หยุดผู้บุกรุกไม่ให้สามารถลอบเข้ามาใช้งาน Null Session หรือ Anonymous Session ได้ด้วยการแก้รีจิสทรีเพียงเล็กน้อย ก็สามารถจำกัดการแอ็กเซสเข้าระบบวินโดวส์ได้ทันที

พฤติกรรมการบุกรุกที่เราพบเห็นกันโดยทั่วไปนั้น แฮ็กเกอร์จะพยายามลอบเข้ามายังระบบของเป้าหมายไม่ทางใดก็ทางหนึ่งเพื่อจุดประสงค์ที่ต่างกัน ไม่ว่าจะเป็นการเข้ามาเพื่อขโมยข้อมูลสำคัญ หรือเข้ามาเพื่อสร้างความปั่นป่วนให้กับระบบของคุณ คุณจึงจำเป็นต้องปกป้องตัวเองในทุกรูปแบบของการโจมตี ไม่ว่าจะเป็นการติดตั้งไฟร์วอลล์ และระบบป้องกันผู้บุกรุกที่เรียกว่า Intrusion Detection System (IDS) หรือแม้แต่การติดตั้งซอฟต์แวร์ป้องกันไวรัสจากค่ายต่างๆ แต่คุณจะแน่ใจได้อย่างไรว่าเครื่องพีซีที่คุณใช้งานนั้นปลอดภัยอยู่ตลอดเวลา ข้อเท็จจริงประการหนึ่งที่คุณควรทราบไว้ก็คือ ความเสี่ยงต่อการถูกบุกรุกนั้นเกิดขึ้นได้ตลอดเวลาตั้งแต่เริ่มเชื่อมต่อเครื่องพีซีเข้ากับระบบเน็ตเวิร์กแล้ว ทั้งการบุกรุกจากภายนอกและการบุกรุกจากภายใน การที่จะช่วยให้เครื่องคอมพิวเตอร์ในแพลตฟอร์มวินโดวส์ของคุณรอดพ้นจากการตกเป็นเป้าสายตาของเหล่าแฮ็กเกอร์นั้น จึงเป็นสิ่งที่ท้าทายแต่ก็ไม่ยากเกินกว่าคุณจะจัดการได้ ด้วยข้อเสนอและวิธีการป้องกันเพียงไม่กี่ข้อของเราผนวกกับการใช้เครื่องมือที่มีอยู่อย่างมีประสิทธิภาพ คุณก็สามารถสร้างเกราะป้องกันภัยเพื่อต่อสู้กับผู้บุกรุกได้อย่างไม่ยากเย็นนัก

ขั้นตอนแรกก็เริ่มจากการทำให้เครื่องคอมพิวเตอร์ของคุณอัพเดตอยู่ตลอดเวลา โดยอัพเดต Service Pack หรือ Patch ต่างๆ ให้ล่าสุดอยู่เสมอ เพื่อป้องกันการทำงานผ่านการสแกนพอร์ตต่างๆ บนเครื่อง หากระบบของคุณใช้วินโดวส์เอ็กซ์พีหรือวินโดวส์ 2000 ที่ติดตั้ง Service Pack 3 แล้วล่ะก็ คุณสามารถเลือกใช้งานฟีเจอร์ Critical Updates ที่มีอยู่เพื่อทำให้ระบบอัพเดต Patch ล่าสุดได้ตลอดเวลา แต่หากคุณใช้วินโดวส์เวอร์ชันก่อนหน้านี้ก็อย่างเพิ่งน้อยใจ เพราะคุณสามารถเข้าไปดาวน์โหลดฟีเจอร์ Critical Updates ได้จากเว็บไซต์ของไมโครซอฟท์ที่ ww.microsoft.com/windows/ie/downloads/critical/q321232/default.asp

