Ms-ds-group-managed-service-account class

ADAM Attributes

This class contains the following attributes for ADAM:


[3] Vulnerability Identification

Naturally good old port 445 is open, why don’t we use that.  Now, to be highly effective with Metasploit requires a ton of research in order to use all it’s tools.  But when you spend that time researching, it’s obvious that they work… very good.  

For this step we want to scan 445 to determine the version, so we search Metasploit for a SMB (Samba) scanner.

Here ‘RHOSTS‘ must be set to the victim’s IP.  Also, increasing the THREADS is a good idea.  I don’t increase this much due to the drain on my laptop’s battery.  One valuable command I failed to learn early on was unset.  Use this command to set a module’s option back to default/blank, i.e. ‘unset RHOSTS‘ resets the value

Next, run the scanner.

The scan gives us ‘Samba version 3.0.20’ as the version being run on the victim’s system.  From here, quit being lazy and do research.  This is a pretty simple example but some exploits can take a ton of additional work work.  There’s always guess and check with Metasploit modules but personally I avoid making more work for myself, you should too.  Metasploit.com contains all the modules within Metasploit.  So obviously we search the Metasploit website for what information/modules/vulnerabilities it has to offer.  To search within a domain on Google, use XYZ Search ‘site:domaintosearch.com‘.

Scrolling down will display the module usage.  Then, search the Metasploit console for this exploit (copy paste works wonders).  Additionally, typing ‘info exploit/multi/samba/usermap_script’ gives us some information before we open up a module.

Заключительные советы

Приведенные выше методы (за исключением третьего) позволяют закрыть не только порт 445, но и порты 135, 137, 138, 139. Для этого при выполнении процедуры просто заменяйте номер порта на нужный.

Если вам впоследствии понадобится открыть порты, просто удалите созданное правило в брандмауэре Windows или измените значение созданного в реестре параметра с 0 на 1, а потом включите обратно службу Windows Server, выбрав в списке Тип запуска значение Автоматически вместо Отключена.

Важно! Необходимо помнить, что порт 445 в Windows отвечает за совместный доступ к файлам, папкам и принтерам. Таким образом, если вы закроете данный порт, вы больше не сможете «расшарить» общую папку для других пользователей или распечатать документ по сети. Если ваш компьютер включен в локальную сеть и данные функции необходимы вам для работы, следует воспользоваться сторонними средствами защиты

К примеру, активируйте сетевой экран вашего антивируса, который возьмет под контроль все порты и будет осуществлять их мониторинг на предмет несанкционированного доступа

Если ваш компьютер включен в локальную сеть и данные функции необходимы вам для работы, следует воспользоваться сторонними средствами защиты. К примеру, активируйте сетевой экран вашего антивируса, который возьмет под контроль все порты и будет осуществлять их мониторинг на предмет несанкционированного доступа.

Выполняя приведенные выше рекомендации, можно обезопасить себя от незаметной, но серьезной уязвимости в Windows и защитить свои данные от многочисленных видов зловредного программного обеспечения, которое способно проникнуть в систему через порты 139 и 445.

Закрываем порты 135-139 и 445 в Виндовс

Мы предлагаем вам ознакомиться с самыми простыми способами закрытия портов Виндовс, которые не требуют дополнительных знаний и профессиональных навыков.

Используем командную строку

Командная строка Windows – это программная оболочка, которая используется для задания определенных функций и параметров софту, не имеющему собственной графической оболочки.

Для того чтобы запустить командную строку, необходимо:

1. Одновременно нажать сочетание клавиш Win+R
2. В появившейся командной строке ввести CMD
3. Нажать на кнопку «ОК»

Появится рабочее окно с чёрным фоном, в котором необходимо поочередно вводить нижеприведенные команды. После каждой введенной строчки нажимайте клавишу Enter для подтверждения действия.netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=135 name=»Block1_TCP-135″
(команда для закрытия порта 135)netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=137 name=»Block1_TCP-137″
(команда для закрытия порта 137)netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=138 name=»Block1_TCP-138″
(команда для закрытия порта 138)netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=139 name=»Block_TCP-139″
(команда для закрытия порта 139)netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name=»Block_TCP-445″
(команда для закрытия порта 445)netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=5000 name=»Block_TCP-5000″

Шесть приведенных нами команд необходимы для: закрытия 4х уязвимых TCP-портов Windows (открытых по умолчанию), закрытия UDP-порта 138, а также закрытия порта 5000, который отвечает за выведение списка доступных сервисов.

