Sesión nula significa usar una sesión SMB no autenticada para compartir IPC $ y acceder a los recursos de forma anónima utilizando las llamadas de función RPC en SMB
Dado que los procesos que se ejecutan en la cuenta del sistema local no tienen un nombre de usuario / contraseña, por lo que utilizaron una sesión nula no autenticada durante la autenticación SMB para acceder a la computadora remota en versiones anteriores de Windows. ¿Hay un proceso que se ejecuta en el sistema local? Sigue utilizando una sesión SMB no autenticada para acceder ¿Red remota en versión reciente de windows?
Cuando Windows arranca, crea varias sesiones de inicio de sesión, como NT Authority / Local System, Nt Authority / Local Service, NT Authority / Network Service, etc., incluyendo NT Authority / Anonymous Logon utilizado para sesiones nulas SMB no autenticadas local o remotamente. Mi segunda pregunta es teórica / práctica posible para cerrar sesión en esta sesión (NTAuthority / Anonymous Logon) y luego iniciar sesión, qué riesgos de seguridad puede presentar en la plataforma Windows
Usando Logonsessions, una herramienta de sysinternals, podemos ver estas sesiones de inicio de sesión. Aquí podemos ver una sesión de inicio de sesión anónima utilizada para una conexión SMB no autenticada en el servidor Windows 2003
Logon session 00000000:0000e0cc:
User name: NT AUTHORITY\ANONYMOUS LOGON
Auth package: NTLM
Logon type: Network
Session: 0
Sid: S-1-5-7
Logon time: 13/04/2015 03:49:39
Logon server:
DNS Domain:
Para ser más específicos, solo hay dos preguntas aquí:
-
¿Los procesos que se ejecutan en la cuenta del sistema local en Windows 8.1 que intentan acceder a un recurso de red local / remota pueden seguir utilizando la sesión nula durante la autenticación SMB?
-
¿Podemos cerrar sesión en NT Authority / Anonymous Sesión de inicio de sesión que se inicia cuando Windows se inicia y se utiliza sesión para sesión anónima / nula y, si es posible, qué riesgos de seguridad representa para la plataforma Windows reciente?