Drukowana wersja tematu

Kliknij tu, aby zobaczyć temat w orginalnym formacie

P2P & Wyszukiwarki & Windows & Hardware _ Wirusy i Spyware - Bezpieczeństwo w

sieci _ Odliczanie 60 sekund + Generic Host Process

Napisany przez: picasso 20/06/2003, 7:55

Copyright @picasso searchengines.pl Powielanie tej pracy zabronione.

Robaki sieciowe / ataki DoS / Spam Posłańca

Objawy: Bardzo spowolniona sieć, trudności w ładowaniu stron www, a nawet całkowity zanik internetu.

Możliwe okoliczności towarzyszące to: charakterystyczny błąd 60 sekund odliczania i wynikowo

samoczynny reset komputera lub też błąd "Generic Host Process.....", zaobserwowaliśmy też jako jeden

ze znaków przebarwianie paska zadań na jakby "klasyczny". Błędy 60 sekund zostały rozpoczęte przez

bardzo już archaiczne robaki Blaster - Sasser i obecnie mogą być generowane przez różne inne robaki i

NIE TYLKO (też rootkity a nawet spyware) więc proszę się nie sugerować typem błędu. I uwaga: błąd 60

sec wcale nie znaczy iż komputer jest już zainfekowany, to może świadczyć tylko o ataku na komputer

bez tworzenia plików robaków na dysku.

Usuwanie: Na samym początku należy bezwzględnie zastosować opisany poniżej Windows Worms Doors

Cleaner by zamknąć drogę ataku robaków i spamu Posłańca. W dalszej kolejności udać się po pomoc

podając na forum stosowne logi.

.

Porty - Opis i zagrożenia

.

Automatyczne zamykanie portów:

____

.

Windows Worms Doors Cleaner

____

.

Seconfig XP

.

Prawidłowe instalowanie Windows 2000/XP/2003

.

Błąd Generic Host Process for Win32 Services

.

Napisany przez: picasso 29/08/2003, 5:49

Firewall a całkowite zamykanie specyficznych portów

135, 137-139, 445, 1900, 5000

Osobna zapora softwarowa (typu: ZoneAlarm / Kerio / Outpost etc.) nie jest rozwiązaniem

wystarczającym w tej materii, gdyż to czym się zajmuje firewall to nie całkowite zamykanie omawianych

tu portów lecz jedynie blokowanie do nich dostępu poprzez filtrowanie ruchu sieciowego. To oznacza iż

komponenty, które korzystają z tych portów, są nadal uruchomione. W takiej sytuacji firewall musi być

cały czas aktywny by ochrona miała miejsce i jesteśmy od tego faktu uzależnieni (chwilowe wyłączenie

zapory lub jej wyłożenie się na błędzie jest ekspozycją na zagrożenie). Ponadto zarówno komponenty

Windows pracujące na tych portach jak i firewall startują wspólnie podczas uruchamiania komputera, a

które z nich zainicjuje się pierwsze (czyli będzie mieć szansę na forsowanie własnych zadań) jest zagadką

wynikającą z masy czynników konfiguracyjnych.

Poniżej przedstawiam skrócony opis kluczowych portów wraz z ręczną metodą ich zamykania, która

polega na przekonfigurowaniu komponentów Windows. Jest to zagadnienie dla waszej orientacji co się

dzieje w systemie. Tych edycji nie trzeba wykonywać ręcznie - programy Windows Worms Doors

Cleaner i Seconfig XP przeprowadzają to automatycznie. To wprowadzenie by zrozumieć dlaczego te

porty są kluczowe i co te programy prowadzą w celu rozwiązania problemu. Zamknięcie tych portów nie

wpływa na szybkość pobierania w programach P2P (eMule, torrent etc.) i proszę tego nie łączyć.

NetBIOS over TCP/IP - NetBIOS przez TCP/IP

137-139

Port 137 UDP - Usługa NetBIOS Name / nazw NetBIOS. Odpowiada za łączenie adresów IP z nazwami

komputerów. Kojarzenie nazewnicze typowo odbywa się wg dwóch metod: serwer WINS (Windows

Internet Name Service) lub plik LMHOSTS (nie mylić z plikiem HOSTS!). Duża część pakietów UDP

blokowanych na firewallach nie ma związku z próbami ataku. Zagrożenie:

* Pobór przez atakującego informacji o układzie sieci

* Robaki sieciowe szukające otwartych zasobów Windows (cel = port 139TCP)