Закрываем порты сторонними программами

Если вы не хотите тратить время на работу с командной строкой, мы предлагаем вам ознакомиться со сторонними приложениями. Суть такого софта заключается в правке реестра в автоматическом режиме с графическим интерфейсом, без необходимости в ручном введении команд.

По мнению наших пользователей, самой популярной программой для этих целей является Windows Doors Cleaner. Она поможет с лёгкостью закрыть порты на компьютере с ОС Windows 7/8/8.1/10. Более старые версии операционных систем, к сожалению, не поддерживаются.

Службы

NetBIOS/NetBEUI предоставляет три несвязанных службы:

• Служба имен — для регистрации и прекращения регистрации имен.
• Службы доставки датаграмм — для «бесконтактных» соединений.
• Сессионная служба — для установления подключений, ориентированных на связь.

В протоколе NBF реализованы все три упомянутые службы.

Служба имен

Прежде чем начать сессию или доставить датаграмму приложение должно зарегистрировать свое имя NetBIOS/NetBEUI, используя службу имен. Для осуществления этого в сеть посылаются широковещательные пакеты Add Name Query (англ. запрос нового имени) и Add Group Name Query (англ. запрос нового группового имени). В случае, когда выбранное имя NetBIOS/NetBEUI уже занято, служба имен на хосте, использующем это имя, отправляет в сеть широковещательное сообщение Node Conflict (англ. конфликт узлов).

Чтобы установить сессию или доставить датаграмму на определенный хост вместо широковещательной рассылки, протокол NBF должен определить MAC-адрес адрес хоста с нужным именем NetBIOS/NetBEUI. Это осуществляется отправкой в сеть пакета Name Query (англ. запрос имени), ответом на который будет MAC-адрес хоста, направившего ответ, то есть хоста с запрошенным именем.

Служба доставки датаграмм

Режим отправки датаграмм — т. н. «бесконтактный». Датаграмма отсылается в специальных пакетах Datagram при отправке на определенное имя NetBIOS/NetBEUI. В случае отправки на все доступные имена NetBIOS/NetBEUI в сети используется другой тип пакетов — Datagram Broadcast (англ. широковещательные Datagram)

Сессионная служба

В сессионном режиме два хоста устанавливают соединение в режиме т. н. «диалога» (англ. conversation), что позволяет осуществлять доставку сообщений большего размера, а также осуществлять обнаружение и коррекцию ошибок.

Для установки сессии требуется осуществить обмен пакетами. При инициализации сессии хост должен отправить специальный пакет Name Query. Компьютер, с которым должна быть установлена сессия, отвечает пакетом Name Recognized (англ. имя опознано) с указанием, что сессия не может быть установлена (либо потому что хост не ожидает установления сессии с данным компьютером, или из-за отсутствия ресурсов на установление новой сессии), либо с указанием на возможность установления сессии (в этом случае в ответе также указывается локальный номер сессии, который будет использоваться в последующих пакетах). Хост, инициализировавший сессию после этого отправляет пакет Session Initialize (англ. инициализация сессии), на что должен поступить ответ Session Confirm (англ. подтверждение сессии).

После установления сессии данные передаются в пакетах данных. Стандарт IEEE 802.2 обеспечивает управление потоками и ретрансляцию пакетов данных. Поскольку NetBIOS/NetBEUI позволяет осуществлять передачу пакетов бо́льшего размера, нежели максимально возможный пакет на конкретном слое управления доступом к среде, пакеты NetBIOS/NetBEUI при передаче могут быть разбиты на серию пакетов Data First Middle и пакет Data Only Last. Пакеты, которым не требуется разбитие, отправляются единственным пакетом Data Only Last. После получения каждого пакета Data Only Last высылается подтверждение получения. Это подтверждение также означает, что все предшествующие пакеты Data First Middle также успешно получены.

Сессия закрывается посредством отправки запроса Session End (англ. окончание сессии).

Закрываем порты через командную строку

Второй метод включает в себя операции с командной строкой и больше подходит для продвинутых пользователей Windows.