ในส่วนของวินโดวส์ที่ใช้เอ็นทีเคอร์แนลทุกเวอร์ชัน (วินโดวส์เอ็นที, 2000 และเอ็กซ์พี) จะมีช่องโหว่สำคัญอันหนึ่งที่คุณต้องคำนึงถึงก็คือ ผู้บุกรุกสามารถลอบเข้ามาเรื่องใช้งาน Session แบบไม่ระบุชื่อผู้ใช้ที่เรียกว่า Null Session หรือ Anonymous Session ได้ทันที เนื่องจาก Session ดังกล่าวถูกกำหนดให้เปิดไว้เป็นค่าดีฟอลต์อยู่แล้ว ทำให้ผู้บุกรุกสามารถลอบเข้ามาดึงข้อมูลในฐานข้อมูล SAM (Security Account Manager) ได้ผ่านทางช่องโหว่นี้ ซึ่ง SAM เป็นฐานข้อมูลหลักของวินโดวส์เอ็นทีสำหรับเก็บข้อมูลแอ็กเคานต์ของยูสเซอร์และกรุ๊ปทั้งหมดในระบบ และแน่นอนว่าสิ่งแรกที่เหล่าแฮ็กเกอร์จะทำก็คือ เข้าไปกำหนดสิทธิให้ตัวเองมีสิทธิเทียบเท่า Administrator หรือดึงพาสเวิร์ดของ Administrator มาใช้งาน

นอกจากนี้ยังมีอีกทางหนึ่งที่ทั้งวินโดวส์เอ็นที, 2000 และเอ็กซ์พียอมให้ Anonymous สามารถเข้ามาในระบบได้ นั่นคือการแอ็กเซสผ่านทางแชร์โฟลเดอร์ (Shared Folder) หรือผ่านทาง Inter-Process Communication Share (IPC$) ซึ่ง IPC$ นั้นเป็นการเชื่อมต่อทางหนึ่งที่จำเป็นต้องมีไว้เพื่อเชื่อมต่อเน็ตเวิร์กแบบเครื่องต่อเครื่อง แต่ IPC$ ก็เป็นอีกช่องทางหนึ่งที่ผู้บุกรุกสามารถใช้เพื่อเข้าไปยังเครื่องไคลเอ็นต์ได้เช่นกัน โดยเพียงแค่พิมพ์คำสั่งต่อไปนี้เท่านั้น

net use ipc$ “” /user:””

ตัวแปร หมายถึงชื่อเครื่องในรูปแบบ NetBIOS Name หรือไอพีแอดเดรสของเครื่องเป้าหมายก็ได้ คำสั่งนี้เป็นการกำหนดให้แอ็กเซสเข้าเครื่องเป้าหมายได้โดยไม่จำเป็นต้องอาศัยการใส่ยูสเซอร์และพาสเวิร์ดของผู้ใช้ที่มีสิทธิเลยก็ได้ วิธีการแอ็กเซสในลักษณะนี้ไม่สามารถเข้าไปควบคุมการทำงานของเครื่องคอมพิวเตอร์เป้าหมายได้ก็จริง แต่ก็สามารถเรียกให้แสดงรายชื่อยูสเซอร์ทั้งหมดที่มีในระบบได้ และยังสามารถดูได้อีกว่ากรุ๊ปนั้นๆ มียูสเซอร์อะไรอยู่บ้าง มีสิทธิการใช้งานที่ใดบ้าง และมีแชร์โฟลเดอร์ใดอยู่บนเครื่องบ้าง เป็นต้น

การปิดช่องโหว่ดังกล่าวสามารถทำได้โดยอาศัยเครื่องมือที่มีอยู่แล้วบนเครื่องคอมพิวเตอร์ทุกเครื่อง นั่นคือ โปรแกรม Registry Editor คุณสามารถเข้าไปแก้ไขค่ารีจิสทรีของวินโดวส์เพื่อปิดการเรียกใช้งานแบบ Anonymous ของวินโดวส์เอ็นทีและ 2000 ได้โดยเข้าไปที่ HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa ดูที่หน้าต่างด้านขวามือและหาค่าตัวแปรประเภท DWORD ที่มีชื่อว่า RestrictAnonymous หากไม่พบให้คลิ้กขวาที่หน้าต่างด้านขวามือ เลือกเมนู Edit | New | DWORD Value และใส่ค่า RestrictAnonymous นี้ลงไป ในวินโดวส์เอ็นทีที่ติดตั้ง Service Pack 3 แล้ว หรือวินโดวส์ 2000 นั้น สามารถกำหนดค่าตัวแปรนี้ได้ 3 ค่าคือ 0, 1 หรือ 2 โดยหากกำหนดค่าเท่ากับ 2 หมายความว่าระบบจะไม่ยอมรับการเรียกใช้ Null Session ใดๆ เลย แต่หากกำหนดค่าเท่ากับ 0 ก็หมายความว่าระบบเปิดให้ส่งค่า Null เข้ามาได้นั่นเอง เมื่อเปลี่ยนค่าเรียบร้อยแล้วก็เพียงแค่รีบูตเครื่องเท่านั้น แต่บางครั้งการกำหนดค่า RestrictAnonymous ให้เท่ากับ 2 นั้นอาจมีปัญหากับการเชื่อมต่อหรือการแชร์ข้อมูลระหว่างระบบที่ไม่ใช่วินโดวส์ 2000 ได้ เพราะระบบวินโดวส์ 2000 จะปิดการแอ็กเซสในรูปแบบ Anonymous ทั้งหมดนั่นเอง

