входов : 830
время последнего подключения : Sun Jul 18 04:02:13 2004
время последнего отключения : Mon Jul 19 12:20:37 2004
с момента последней смены пароля прошло (дней) : 354
статус аккаунта : срок действия пароля неограничен
пользователь : Guest
привилегии : Гость
комментарий: Built-in account for guest access to the computer/domain
входов : 0
с момента последней смены пароля прошло (дней) : 1180
статус аккаунта : отключен (disabled), срок действия пароля неограничен
пользователь : vvs
привилегии : Администратор
входов : 0
время последнего подключения : Tue Oct 21 12:18:48 2003
с момента последней смены пароля прошло (дней) : 361
статус аккаунта : срок действия пароля неограничен
Получение списка пользователей позволяет удалённому атакующему начать перебор паролей к существующим учётным записям.
Решение
Windows:
Отключить доступ по нулевой сессии (см. уязвимость "доступ по нулевой сессии")
Samba:
Разрешить доступ к серверу только зарегестрированным пользователям:
в файле smb.conf изменить ключ security= share на security= user (или security = server или security = domain ).
Уязвимость
Список активных сессий
Описание
Список активных сессий:
хост :
пользователь :
длительность подключения : 00:00:31
Получение списка активных сессий позволяет удалённому атакующему атаковать менее защищенные хосты, с которых осуществляются подключения к серверу, с целью получения привилегий на сервере.
Решение
Отключить доступ по нулевой сессии (см. уязвимость "доступ по нулевой сессии") и/или отключить гостевой логин на сервере.
Доступна информация
Имя компьютера и домен
Описание
Имя компьютера : PROXY_CS
Домен : PROXY
Доступна информация
Список групп пользователей
Описание
Список групп пользователей:
Локальные группы пользователей :
группа : Administrators
комментарий : Members can fully administer the computer/domain
группа : Backup Operators
комментарий : Members can bypass file security to back up files
группа : Guests
комментарий : Users granted guest access to the computer/domain
группа : Power Users
комментарий : Members can share directories and printers
группа : Replicator
комментарий : Supports file replication in a domain
группа : Users
комментарий : Ordinary users
Глобальные группы пользователей :
группа : None
комментарий : Ordinary users
Решение
Отключить доступ по нулевой сессии (см. уязвимость "доступ по нулевой сессии") и/или отключить гостевой логин на сервере.
Доступна информация
Список транспортных протоколов
Описание
Список транспортных протоколов, установленных на хосте :
устройство (протокол) : \Device\NetBT_DE5282
имя сервера : PROXY_CS
сетевой адрес : 0050badc4b60
число подключенных пользователей : 0
домен : PROXY
устройство (протокол) : \Device\NetBT_DE5282
имя сервера : PROXY_CS
сетевой адрес : 0050badc4b60
число подключенных пользователей : 0
домен : PROXY
устройство (протокол) : \Device\NetBT_DE5281
имя сервера : PROXY_CS
сетевой адрес : 0050badc5542
число подключенных пользователей : 0
домен : PROXY
устройство (протокол) : \Device\NetBT_DE5281
имя сервера : PROXY_CS
сетевой адрес : 0050badc5542
число подключенных пользователей : 0
домен : PROXY
устройство (протокол) : \Device\NetBT_NdisWan5
имя сервера : PROXY_CS
сетевой адрес : 000000000000
число подключенных пользователей : 0
домен : PROXY
устройство (протокол) : \Device\NetBT_NdisWan5
имя сервера : PROXY_CS
сетевой адрес : 000000000000
число подключенных пользователей : 1
домен : PROXY
Решение
Отключить доступ по нулевой сессии (см. уязвимость "доступ по нулевой сессии") и/или отключить гостевой логин на сервере.
Доступна информация
Доступ по нулевой сессии
Описание
Эта уязвимость существует только в том случае, если Вы не являетесь Администратором
на проверяемом хосте
Доступ по нулевой сессии представляет собой возможность неавторизованного подключения к хосту с операционной системой основанной на Windows NT (или ОС семейства UNIX с установленным пакетом Samba) с пустым логином и паролем. При включенной нулевой сессии анонимный пользователь может получить большое количество информации о конфигурации системы (список расшаренных ресурсов, список пользователей, список рабочих групп и т.д.). Полученная информация в дальнейшем может быть использованна для попыток несанкционированного доступа.
Решение
Windows:
В разделе реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
установить значение параметра RestrictAnonymous = 2 для Windows 2000/XP/2003 ( 1 для Windows NT3.5/NT4.0 ) ( тип параметра - REG_DWORD )
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver
установить значение параметра RestrictNullSessionAccess = 1 ( тип параметра –
REG_DWORD )
Перегрузить систему для вступления изменений в силу.
Samba:
Разрешить доступ к серверу только зарегестрированным пользователям:
в файле smb.conf изменить ключ security= share на security= user (или security = server или security = domain ).
Ссылки
CVE (CVE-2000-1200) : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2000-1200
http://support.microsoft.com/support/kb/articles/q143/4/74.asp
Доступна информация
LanManager и OS
Описание
LanManager: NT LAN Manager 4.0
OS: Windows NT 4.0
| Сервис ? | порт 389 / tcp |
Информация
Сервис разрывает соединение при попытке подключения к нему.
Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
| Сервис ? | порт 554 / tcp |
Информация
Сервис не определен.
Имя сервиса устанавливаемого на этом порту по умолчанию : rtsp
| Сервис Wingate Engine | порт 808 / tcp |
Информация
Имя сервиса : Wingate Remote Control Service - административная часть
| Сервис ? | порт 1025 / tcp |
Информация
Сервис разрывает соединение при попытке подключения к нему.
Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
| Сервис RPC mstask.exe | порт 1027 / tcp |
Информация
Имя сервиса : Task Scheduler Engine
Доступна информация
Scheduler Service
Описание
Если вы не используете планировщик задач, то разумным будет отключить его, т.к. данный сервис часто используется атакующими для запуска вредоносного кода.
Решение
Заблокируйте сервис следующим ключём реестра:
HKEY_LOCAL_MACHINE
SYSTEM\CurrentControlSet\Services\Schedule
Start = 4
| Сервис ? | порт 1720 / tcp |
Информация
Сервис разрывает соединение при попытке подключения к нему.
Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
| Сервис ? | порт 1723 / tcp |
Информация
Сервис разрывает соединение при попытке подключения к нему.
Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
| Сервис ? | порт 1755 / tcp |
Информация
Сервис разрывает соединение при попытке подключения к нему.
Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
| Сервис ? | порт 2000 / tcp |
Информация
Сервис разрывает соединение при попытке подключения к нему.
Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
| Сервис ? | порт 6666 / tcp |
Информация
Сервис разрывает соединение при попытке подключения к нему.
Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
| Сервис ? | порт 6667 / tcp |
Информация
Сервис разрывает соединение при попытке подключения к нему.
Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
| Сервис ? | порт 6668 / tcp |
Информация
Сервис разрывает соединение при попытке подключения к нему.
Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
| Сервис ? | порт 7070 / tcp |
Информация
Сервис разрывает соединение при попытке подключения к нему.
Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.