瑞星卡卡安全论坛

几个月前我用瑞星卡卡自动修复了如下的一个漏洞，结果造成我的IE被废了，什么网页都打不开！！后来我通 过提示手动将这个漏洞又返修了回来（把那个什么restrictanonymous的恢复为0了）但是还是不能访问网页啊 ！网游和QQ都能上就是网页打不开！！不是要人命吗！！？并且我发现卡卡的一个BUG，既然我把 restrictanonymous的值改回了0那么我从新扫描漏洞应该又会出现这个漏洞啊！结果它没有显示。鄙视之！还 有一个不人性化的地方——修改的东西没有生成日志。希望卡卡的设计者出来给我回答，如果因为这么一个白 痴的原因害我用GHOST还原，那么不出意外我会骂娘的！
---------------------------------------------------------------------------------------------------------------------
设置描述:
其他的计算机可以通过网络，以匿名方式获取到本机的信息

危险等级:★

自动修复:否

威胁描述:
其他的计算机可以通过网络，以匿名方式获取到本机的信息
提示：请谨慎选择此项，如果选择屏蔽匿名方式获取本机的信息，也将导致其他用户无法访问到本机的共享文 件夹。恢复此设置需要操作注册表，变更[restrictanonymous]键值的数据为“0”。
修改此安全级别的方法如下：
运行 Regedit.exe 编辑注册表，定位到子健 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa  上
将此子健中的值 restrictanonymous 由不安全的 0值 修改为安全级别高一些值 1 或 2。





用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; 360SE)

这里需要讲解一下这个键值的作用，建议将它的值设高些，这个键值不是导致ie无法打开网页的原因，不过卡卡安装补丁没有日志这个的确不是很方便，需要改进

RestrictAnonymous是一个RED_DWORD值,它可以被设置为3个可能的值之一:0,1,或2

下面是这三个值的含义..

取值 安全级别
0 无,依靠默认的权限
1 不允许查点SAM帐户和名称
2 没有显示的匿名权限则不能访问

我给大家介绍的是关于RestrictAnonymous设置为1时,有些工具仍然能够通过会话进行操作.

使用user2sid/sid2user识别帐户.

sid2user和user2sid是Evgenii Rudnyi开发的两个非常强大的Windows 2000的查点工具。这两个工具都是命令行工具。
他们能够利用用户名作为输入来查询Windows 2000 SID。关于sid幻影旅团的刺已经写过了相关文章，我就不多说了。
为远程使用他们，首先需要与目标计算机建立空会话。即使在RestrictAnonymous=1时。。

user2sid是用来查看sid的工具 首先，我们使用user2sid获取一个域SID:

c:\>user2sid \\192.168.202.33 "domain user"

s-1-5-21-8915387-1645822062-1819828000-513

Number of subauthorities is 5
Domain is WindowsNT
Length od SID in memory is 28 bytes
Type of SID is SidTypeGroup

这告诉我们该计算机的SID——以S-1开头，以连字符隔开的一组数字字符串。最后一个连字符后面称为相对标示符（RID）,它是为内建的
NT/2000用户和组(例如administrator和guest)所预定义的。例如。administrator用户的RID总是500。guest用户的RID是501/直到了这一点，
我们就可以使用sid2user和已知的RID字符串加上SID 500来找出administrator账户的名字（即使它已经被改名）。

sid2user进行相反的操作,可以根据指定的sid获取用户名.

c:\〉sid2user \\192.168.2.33 5 21 8915387 1645822062 18198280005 500

Name is Alias
Domain is WindowsNT
Type of SID is SidTypeUser

注意这个命令的参数忽略了S—1和连字符。另一个有趣的事实是任何NT/2000本地系统或域中创建的第一个账户所分配的RID都是1000。每个
后续的对象得到下一个顺序的编号（1001、1002和1003等，RID是不重用的）。于是，一旦知道了SID，攻击者基本上就可以查点NT/2000系统
上每个用户和组，包括以前的以及过去的。还有需要注意的是在使用以上2个命令的时输入SID时必须从标识符颁发机构代码(对WINDOWS 2000来说总是5)开始,并使用空格而不是连字符来各开各个部分..


最后需要提醒一点的是，只要目标系统的TCP端口139或445是打开的，就可以正常的获取用户信息，尽管RestrictAnonymous可能设置为1。。