弱口令解决方案.docxVIP

弱口令解决方案 　　篇一：常见终端问题解决方案和整改方法 　　问题一：猜测出远程可登录的SMB/Samba用户名口令  　　弱密码示例：  　　扫描原理：通过SMB协议，匹配弱密码字典库，对终端用户和口令，进行扫描。  　　产生原因：终端存在SMB自建共享或者开启SMB默认共享导致，同时系统用户存在弱口令。 验证方法：  　　（1）使用命令net use \\ip\ipc$ password /u:username进行弱密码登录尝试，若登录成功，则该账号一定存在。  　　（2）该账号可能在“计算机管理”中不存在，因为该账号可能为克隆账号、隐藏账号或者某程序产生的账号。  　　（3）也存在计算机已经中毒的可能。  　　《注释》  　　判断计算机是否存在隐藏账号的方法：  　　1. 打开注册表编辑器，展开HKEY_LOCAL_MACHINE\SAM\SAM，修改SAM权限 为administrator完全控制。  　　2. 按F5刷新注册表，展开HKEY_LOCAL_MACHINE\SAM\SAM\Domains\account\user\names，对比用户列表和计算机管理中的用户列表是否相同，如果存在多余的，则为隐藏账号。 加固方法：  　　? 杀毒  　　? 使用net use \\ip\ipc$ /del，进行删除  　　? 如果可以关闭Server服务，建议关闭Server服务  　　? 更改计算机系统用户密码，设置足够密码强度的口令  　　? 关闭自建共享  　　问题二：SMB漏洞问题  　　漏洞示例：  　　利用SMB会话可以获取远程共享列表  　　主机SID信息可通过SMB远程获取  　　利用主机SID可以获取本地用户名列表  　　扫描原理：通过SMB服务（主要端口为）对被扫描系统，进行信息获取 产生原因：终端存在SMB自建共享或者开启SMB默认共享导致。  　　加固方法：  　　? 如果可以关闭Server服务，建议关闭Server服务  　　? 修改本地安全策略，如：  　　? 利用SMB会话可以获取远程共享列表–启用“不允许匿名列举SAM帐号和共享” ? 主机SID信息可通过SMB远程获取 –更改“对匿名连接的额外限制”为“ 　　没有显式匿名权限　　就无法访问” 　　?  　　?  　　?  　　?  　　?  　　?  　　?  　　? 利用主机SID可以获取本地用户名列表–启用“允许匿名 SID/名称转换” 通过防火墙过滤端口135/TCP、139/TCP、445/TCP、135/UDP、137/UDP、138/UDP、445/UDP，过滤方法如下： 进入“控制面板-系统和安全-windows 防火墙-左侧高级设置”，打开“高级安全防火墙”，右键“入站规则”-新建规则。 进入“规则类型”页面，选择“要创建的规则类型”为“端口”，点击“下一步”。 进入“协议和端口”页面，选择“TCP规则”，并在“特定本地端口”中输入要屏蔽的端口（如：135、139、445、1025），点击“下一步”。 进入“操作”页面，选择“阻止链接”，点击“下一步”。 进入“配置文件”页面，选中“域、专用、公用”，点击“下一步”。 进入“名称”页面，输入一个名称，如“网络端口屏蔽”  　　问题三：自建共享的问题  　　漏洞示例：  　　存在可写共享目录  　　存在可访问的共享目录  　　猜测出远程可登录的SMB/Samba用户名口令  　　产生原因：终端用户自建了共享，且共享目录的权限为可访问、可写  　　加固方法：  　　? 关闭自建共享  　　? 更改共享文件的权限，取消everyone权限  　　问题四：SNMP口令问题  　　漏洞示例：  　　SNMP服务存在可读口令  　　SNMP服务存在可写口令  　　产生原理：通过UDP 161 端口获取被测系统信息。同时所谓可读，可写是针对RO权限和RW权限所对应的，因为SNMP代理服务可能存在默认口令。如果您没有修改这些默认口令或者口令为弱口令，远程攻击者就可以通过SNMP代理获取系统的很多细节信息。  　　相关服务：  　　? SNMP Service：使简单网络管理协议(SNMP)请求能在此计算机上被处理。如果此服务停止，计算机将不能处理SNMP 请求。如果此服务被禁用，所有明确依赖它的服务都将不能启动。 SNMP Trap：接收本地或远程简单网络管理协议(SNMP) 代理程序生成的陷阱消息并将消息转发到此计算机上运行的SNMP 管理程序。如果此服务被停用，此计算机上基于SNMP 的程序将不会接收SNMP trap 消息。如果此服务被禁用，任何依赖它的服务将无法启动。 加固