Sessione nulificata significa utilizzare la sessione SMB non autenticata alla condivisione $ IPC e accedere alle risorse in modo anonimo utilizzando le chiamate di funzione RPC in SMB
Poiché i processi in esecuzione nell'account di sistema locale non dispongono di nome utente / password, quindi hanno utilizzato una sessione null autenticata durante l'autenticazione SMB per accedere al computer remoto nelle versioni precedenti di Windows, un processo in esecuzione in Sistema locale utilizza ancora una sessione SMB non autenticata per accedere rete remota nella versione recente di windows?
Quando Windows si avvia crea diverse sessioni di accesso come Autorità NT / Sistema locale, Autorità Nt / Servizio locale, Autorità NT / Servizio di rete ecc. Compreso Autorità NT / Accesso anonimo utilizzato per sessione Null SMB non autenticata Localmente o in remoto. La mia seconda domanda è Teoricamente / Praticamente Possibile disconnettere questa sessione (NTAuthority / Accesso anonimo) e login successivo, quali rischi per la sicurezza possono essere presenti nella piattaforma Windows
Usando Logonsessions uno strumento da sysinternals possiamo vedere queste sessioni di accesso, Qui possiamo vedere Anonymous Logon Session Utilizzato per la connessione SMB non autenticata in Windows Server 2003
Logon session 00000000:0000e0cc:
User name: NT AUTHORITY\ANONYMOUS LOGON
Auth package: NTLM
Logon type: Network
Session: 0
Sid: S-1-5-7
Logon time: 13/04/2015 03:49:39
Logon server:
DNS Domain:
Per essere più specifici ci sono solo due domande qui:
-
Un processo in esecuzione con account di sistema locale in Windows 8.1 che tenta di accedere a una risorsa di rete locale / remota può ancora utilizzare la sessione Null durante l'autenticazione SMB?
-
È possibile disconnettersi dalla sessione NT Authority / Accesso anonimo che inizia quando Windows si avvia e la sessione viene utilizzata per la sessione anonima / nullo e, se possibile, quali rischi per la sicurezza si presentano alla recente piattaforma Windows?