مشکل Share در ویندوز بعد از ویروسی شدن

در برخی مواقع سیستم دچار ویروس هایی می شود که در بستر شبکه منتشر می شوند. این بدافزارها تنظیمات شبکه ویندوز رو تغییر می دهند تا بتوانند خود را در شبکه گسترش دهند. آنتی ویروس ها گاهی ویروس ها را از بین می برند اما آثاری که از آنها به وجود می آید همچنان باقی می مانند.

نوعی از این ویروسها پوشه ای در C:\Windows\NetworkDistribution ساخته و اقدام به اقدامات خرابکارانه می کند. پس از شناسایی توسط آنتی ویروس ها مانند کوییک هیل، کسپرسکی، کی سون، سیمنتک، اف سکیور و... پاکسازی شده اما اشتراک گذاری در ویندوز 7 با مشکل مواجه خواهد شد. یعنی کامپیوتر پاکسازی شده به شبکه دسترسی دارد اما نمی تواند اطلاعات و پرینتر خود را به اشتراک بگذارد.

نکته اینکه امکان دسترسی به آی پی لوپ بک (127.0.0.1\\) و یا اسم کامپیوتر ( مثلا MyPC1\\) وجود دارد اما دسترسی به IP خود سیستم (مثلا 192.168.0.57\\) بر روی خود سیستم و دیگر کلاینتهای شبکه وجود ندارد.

تمامی سرویس ها، تنظیمات شبکه، حذف تنظیمات پیش فرض هم کمکی به رفع این مشکل نمی کند.

جالب است که پورت 445 که برای به اشتراک گذاری هست بر روی همه آی پی ها 0.0.0.0 در حال listen هست:

  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    [::]:445               [::]:0                 LISTENING       4

مشکل در ایجاد یک فیلتر در Local Security Policy می باشد که دسترسی به شیر رو محدود می کند.

Local Security Policy > IP Security Policies on Local Computer

فقط کافی است که فیلتر مربوطه حذف و یا غیرفعال گردد.

این مشکل برای ویروس wannacry روی پورت 139 نیز وجود دارد.

غیر فعال کردن حساب کاربری Administrator ویندوز

یکی از اقدامات پیشگیرانه امنیتی خصوصا در حملات باج افزاری و جستجوی فراگیر، غیرفعال کردن حساب کاربری ادمین ویندوز (Administrator) و تعریف یک حساب کاربری جدید می باشد. با این کار احتمال حملات دیکشنری و جستجوی فراگیر کمتر می شود.

ابتدا یک کاربر با سطح دسترسی ادمین ساخته و بسته به نوع ویندوز (از XP، ونیدوز 7، 8، 10، سرور 2000، 2003، 2008، 2008 R2 و 2012 و 2012 R2 و ویندوز 2016) یکی از روشهای زیر را انتخاب می کنیم.

روش اول:
- از منوی استارت ویندوز، گزینه CMD را جستجو کرده و با کلیک راست بر روی آن گزینه Run as Administrator را انتخاب می کنیم. ( و یا با فشردن همزمان کلیدهای Windows و X گزینه Command Prompt (Admin) را انتخاب می کنیم)

​
- عبارت زیر را تایپ و اینتر می کنیم:
net user administrator /active: no

​

- عبارت زیر نمایش داده می شود که نشان از موفقیت در غیرفعال سازی اکانت ادمینیستریتور می باشد:
The command completed successfully
روش دوم:
- عبارت زیر را در Run نوشته و اینتر می زنیم:
secpol.msc
تا کنسول Local Security Policy باز شود.

​

- پوشه Local Policies و زیرپوشه Security Options را در سمت چپ پنجره انتخاب می کنیم.
- بر روی گزینه اول Accounts: Administrator account status دو بار کلیک می کنیم تا پنجره Properties باز شود.

​

- گزینه Disabled را تیک می کنیم.
- پنجره را OK می کنیم.

روش سوم:
- پنجره Run را با فشردن همزمان کلیدهای پنجره و R باز می کنیم.
- عبارت زیر را در Run نوشته و اینتر می زنیم:
lusrmgr.msc
تا کنسول مایکروسافت Local Users and Groups باز شود.

​
- پوشه Users را در سمت چپ پنجره انتخاب کرده و بر روی حساب کاربری Administrator دو بار کلیک می کنیم تا پنجره Properties باز شود.

​

- گزینه Account is Disabled را تیک می کنیم.
- پنجره را OK می کنیم.

در کنار استفاده از راهکارهای امنیتی و محافظتی، استفاده از سامانه های امنیتی قدرتمند مانند راهکارهای جامع امنیت سازمانی سکورایت کوییک هیل مانند اندپوینت سکیوریتی کوییک هیل و سامانه مدیریت یکپارچه تهدیدات و فایروال UTM سکورایت، می توانند سدی در برابر انواع تهدیدات نوین آفلاین و آنلاین باشند.

 منبع