Sécurité et connexions anonymes
Windows XP/2000 présentent un sérieux problème dans la confiance qu'il accorde par défaut aux protocoles CIFS/ SMB et netbios, une parade adéquate au hack par connexion nulle !
Ces protocoles comprennent des API qui renvoient des informations précieuses concernant une cible via le port 139 netbios, et ce même à des utilisateurs non identifiés. La première étape de l'accès à distance de ces API consiste justement à créer une connexion non authentifiée vers un système XP ou 2000 en utilisant une commande de "connexion nulle " dans l'hypothèse ou le port TCP 139 s'est révélé actif lors d'un scan de port.
En cas de succès,
l'attaquant peut alors disposer d'un canal ouvert par le biais duquel il peut
exploiter pour piller un maximum d'informations ( réseau, ressources partagées,
registres etc...)
Microsoft a fourni un mécanisme qui permet d'empêcher tout action de prises
d'informations sensibles par les connexions nulles en désactivant SMB. Ce
mécanisme s'appelle "RestrictAnonymous" sur la clé de registre du même
nom :
Ouvrez la base de registre.
Allez dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
Ouvrir ou créer la
valeur REG_DWORD restrictanonymous et lui donner la valeur 1
pour XP (ou 2 pour 2000).