1. Нажмите Пуск
   и в строке поиска в нижней части меню наберите “cmd”
   . В отобразившемся списке кликните правой кнопкой мыши на cmd
   и выберите Запуск от имени администратора
   .
2. В окно командной строки скопируйте команду netsh advfirewall set allprofile state on.
   Нажмите Enter.
   
3. Затем скопируйте следующую команду: netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name=»Block_TCP-445″.
   Нажмите Enter
   еще раз.

В результате выполнения процедуры так же будет создано правило брандмауэра Windows для закрытия порта 445. Некоторые пользователи, впрочем, сообщают, что данный метод не работает на их машинах: при проверке порт остается в статусе “LISTENING”. В этом случае следует попробовать третий способ, который также достаточно прост.

Пробрасываем порт

Проброс порта — это соединение роутера и компьютера по открытому порту. Вышеописанные способы позволяли открыть порт на компьютере. После того как вы это сделаете, можно указать роутеру, что порт готов к работе и к нему можно подключиться. Есть два способа, позволяющих это сделать: автоматический и ручной. Первый потребует от вас минимум усилий: выбрать устройство для подключения и назначить имя виртуального сервера. Второй способ позволит выполнить настройку более детально.

На роутерах от разных производителей установлены различные прошивки. Также прошивки могут отличать в зависимости от их версии и модели роутера. В основном различие заключается во внешнем виде, то есть пункты и разделы в вашем случае могут располагаться и называться немного по-другому. Несмотря на это, процесс проброса порта на любом роутере выполняется практически одинаково.

Автоматический способ

Если вам не нужны дополнительные настройки, то выполните нижеописанные шаги. В примере используется прошивка роутера TP-Link.

Как только вписанные данные будут сохранены, начнётся проброс порта. После окончания процесса можно начинать пользоваться портом.

Ручной способ

Для более детальной настройки необходимо выполнить нижеописанные действия. Для примера взята прошивка роутера D-Link:

1. Войдите в учётную запись управления роутером, используя адрес, логин и пароль. Перейдите к расширенным настройкам, кликнув по кнопке в правом нижнем углу.
2. В блоке «Межсетевой экран» выберите подпункт «Виртуальные серверы».
3. Начните добавление нового сервера, нажав на соответствующую кнопку. Выберите произвольный шаблон и пропишите любое имя. В интерфейсе выберите интернет-соединение из списка. Укажите протокол и внутренний IP-адрес из списка. Внешний порт — порт устройства, с которого будет забираться трафик и отправляться на внутренний порт. Если вам нужен не один порт, а диапазон, заполняйте поля и начального, и конечного внутреннего и внешнего порта. Удалённый IP — адрес устройства, расположенного не в локальной сети, а во внешней (чаще всего поле остаётся пустым).

Сохранив настройки, вы пробросите порт. Им можно будет начинать пользоваться.

Закрываем порты через брандмауэр

Первый метод, позволяющий закрыть 445 порт в Windows, является наиболее простым и доступен практически любому пользователю.

1. Перейдите в Пуск > Панель управления > Брандмауэр Windows и нажмите на ссылку Дополнительные параметры.
2. Нажмите Правила для входящих исключений > Новое правило. В отобразившемся окне выберите Для порта > Далее > Протокол TCP > Определенные локальные порты, в поле рядом введите 445 и нажмите Далее.
3. Далее выберите Блокировать подключение и опять нажмите Далее. Установите три галочки, снова Далее. Укажите название и, при желании, описание нового правила и нажмите Готово.

Теперь возможность входящего соединения на порт 445 будет закрыта. Если необходимо, аналогичное правило можно создать и для порта 139.

Выясняем, открыты ли порты

В большинстве случаев порт 445 в Windows открыт, так как возможности совместного доступа к принтерам и файлам автоматически включаются еще при установке Windows. Это можно легко проверить на своей машине. Нажмите сочетание клавиш Win + R, чтобы открыть окно быстрого запуска. В нем введите “cmd” для запуска командной строки. В командной строке наберите “netstat –na” и нажмите Enter. Данная команда позволяет просканировать все активные сетевые порты и вывести данные об их статусе и текущих входящих подключениях.

Через несколько секунд появится таблица статистики по портам. В самом верху таблицы будет указан IP-адрес порта 445. Если в последнем столбце таблицы будет стоять статус “LISTENING”, то это означает, что порт открыт. Аналогичным образом можно найти в таблице порт 139 и выяснить его статус.

