gruppen.

 

Default når et nytt share opprettes manuelt er at alle brukere har alle rettigheter, i hvertfall i NT til og med windows 2000 (samt XP med simple sharing slått av).

 

Er litt usikker på hvordan XP fungerer med simple sharing slått på, men heldigvis kan den konfigureres slik at den ligner på 2000 :smile:

 

mvh

 

Dag

[Howie]

Quote:

Den 2002-10-09 20:40, skrev dchr: ... NT har forskjellige sett med rettigheter på sharet og mappene sharet deler ut. Dvs du kan fint ha åpnet for tilgang til alle på mappene som er delt ut, mens selve sharepunktet (c$ i dette tilfellet) kun er åpent for medlemmer i administrator gruppen. ...

 

Eller som vi sier: Den mest restriktive rettighet gjelder.

 

Fra et administrativt synspunkt er det faktisk bedre å sette authenticated users (ikke everyone) opp med full tilgang på et 'vanlig' share, og deretter bruke NTFS rettighetene på selve katalogene for å begrense tilgangen. Det kutter ned på arbeid senere og gjør det lettere å håndtere.

 

Men så lenge omtrent halve kloden ikke har passord på administrator kontoen er admin shares fortsatt en artig sak.