常见终端问题解决方案和整改方法_终端店铺整改方案

2020-02-29 其他范文下载本文

常见终端问题解决方案和整改方法由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“终端店铺整改方案”。

问题一：猜测出远程可登录的SMB/Samba用户名口令

弱密码示例：

扫描原理：通过SMB协议，匹配弱密码字典库，对终端用户和口令，进行扫描。产生原因：终端存在SMB自建共享或者开启SMB默认共享导致，同时系统用户存在弱口令。验证方法：

（1）使用命令net use ipipc$ paword /u:username进行弱密码登录尝试，若登录成功，则该账号一定存在。

（2）该账号可能在“计算机管理”中不存在，因为该账号可能为克隆账号、隐藏账号或者某程序产生的账号。

（3）也存在计算机已经中毒的可能。《注释》

判断计算机是否存在隐藏账号的方法：

1.打开注册表编辑器，展开HKEY_LOCAL_MACHINESAMSAM，修改SAM权限为administrator完全控制。

2.按F5刷新注册表，展开HKEY_LOCAL_MACHINESAMSAMDomainsaccountusernames，对比用户列表和计算机管理中的用户列表是否相同，如果存在多余的，则为隐藏账号。加固方法： • 杀毒

• 使用net use ipipc$ /del，进行删除

• 如果可以关闭Server服务，建议关闭Server服务 • 更改计算机系统用户密码，设置足够密码强度的口令 • 关闭自建共享

问题二：SMB漏洞问题

漏洞示例：

利用SMB会话可以获取远程共享列表主机SID信息可通过SMB远程获取利用主机SID可以获取本地用户名列表

扫描原理：通过SMB服务（主要端口为135.445）对被扫描系统，进行信息获取产生原因：终端存在SMB自建共享或者开启SMB默认共享导致。加固方法：

• 如果可以关闭Server服务，建议关闭Server服务 • 修改本地安全策略，如：

• 利用SMB会话可以获取远程共享列表–启用“不允许匿名列举SAM帐号和共享”

• 主机SID信息可通过SMB远程获取 –更改“对匿名连接的额外限制”为“没有显式匿名权限就无法访问”

• • • • • • • • 利用主机SID可以获取本地用户名列表–启用“允许匿名 SID/名称转换”

通过防火墙过滤端口135/TCP、139/TCP、445/TCP、135/UDP、137/UDP、138/UDP、445/UDP，过滤方法如下：

进入“控制面板->系统和安全->windows 防火墙->左侧高级设置”，打开“高级安全防火墙”，右键“入站规则”->新建规则。

进入“规则类型”页面，选择“要创建的规则类型”为“端口”，点击“下一步”。进入“协议和端口”页面，选择“TCP规则”，并在“特定本地端口”中输入要屏蔽的端口（如：135、139、445、1025），点击“下一步”。进入“操作”页面，选择“阻止链接”，点击“下一步”。进入“配置文件”页面，选中“域、专用、公用”，点击“下一步”。进入“名称”页面，输入一个名称，如“网络端口屏蔽”

问题三：自建共享的问题

漏洞示例：

猜测出远程可登录的SMB/Samba用户名口令

产生原因：终端用户自建了共享，且共享目录的权限为可访问、可写加固方法：

• 关闭自建共享

• 更改共享文件的权限，取消everyone权限

问题四：SNMP口令问题

漏洞示例：

SNMP服务存在可读口令 SNMP服务存在可写口令

产生原理：通过UDP 161 端口获取被测系统信息。同时所谓可读，可写是针对RO权限和RW权限所对应的，因为SNMP代理服务可能存在默认口令。如果您没有修改这些默认口令或者口令为弱口令，远程攻击者就可以通过SNMP代理获取系统的很多细节信息。相关服务：

• SNMP Service：使简单网络管理协议(SNMP)请求能在此计算机上被处理。如果此服务停止，计算机将不能处理SNMP 请求。如果此服务被禁用，所有明确依赖它的服务都将不能启动。SNMP Trap：接收本地或远程简单网络管理协议(SNMP)代理程序生成的陷阱消息并将消息转发到此计算机上运行的SNMP 管理程序。如果此服务被停用，此计算机上基于SNMP 的程序将不会接收SNMP trap 消息。如果此服务被禁用，任何依赖它的服务将无法启动。加固方法：

如非必须，建议关闭SNMP • • • • • XP关闭方法：控制面板-“添加或删除程序”-“添加/删除Windows组件”-“管理和监视工具”，双击打开，取消“简单网络管理协议.Windows 7关闭方法：控制面板-“添加或删除程序”-“打开或关闭winows功能”，取消“简单网络管理协议.如为必须，请修改SNMP的“团体名称”

打开“服务”选择“SNMP server”右键“安全”-添加团体名称修改端口号或者防火墙屏蔽

问题五：FTP相关漏洞问题

漏洞示例：

• 猜测出远程FTP服务存在可登录的用户名口令 • 远程FTP服务器根目录匿名可写

产生原理：使用TCP 21号端口，进行FTP相关漏洞的扫描加固方法：

• 如果FTP为非必须，建议关闭FTP服务 • 如果FTP为业务需要，建议修改ftp 若口令

• Linux 下有两种弱密码，一个是ftp, 一个是anouymous帐号，对于anouymous帐号弱密码，通过关闭默认帐号来实现。对于ftp帐号，由于此时ftp帐号是系统帐号，故需要通过pawd为ftp 设置密码

• 由于在windows下，ftp帐号使用的是系统帐号，因此windows下ftp帐号的弱密码，也就是系统帐号的弱密码。

• 针对漏洞“远程FTP服务器根目录匿名可写”，使用命令chown root ~ftp &&chmod 0555 ~ftp进行加固

问题六：Integard Home和Pro HTTP请求远程栈溢出漏洞

• 当前没有解决方案，可能是误报，一直在和总部沟通中，尚未找到解决方案。

问题七：远程协议相关漏洞