Port 138 UDP - Usługa NetBIOS Datagram. Komunikacja bezpołączeniowa w formie

http://pl.wikipedia.org/wiki/Datagram bez potwierdzenia ich dotarcia na miejsce, najczęściej

wykorzystywana w trybie rozgłaszania (broadcast). Obsługuje przesył informacji o sieci Windows. Z tych

właściwości korzysta usługa Computer Browser / Przeglądarka komputera, która buduje listę

komputerów wyświetlaną w Otoczeniu sieciowym. Również usługa Messenger / Posłaniec. Zagrożenie:

* Atakujący/haker poprzez zafałszowanie pakietów może dodać swój komputer do sieci lokalnej co

implikuje iż zostanie zniwelowa różnica zabezpieczeń występująca między komputerami internetowymi a

lokalnymi.

* Spam usługi Messenger / Posłaniec.

Port 139 TCP - Usługa NetBIOS Session / sesji NetBIOS (SMB przez NetBIOS). Komunikacja

połączeniowa w formie sesji. Odpowiada za właściwą wymianę danych i współdzielenie zasobów plików /

drukarek w sieci lokalnej oraz za tworzenie tzw. null-session (mówiąc w skrócie logowanie użytkownika

bez nazwy i bez żadnego hasła). Zagrożenie:

* Port będący celem ataków hackerskich, często skanowany w poszukiwaniu zasobów. Popularna metoda

hackowania udostępnianie plików i drukarek to atak typu "brute force" / siłowy, polegający na łamaniu

haseł przez sprawdzanie jak największej liczby prawdopodobnych kombinacji.

* Jest to również port, z którego korzysta usługa Messenger / Posłaniec produkując bezpośredni spam w

pop-upach.

* Jedna z dróg transportu robaków sieciowych

Skutki uboczne wyłączenia portów NetBIOS (włącznie z 445 = patrz dalej): Przestanie działać Otoczenie

sieciowe i funkcja Udostępniania plików i drukarek w sieci oraz inne aspekty sieci Microsoft Networks (nie

mylić sobie tego z www, e-mail i tego typu komunikacjami szaraków). W LAN prawdopodobnie NetBIOS

jest niezbędny ale zależy to też od tego w jaki sposób LAN rozwiązano. Test bardzo prosty: jeśli po

całkowitym zamknięciu portów 137-139 (włącznie z 445) i resecie komputera padnie całkowicie dostęp

do internetu, NetBIOS jest wymagany.

Te trzy komunikacje NetBIOS stosunkowo łatwo wyłączyć (usługa Posłaniec = patrz dalej):

Panel sterowania >>> Połączenia sieciowe >>> prawy klik na dane połączenie >>> Właściwości >>>

podświetlić Protokół TCP / IP >>> Właściwości >>> Zaawansowane >>> zakładka WINS >>> Wyłącz

system NetBIOS przez TCP/IP:

SMB over TCP/IP - SMB przez TCP/IP

445

Port 445 służy do poszerzonej komunikacji protokołu SMB bezpośrednio przez TCP/IP, z pominięciem

okrężnej drogi "NetBIOS przez TCP/IP". Jest to dodatkowa droga współdzielenia plików i drukarek

sieciowych (patrz porty 137-139), w związku z tym port 445 jest często skanowany w poszukiwaniu

otwartych zasobów sieciowych Windows. Zagrożenia:

* Port silnie atakowany przez hakerów, robaki i rozproszone botnety.

* Spam wysyłany przez usługę Messenger / Posłaniec.

Skutki uboczne zamknięcia portu 445: Uniemożliwione współdzielenie plików i drukarek w sieci o ile

nastąpi równocześnie zamknięcie portów NetBIOS 137-139. Wynika to z faktu iż próba komunikacji

odbywa się "równolegle" w celu zachowania kompatybilności portów (445 jest portem współdzielenia

tylko na nowych Windows 2000 w górę). Jeśli jest włączone NetBIOS over TCP/IP, zawsze jest

równoczesna próba nawiązania połączenia na porcie 139 oraz 445, a w zależności od szybszej odpowiedzi

(lub jej braku) sesja właściwa odbywa się przez port 139 lub 445. Jeśli NetBIOS over TCP/IP jest

wyłączone, nawiązywanie sesji jest forsowane tylko przez 445. Wniosek: zamknięcie portu 445 przy

pozostawieniu otwartych 137-139 nie wpłynie na funkcjonowanie LAN.

