瑞星卡卡安全论坛

首页 » 技术交流区 » 系统软件 » 【求助】瑞星杀毒软件引起开放“可建立空连接”
夜思宁烟 - 2005-9-4 10:40:00
简述:从2004版升级到2005版,或者直接卸载原来版本安装新版本的瑞星杀毒软件,原来已经禁止用户对本机建立空连接的,一升级或一安装运行瑞星杀毒软件,此禁止建立空连接就变成了允许。
   
      过程:我的瑞星杀毒软件是2004版的,昨天通过瑞星官方网站下载升级包到了最新版本,(卸载原来版本安装新版本也和下面问题一样)这时问题出现了,原本我的win2000 server sp4在注册里的设置了“禁止向win2000建立空连接”(注册表位置在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa下将"restrictanonymous"设为"1"),但升级过瑞星杀毒软件后这"restrictanonymous"就会变成"0",如果我再改回来后重新启动计算机后又会变成"0"(就是允许建立空连接、系统默认值)。

    判断:一开始我以为中了病毒,用瑞星杀毒后没有发现,当我把开机启动项的里“C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM”和“C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE”取消开机启动后,再将“服务”里的“Rising Process Communication Center”和“RsRavMon Service”禁用后,重新将"restrictanonymous"设为"1",然后重新启动计算机,这时问题就没有,但是如果启动用瑞星的服务和监控中心后又会出现上面的情况,烦恼不已,望能解决我的苦恼。。。

    PS:不知道其他人有没有和我一样的问题?以前安装的2004版没有这个问题,2000和xp下都有上述问题。“本地安全策略”的“安全选项”已经把“对匿名连接的额外限制”改为了“不允许枚举SAM帐号和共享”(也就是restrictanonymous为1的值)但问题还是和上面一样。

希望有人可以帮帮我,谢谢……!!!
taylor05771 - 2005-9-4 12:55:00
restrictanonymous
是枚举帐号 !
0和1没有多大区别
1 也是可以突破的
taylor05771 - 2005-9-4 13:00:00
最近大家都在讨论着关于WINDOWS 2000 SMB的攻击,其实这些都已经不是新鲜概念了, 但是现在它的确很受欢迎..
SMB是个什么东东呢? 他就是Internet文件系统/服务器消息块网络协议(CIFS/SMB)我在这里只称它SMB..

RestrictAnonymous是一个RED_DWORD值,它可以被设置为3个可能的值之一:0,1,或2

下面是这三个值的含义..

取值 安全级别
0 无,依靠默认的权限
1 不允许查点SAM帐户和名称
2 没有显示的匿名权限则不能访问

我给大家介绍的是关于RestrictAnonymous设置为1时,有些工具仍然能够通过会话进行操作.

使用user2sid/sid2user识别帐户.

sid2user和user2sid是Evgenii Rudnyi开发的两个非常强大的Windows 2000的查点工具。这两个工具都是命令行工具。
他们能够利用用户名作为输入来查询Windows 2000 SID。关于sid幻影旅团的刺已经写过了相关文章,我就不多说了。
为远程使用他们,首先需要与目标计算机建立空会话。即使在RestrictAnonymous=1时。。

user2sid是用来查看sid的工具 首先,我们使用user2sid获取一个域SID:

c:\>user2sid \\192.168.202.33 "domain user"

s-1-5-21-8915387-1645822062-1819828000-513

Number of subauthorities is 5
Domain is WindowsNT
Length od SID in memory is 28 bytes
Type of SID is SidTypeGroup

这告诉我们该计算机的SID——以S-1开头,以连字符隔开的一组数字字符串。最后一个连字符后面称为相对标示符(RID),它是为内建的
NT/2000用户和组(例如administrator和guest)所预定义的。例如。administrator用户的RID总是500。guest用户的RID是501/直到了这一点,
我们就可以使用sid2user和已知的RID字符串加上SID 500来找出administrator账户的名字(即使它已经被改名)。

sid2user进行相反的操作,可以根据指定的sid获取用户名.

c:\〉sid2user \\192.168.2.33 5 21 8915387 1645822062 18198280005 500

Name is Alias
Domain is WindowsNT
Type of SID is SidTypeUser

注意这个命令的参数忽略了S—1和连字符。另一个有趣的事实是任何NT/2000本地系统或域中创建的第一个账户所分配的RID都是1000。每个
后续的对象得到下一个顺序的编号(1001、1002和1003等,RID是不重用的)。于是,一旦知道了SID,攻击者基本上就可以查点NT/2000系统
上每个用户和组,包括以前的以及过去的。还有需要注意的是在使用以上2个命令的时输入SID时必须从标识符颁发机构代码(对WINDOWS 2000来说总是5)开始,并使用空格而不是连字符来各开各个部分..


最后需要提醒一点的是,只要目标系统的TCP端口139或445是打开的,就可以正常的获取用户信息,尽管RestrictAnonymous可能设置为1。。

夜思宁烟 - 2005-9-4 16:22:00
RestrictAnonymous最安全的是设为2,但是那样会有一些问题,所以我设为了1,但是从2004升级到瑞星2005版本后就出现不管改成0、1、2都会最终变成0(默认值)。

以前是没有这种情况的。至于楼上的你说什么通过其它工具照样可以获取用户信息,但是这只是针对一些会用的人,我的135、445、139端口(TCP)都用瑞星防火墙关闭了。

还有:我关心的是为何瑞星2005会引起RestrictAnonymous这个值变成“0”?而以前的版本不会。并且当我把瑞星杀软的相关服务和开机自动项禁用后就没有上面的情况。

操作系统:win2000 server sp4(已补最新补丁roolup等).
夜思宁烟 - 2005-9-6 16:27:00
这个问题已经通过升级到最新版本(17.43.10)解决了。

可以关闭了。
1
查看完整版本: 【求助】瑞星杀毒软件引起开放“可建立空连接”