عليرضا خراساني
khorasani@jamejamdaily.net

اولين قدم براي بستن اين راه نفوذ، تخريب هرگونه اکانت به صورت anonymous است که بايد حتما در نظر راهبران قرار گيرد. Domain controler احتياج شديدي به Null session دارد و تخريب کامل آن کار درستي نيست ؛ اما مي توان ميزان حملات را به صفر رساند. براي اين کار بايد Valuedata در شاخه رجيستري زير را حتما به 1(يک) تبديل کنيد تا آسيب نبيند.

HKEY-LOCAL MACHINE\system\current controlset\contorol\LSA\Restrict Anonymous


پس پوشه Restrict Anonymous را بازکنيد و داخل آن عدد 1 تايپ نماييد و ok کنيد. (اين پوشه به صورت Dword تعريف شده است). هنگام اين تغيير ابتدا سيستم هنگ مي کند اما با يک بار خاموش و روشن کردن همه چيز درست مي شود. داشتن يک پشتيبان از هارد نيز ضروري است.

چرا که بعضي وقتها يک اسب تروا روي سيستم مي نشيند که اگر اين تغيير انجام شود همه چيز را به هم مي ريزد. روي شبکه توصيه مي شود ماشين هايي که اينترنت را مي بينند به اين سيستم مجهز شوند. تاکيد مي شود که هيچ کاربري روي شبکه نبايد به Domain controler دسترسي داشته باشد و اصلا حق ندارد که يک کاربر خارجي تعريف کند. حفره بزرگ بعدي در ويندوز وجود آسيب پذيري در سيستم تصديق روي LAN Manager است. اگرچه سيستم هاي کنوني ويندوز نياز به اين سيستم ندارند ؛ اما ذخيره شدن کلمه عبور LANMAN hashes آسيب و خطر عمده اي به شمار مي آيد که روي ويندوز ان.

تي ، 2000 و XP وجود دارد. به دليل انکريپت ضعيف روي سيستم هاي NTLM و NTLM2 ، کلمه هاي عبور روي LANMAM براحتي در عرض کمتر از چند دقيقه شکسته مي شوند و کلمه هاي عبور سخت تر به دليل ضعف در سيستم ورودي و خروجي سخت افزاري قابل نفوذ مي شوند. ( hash ، يک الگوريتم به کار رفته روي محاسبات رياضي يکطرفه است که اجازه ورود ديتاها با حجم بالا و مخلوط را با هم به روي سيستم مي دهد و هرگونه تغيير در ورودي ديتا تغيير در hash نيز محسوب مي شود. ازجمله ديتاها ورود يک پيام به سيستم است که با يک hash چندين ورودي قابل اطمينان را مي سازد. مثلا MD5 يک استاندارد يکطرفه با فهرست hash 128بيتي است که به وسيله RSA توسعه يافته است و در آن ديتاها روي پروتکل PPP براحتي قابل تصديق (Authentication) مي شوند. پروتکل NTLM نيز که اولين بار روي N.T به صورت Default به کار رفت ، يک پروتکل تصديق براساس سيستم مبارزه پاسخ نباشد. ضعف در LM hashها مي تواند براساس مباني زير اتفاق بيفتد. مثلا کلمه هاي عبور کمتر از 14حرف باشد يا کلمه عبور با وجود يک Space تکراري باشد و يا همه حروف روي کلمه عبور قابل تبديل به يک کلمه ساده باشد و يا اين که کلمه عبور تکرار 2حرف در رده 7حرفي باشد. يک هکر با پردازش hashing روي سرور از راه دور با کنار هم قرار دادن يک رديف از حروف 7حرفي ضربدر 2مي تواند به شبکه دسترسي يابد. هر 7حرف روي کلمه عبور مي تواند يک حرف با ترکيبي از استرينگ و کاراکترهاي 14تايي باشد و همه 14حرف از جمله Space مي تواند 7حرف واقعي باشد و يک لغتنامه attack بتواند بقيه حروف را بخواند و تشخيص دهد.