Wyłączanie SMB przez TCP/IP (usługa Posłaniec = patrz dalej):

Start >>> Uruchom >>> regedit i w kluczu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters

W okienku po prawej stronie klikasz prawym >>> Nowy >>> Wartość DWORD >>> jako nazwę

wprowadź

SmbDeviceEnabled

. Kliknij podwójnie na nowo utworzoną wartość SmbDeviceEnabled i

wpisz liczbę

0

.

RPC over TCP/IP

135

Jest to port usługi DCOM / RPC Endpoint Mapper. W sposób współdzielony korzystają z niego takie usługi

jak Distributed Transaction Coordinator (MSDTC), Task Scheduler (Harmonogram zadań) a także

Messenger (Posłaniec). Zamknięcie portu zalecane dla standardowych komputerów domowych. W

środowisku Microsoft Networks problematyczne gdyż RPC jest tam szeroko wykorzystywane, głównie w

celach administracyjnych. Zagrożenie:

* Spam wysyłany przez usługę Messenger / Posłaniec. Jak wspomniane wcześniej Posłaniec korzysta z

portów NetBIOS (137-139) ale mimo ich zamknięcia nie ma 100% ochrony przed spamem gdyż

polecenie net send w przypadku "zatkania" tych portów obiera drogę alternatywną właśnie przez port

135.

* Port silnie wykorzystywany przez robaki sieciowe i ataki hackerskie.

Skutki uboczne zamknięcia portu 135: Zamykanie portu 135 odbywa się stopniowo poprzez wyłączanie

kolejnych składników korzystających z tegoż portu. Wyłączenie samego DCOM nie niesie negatywnych

efektów na standardowym komputerze. Ale inaczej sprawa się ma z Harmonogramem zadań. Po

całkowitym zamknięciu portu 135 usługa Harmonogramu nie startuje (dotyczy Windows XP i 2003,

Windows 2000 nie ma takich problemów). Harmonogram jest potrzebny na XP do działania wbudowanej

funkcji Prefetch (szczegóły: http://www.searchengines.pl/phpbb203/index.php*showtopic=5989) oraz

innych planowanych zadań. Z tym że tu moja uwaga własna: na moim XP SP2 całkowite zamknięcie 135

nie wpłynęło na usługę Harmonogramu.....

Wyłączanie DCOM / RPC Mapper (usługa Posłaniec = patrz dalej):

Start >>> Uruchom >>> regedit i w kluczu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole

W okienku po prawej stronie kliknij dwukrotnie w

EnableDCOM

i wpisz literkę

N

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc

W okienku po prawej stronie kliknij dwukrotnie w

DCOM Protocols

i z okienka usuń ncacn_ip_tcp.

Odpowiednikiem tych dwóch edycji rejestru jest następująca operacja via:

Start >>> Uruchom >>> dcomcnfg.exe >>> Usługi składowe >>> Komputery >>> z prawokliku na

Mój komputer wybierz Właściwości >>> w zakładce Właściwości domyślne usuń ptaszek z opcji Włącz

model obiektów rozproszonych COM na tym komputerze a w zakładce Domyślne protokoły

podświetl tam widniejący i Usuń:

Usługa Messenger / Posłaniec

135, 137-139, 445

Messenger (w polskim Windows: Posłaniec) to sieciowa usługa przesyłająca pomiędzy klientami a

serwerami komunikaty net send, służące typowo administratorom sieci do informowania użytkowników

o różnych zdarzeniach (np. o resecie serwera etc.). Komunikacja Messengera korzysta z wszystkich

wyżej wymienionych portów: 135,137,138 UDP oraz 135,139,445 TCP. Od razu uściślenie: w angielskiej

wersji językowej usługa ta nosi nazwę Messenger i to jest co innego niż komunikator Messenger

wbudowany w system! Omawiana tu usługa pracuje na pliku C:\WINDOWS\system32\services.exe a

komunikator jest zainstalowany w C:\Program Files\Messenger\msmsgs.exe i ma ikonkę

. Proszę tych

dwóch rzeczy nie mylić! Na Windows XP SP2 i 2003 usługa ta jest domyślnie wyłączona i nie stanowi

problemu ... o ile nie nastąpiło szkodliwe przekonfigurowanie domyślnych ustawień. Zagrożenie:

* Droga roznoszenia wirusów / robaków sieciowych

* Produkcja spamu w postaci bezpośrednio wyskakujących pop-upów:

Start >>> Uruchom >>> services.msc

Na liście dwuklik na usługę Messenger / Posłaniec, wybrać opcję Zatrzymaj a Typ startowy ustawić

