Versteckte Netzfreigaben schließen

Man liest häufig, dass man in Netzwerken die administrativen Freigaben deaktivieren soll, da sie eine Sicherheitslücke darstellen.Standardmäßig sind sie auf XP-Prof-Maschinen aktiviert.Es gibt drei Typen : c$ (und andere Laufwerkbuchstaben mit dem Dollar-Zeichen, je nachdem ); admin$ und ipc$.Der erste Typ gewährt mit Admin-Kennwort dem Administrator auch ohne irgendwelche gesetzen Freigaben den Gesamtzugriff auf das Dateisystem des Remote-Rechners,bei admin$ gilt das Gleiche für den %systemroot%-Ordner. IPC$ steht für Inter Process Communication und ermöglicht Admins (aber auch allen, die das Admin-Kennwort kennen) Aktionen auf dem entfernten Rechner.
Häufig findet man in Netzwerk-Tutorials die Sicherheitsempfehlung, die administrativen Freigaben zu deaktivieren, in dem man in dem Registry-Schlüssel :
HKLM\SYSTEM\CurrentControlSet\Services\lanmanserve
r\parameters den Eintrag : AutoShareWks auf 0 setzt (standardmäßig ist der Eintrag nicht vorhanden und muss erst manuell gesetzt werden; bei Servern : AutoShareServer. Das Nichtvorhandensein bedeutet aber, dass die administrativen Freigaben gelten !).
Deaktiviert wird durch diese Aktion aber nur c$ und admin$, ipc$ ist nicht zu deaktivieren.Genau hier liegt die Sicherheitslücke, denn mit ipc$ lassen sich remote die beiden anderen Freigabetypen wieder freischalten, auch wenn sie vom User - wie oben beschrieben - vorher deaktiviert worden sind. Das geht so :

Ich öffne mit cmd eine Eingabekonsole und gebe folgenden Befehl ein :

net use \\rechnername\ipc$ adminkennwort /user:administrator

Anschliessend :

reg add " \\rechnername\HKLM\SYSTEM\CurrentControlSet\Servic
es\lanmanserver\parameters" /v AutoShareWks /t reg_dword /d 00000001 (ohne Umbruch)

Damit setze ich remote den Freigabeeintrag auf 1 (administrative Freigaben aktiviert).Theoretisch könnte man das verhindern, indem man auf dem Remote-Rechner den Remote-Registry-Service deaktiviert. Aber auch das läßt sich umgehen, indem man mit dem Tool psservice von sysinternals.com den deaktivierten Dienst remote wieder aktiviert mit folgendem Befehl :

psservice \\rechnername -u administrator -p adminkennwort setconfig remoteregistry auto

 

Ich habe unter XP den Dienst "Server" deaktiviert. Bei mir ist es gar nicht mehr möglich, die "freigegebenen Ordner" aufzurufen.

My Computer is my castle

 

In diesem Kontext geht es ja um Remote-Zugriffe. Die aufgeführten Techniken des Passwort-Wechsels sind aber remote (zum Glück !) nicht möglich.

 

hallo.

ich kann eure problematik nicht ganz nachvollziehen.

bin selbst admin im firmennetzwerk, und wenn ich auf einen rechner remote draufwill, kann ich das auch.

egal ob ich jetzt net use, c$ oder ips$ benutze, ....
und falls irgendjemand meint er müsste die versteckte freigabe deaktivieren (jedoch, wenn man mal ehrlich ist, welcher Standard - User macht, bzw. kann das)

lösche ich einfach sein passwort und melde mich mit seinem benutzernamen an. ....

nochmal zum thema "sicherheitsrisiko"

HHHAAAALLLLLLLLLLLLLLOOOOOOOOOO

wenn nicht DER admin auf einen firmenrechner remote draufkommt, wer denn bitte dann????

seit wann läuft ein admin auf dem gang rum?
zum maustreiber installieren, oder was????


(vielleicht zum kippen holen, aber das wars....)

ach ja, eins noch

ADMIN - Password, -->

man nehme den CIA-Commander, oder eine LinuX Diskette, drückt dreimal auf enter, und schon hat man ein neues Lokales adminpassword... hui wie toll.


mfg
morgoth

 

"social hacking" ist gut. Habe hier auch noch was im Web gefunden:

 

Natürlich hast du da im Prinzip Recht. Es geht in diesem Zusammenhang ja auch um die Frage, was für Möglichkeiten existieren, wenn jemand -in welcher Form auch immer - an das Admin-Kennwort gekommen ist (man glaubt ja gar nicht, wie erfolgreich z.B. social hacking sein kann) und man meint, durch das Deaktivieren der Admin-Freigaben sei der Netzwerkrechner dann gegen Mißbrauch abgesichert.

 

Hallo
Bin zwar kein Super Profi, aber solange der "Angreifer" das Adminkennwort nicht weis, kann er da doch auch nicht viel mit anfangen oder? Insofern kann man auch die c$- Freigaben lassen, wenn man ein halbwegs "ordentliches" Password besitzt oder irre ich da ?

Mir ist jedenfalls so noch nix auf einer LAN, zum Beispiel, passiert. Aber da gibt es eh genug die auch C: Jedem zugänglich freigegeben haben, weshlab wohl der Angriff auf?s Adminkennword zu zeitraubend wäre.

 

Nur gut das es keinen Admin gibt, der den Spieß dann umdreht. Bei uns haben sich einige Benutzer schon darüber gewundert warum sie plötzlich nicht mehr dürfen...

Ich brauche nicht auf den Rechner um ihn im LAN zu isolieren.

 

Doch den Admin ärgern *lol*

 

Hehe mag ja Zuhause am eigenen PC als Spielchen gut sein um bissel Admin zu spielen, aber da draussen in der grossen weiten Welt ist der Tipp absolut überflüssig u. wird auch nie benutzt. Fast alle Firmen arbeiten mit Fernwartung u. wenn man diesen Tipp benutzt gehts hat nicht mehr. Also vorher mal bissel informieren bevor man solche witzlosen Sachen als Tipp verbreitet.

Gruss Mario

 

Schwierigkeit: Fortgeschrittener
Aufwand: Mittel

Nutzen: keiner

 

Das zwar nicht, aber innerhalb einer Domäne liegen die Benutzerpasswörter auf dem DC und dort kann der Admin der Domäne sich eine schöne Liste ziehen, die sich auf einem (oder mehreren) geeigneten Rechnern per BruteForce zu einer schönen Passwortliste aller User im Klartext knacken läßt.

Absolute Sicherheit existiert nicht!