ในส่วนของวินโดวส์เอ็กซ์พีได้พัฒนาความสามารถในการปรับแต่งค่าในรีจิสทรีมากขึ้นและได้แก้ปัญหาที่เคยประสบกับวินโดวส์เวอร์ชันก่อนๆ โดยเพิ่มการจำกัดการเรียกใช้งาน Null Session ที่ยืดหยุ่นขึ้น คุณสามารถกำหนดค่าตัวแปรที่เกี่ยวข้องกับ RestrictAnonymous เพิ่มเติมอีก 2 ค่า ได้แก่ RestrictAnonymousSAM และ EveryoneIncludesAnonymous โดยทั้งสองตัวแปรเป็น DWORD การกำหนดค่าของ RestrictAnonymous เท่ากับ 1 จึงหมายถึงการปิดการแอ็กเซสข้อมูลของ Anonymous ในรูปแบบของการแชร์ไฟล์ ส่วนการกำหนดค่าของ RestrictAnonymousSAM เท่ากับ 1 นั้นเพื่อป้องกันการเจาะเข้าไปในฐานข้อมูล SAM และสุดท้ายคือการกำหนดค่าของ EveryoneIncludesAnonymous เท่ากับ 0 นั้นเพื่อป้องกันการเรียกใช้งาน Null Session นั่นเอง ด้วยการกำหนดค่าที่หลากหลายในวินโดวส์เอ็กซ์พีดังที่ได้กล่าวมาแล้วนั้น ทำให้วินโดวส์เอ็กซ์พีมีความยืดหยุ่นในการตั้งค่าความปลอดภัยมากขึ้น ในขณะที่การใช้งานไฟล์หรือรีซอร์ส (Resource) ต่างๆ ก็ยังคงมีสิทธิอยู่เช่นเดิม

นอกจากวิธีการเพิ่มความปลอดภัยทั้งหมดที่ได้กล่าวไปแล้ว ยังมีอีกวิธีหนึ่งที่ช่วยให้คุณใช้งานแชร์ IPC$ บนระบบวินโดวส์เอ็นทีได้อย่างเต็มที่โดยไม่ต้องเข้าไปแก้ไขรีจิสทรี นั่นก็คือการติดตั้งไฟร์วอลล์เป็นส่วนๆ ภายในระบบเน็ตเวิร์ก เพื่อจำกัดการแอ็กเซสข้อมูลจากภายนอกผ่านทาง TCP/UDP ตั้งแต่พอร์ต 135 จนถึง 139 และพอร์ต 445 ด้วย ทำให้เครื่องคอมพิวเตอร์ทั้งหมดที่อยู่หลังไฟร์วอลล์เดียวกัน สามารถใช้งาน Null Session ร่วมกันได้เท่านั้น ซึ่งก็เป็นอีกทางเลือกหนึ่งสำหรับผู้ดูแลระบบอาจนำไปพิจารณาได้

ขอขอบคุณ ข้อมูลจาก www.arip.co.th
คัดลอกจาก www.tttbroadband.com
ด้วยความปราถนาดี ถ้ากระทู้เป็นที่รำคาญหรือไม่พอใจกรุณาโพสว่าได้เลยครับ หรือลบก็ได้ แล้วจะไม่ทำอีก

อ่านยากไปนิดอ่ะ   แต่สาระเต็มเปี่ยมงับ

ดีครับเสริมสร้างความรู้ดี

ท่านฮาโอ
ขอโทษนะครับ
ลิ้งค์ของท่าน
ww.microsoft.com/windows/ie/downloads/critical/q321232/default.asp
ขาดตัว  w  ไปตัวหนึ่งจึงจะสมบูรณ์ครับ
ถึงว่า  ผมเข้าไปสามครังไม่ได้สักครั้ง  เพิ่งรู้ว่ามันขาดไปตัวหนึ่ง
 

สุดยอด