Windows Server 2008 R2 Attributes

This class contains the following attributes for Windows Server 2008 R2:

атрибуты сервера Windows 2000

этот класс содержит следующие атрибуты для сервера Windows 2000:

What is Port 139 used for

NetBIOS on your WAN or over the Internet, however, is an enormous security risk. All sorts of information, such as your domain, workgroup and system names, as well as account information can be obtained via NetBIOS. So, it is essential to maintain your NetBIOS on the preferred network and ensure it never leaves your network.

Firewalls, as a measure of safety always block this port first, if you have it opened. Port 139 is used for File and Printer Sharing but happens to be the single most dangerous Port on the Internet. This is so because it leaves the hard disk of a user exposed to hackers.

Once an attacker has located an active Port 139 on a device, he can run NBSTAT a diagnostic tool for NetBIOS over TCP/IP, primarily designed to help troubleshoot NetBIOS name resolution problems. This marks an important first step of an attack — Footprinting.

Using NBSTAT command, the attacker can obtain some or all of the critical information related to:

1. A list of local NetBIOS names
2. Computer name
3. A list of names resolved by WINS
4. IP addresses
5. Contents of the session table with the destination IP addresses

With the above details at hand, the attacker has all the important information about the OS, services, and major applications running on the system. Besides these, he also has private IP addresses that the LAN/WAN and security engineers have tried hard to hide behind NAT.  Moreover, User IDs are also included in the lists provided by running NBSTAT.

This makes it easier for hackers to gain remote access to the contents of hard disk directories or drives. They can then, silently upload and run any programs of their choice via some freeware tools without the computer owner ever being aware.

If you are using a multi-homed machine, disable NetBIOS on every network card, or Dial-Up Connection under the TCP/IP properties, that is not part of your local network.

Read: How to disable NetBIOS over TCP/IP.

Windows Server 2012

Как пользователи могут обращаться с IP-портом 445?

Принимая во внимание вышеупомянутые опасности, лучше всего, чтобы пользователи не открывали порт 445 в Интернет. Тем не менее, порт 445 глубоко укоренился в Windows, как и порт 135

Таким образом, становится трудным закрыть его безопасно. Сказав это, вполне возможно, чтобы закрыть его; однако, различные другие зависимые инструменты или сервисы, такие как протокол динамической конфигурации хоста (DHCP), который часто используется для автоматического получения IP-адресов от серверов DHCP, который используется большинством интернет-провайдеров, и корпорации перестают работать.

Кстати, нажмите здесь для полной Прокси против Брандмауэра сравнение.

Таблица: список портов и их задач

Полный список портов, осуществляющих интернет-соединение, можно увидеть в Wikipedia — https://ru.wikipedia.org/wiki/Список_портов_TCP_и_UDP.

Открывать порт необходимо для того, чтобы создать новый туннель передачи и получения данных через интернет. Каждый порт имеет свои характеристики и работает по своему протоколу. Открыть порт можно как через стандартный брандмауэр Windows, так и через сторонний антивирус или специальную программу. Проброс порта осуществляется через учётную запись настройки роутера.

Симптомы

Вы не можете получить доступ к общему ресурсу Server Message Block (SMB), даже если общий ресурс включен на целевом Windows Server. При запуске команды netstat для показа сетевых подключений результаты показывают, что TCP-порт 445 прослушивается. Однако сетевые следы показывают, что связь в TCP port 445 не удается следующим образом:

После того как вы включаете аудит событий изменения политики платформы фильтрации с помощью следующей команды, вы можете испытать некоторые события (например, ID события 5152), которые указывают на блокировку.

Пример ИД события 5152:

Захват сервера

Теперь из списка хостов, сгенерированных nmap, выберем IP-адрес под управлением ОС Windows 2003 Server — это и будет наша искомая цель (ведь ты, как настоящий сетевой гуру, хотя бы раз в жизни должен поиметь свой собственный дедик!). Для работы с сервером будем использовать все тот же эксплойт (exploit/windows/smb/ms08_067_netapi) и полезную нагрузку bind_meterpreter. В результате мы получаем доступ к командной оболочке через Meterpreter, после чего добавляем нового пользователя с помощью сценария token_adduser, предварительно повысив свои привилегии на удаленной машине до уровня SYSTEM с помощью команды use priv. Ну вот — у нас есть дедик, к которому ты можешь подключаться, используя удаленный рабочий стол. На нем мы можем установить прокси-сервер, FTP и многоемногое другое. В ходе эксперимента у меня получилось набрать пять дедиков примерно в течение часа. Я думаю, это круто!

Различные способы обеспечения безопасности портов SMB

Сохранение сетевых SMB-портов открытыми для работы приложений сопряжено с угрозой безопасности. Таким образом, пользователи могут думать о том, как они могут защитить свои сети и поддерживать работу приложений. Здесь мы предложили несколько вариантов, которые помогут вам защитить два самых важных и популярных брандмауэра для портов SMB.

1. Загрузите VPN для защиты и шифрования сетевого трафика.
2. Разрешить защиту конечных точек или брандмауэр портов SMB для защиты портов от киберпреступников. Многие решения содержат черный список для предотвращения соединения со знакомыми IP-адресами злоумышленников.
3. Внедрить VLAN для изоляции внутреннего сетевого трафика.
4. Используйте фильтры MAC-адресов для хранения неизвестных систем для доступа к сети. Тем не менее, это требует существенного управления для поддержания списка постоянно поддерживается.

Помимо указанных выше конкретных средств защиты сети, пользователи также могут реализовать стратегию защиты, ориентированную на данные, для защиты своего наиболее значимого ресурса, а именно хранилищ данных на общих файловых ресурсах SMB.

Понять, кто все может получить доступ к конфиденциальным данным через общие ресурсы SMB, довольно сложно. Varonis отслеживает данные и права доступа. Он даже обнаруживает конфиденциальные данные, представленные на акциях SMB

Важно отслеживать данные для выявления прогрессивных атак. Кроме того, важно защитить данные от взлома

Varonis показывает вам, где данные небезопасны на портах SMB. Он даже контролирует эти акции SMB на предмет нерегулярного доступа и надвигающихся кибератак. Прежде чем перейти к брандмауэру портов SMB, лучше всего проверить демонстрацию того, как Varonis отслеживает CIFS в EMC, общих папках NetApp, Samba и Windows для обеспечения безопасности данных.

Решение

Для устранения данной проблемы выполните следующие действия.

1. Установите обновление безопасности MS17-010, соответствующее операционной системе.

2. Выполните действия на вкладке «Что теперь делать» Win32/Adylkuzz.B.

3. Выполнить сканирование с помощью сканера безопасности Майкрософт.

4. Проверьте, блокирует ли политика IPSec порт TCP 445 с помощью следующих команд (и ознакомьтесь с приведенными в примерами результатами).

   Примечание

   При запуске команд на незараженом сервере политика не существует.

5. Если политика IPSec существует, удалите ее с помощью одного из следующих методов.

   • Запустите следующую команду:

   • Используйте редактор групповой политики (GPEdit.msc):

     Локальный редактор групповой политики/конфигурация компьютера/Windows Параметры/security Параметры/IPSec Security

Делаем выводы

Закрытие уязвимых сетевых портов в Виндовс – это не панацея от всех бед

Важно помнить, что сетевая безопасность может быть достигнута только комплексными действиями, нацеленными на закрытие всех уязвимостей вашего ПК

Для безопасности Windows пользователь в обязательном порядке должен устанавливать критические обновления от Microsoft, иметь лицензированных антивирусный софт и включенный файервол, использовать исключительно безопасное программное обеспечение и регулярно читать наши статьи, в которых рассказываем обо всех существующих способах достижения анонимности и безопасности ваших данных.

Вирус WannaCry, он же WannaCrypt или Wanna Decryptor, поразил виртуальный мир в мае 2017 года. Вредоносная программа проникала в локальные сети, заражая один компьютер за другим, шифровала файлы на дисках и требовала от пользователя перевести вымогателям от $300 до $600 за их разблокировку. Аналогичным образом действовал вирус Petya, получивший едва ли не политическую известность летом 2017 года.

Оба сетевых вредителя проникали в операционную систему компьютера-жертвы через одну и ту же дверь — сетевые порты 445 или 139. Вслед за двумя крупными вирусами и более мелкие виды компьютерной заразы начали эксплуатировать Что же это за порты, которые сканируют все, кому не лень?