Wyłączona. Finałowo macie otrzymać:

Usługa Universal Plug and Play (UPnP)

1900, 5000

Universal Plug and play szczegółowo jest opisane w tym temacie:

http://www.searchengines.pl/phpbb203/index.php*showtopic=7723. W istocie grupuje dwie składowe

usługi: Usługa Odnajdywania SSDP (operuje na porcie 1900 UDP) + Host Uniwersalnego urządzenia Plug

and Play (operuje na portach: 2869, 5000 TCP). Zagrożenie:

* Poważna luka zabezpieczeń umożliwiająca przejęcie kontroli nad komputerem

Start >>> Uruchom >>> services.msc

Na liście po kolei dwuklik na SSDP Discovery Service / Usługa odnajdywania SSDP oraz Universal

Plug and Play Device Host / Host Uniwersalnego urządzenia plug and play, wybrać opcję

Zatrzymaj a Typ startowy ustawić Wyłączona. Finałowo macie otrzymać:

.

Napisany przez: picasso 29/08/2003, 15:45

Windows Worms Doors Cleaner

Platforma: Windows 2000/XP/2003

Licencja: freeware

Strona domowa: http://www.firewallleaktester.com/wwdc.htm

WWDC to aplikacja do zamykania kluczowych wyżej opisanych portów. Przeprowadza wszystkie akcje

blokerskie bez użycia dodatkowych procesów - tylko i wyłącznie edycje rejestru (opisane we wstępie).

Prócz faktu sprawdzania czy rzeczywiście dana usługa jest w rejestrze wyłączona, przeprowadza

dynamiczną detekcję czy usługa nadal pracuje w tle (z wyjątkiem DCOM). O co chodzi: w rejestrze może

zostać wyłączona ale jeśli komputer nie był resetowany proces usługi może być nadal aktywny.

Konfiguracja programu i zamykanie portów są bardzo proste:

PODSTAWOWA OBSŁUGA PROGRAMU:

Port otwarty

Port zamknięty

Port zostanie zamknięty po resecie

Każdy czerwony znaczek należy zamienić na zielony przez buttonik "Disable ..." i dla wprowadzenia

zmian zresetować komputer. Od góry do dołu

zielono

równa się wzorowe zabezpieczenie. Poniżej opis

kilku szczegółów towarzyszących zamykaniu określonych portów i wytłumaczenie zawiłej historii żółtych,

które nie zawsze oznaczają dosłownie "zamykanie po kolejnym resecie komputera".

DCOM RPC

Tutaj należy spojrzeć na wstęp tematu i opis portu 135: klik. Było tam wzmiankowane iż z tego portu

korzysta usługa Harmonogramu zadań. WWDC uzwględnia ten aspekt i podczas próby zamknięcia portu

zadaje pytanie czy deaktywować tylko DCOM czy całkowicie zamknąć port:

Wybranie odpowiedzi Yes całkowicie zamknie port, wybranie No zaadresuje tylko wyłączenie samego

DCOM. Po wybraniu stosownej opcji otrzymacie zawiadomienie o ustawieniu blokady z prośbą o

zresetowanie komputera w celu wdrożenia zmian. Po resecie komputera jeszcze jedna szansa. WWDC

poinformuje iż DCOM jest zdeaktywowane ale port 135 ciągle otwarty i zaproponuje kolejne wybieranie

opcji:

Wybranie Yes "domknie" port zaś wybranie No pozostawi sytuację bez zmian (tylko DCOM wyłączone).

Na koniec zawiadomienie o pomyślnym ustawieniu i ponowna prośba o reset.

NetBIOS

Ponownie rzut okiem na wstęp tematu i opis portów 137-139: klik. WWDC przewiduje dwa scenariusze.

Podczas blokowania portu zada pytanie czy wprowadzić domyślne ustawienie "NetBIOS na życzenie" czy

też całkowicie go wyłączyć:

Wybranie odpowiedzi No oznacza całkowite wyłączenie NetBIOS = ta odpowiedź skutkuje NetBIOSem

zaznaczonym na zielono. Wybranie odpowiedzi Yes spowoduje przestawienie typu startowego usługi

NetBIOS na Ręczny czyli NetBIOS nie startuje automatycznie ale uruchomi się w razie potrzeby = ta

odpowiedź skutkuje NetBIOSem zaznaczonym na żółto:

śółty jest traktowany jako poprawny i wg "terminologii" akcji WWDC oznajmia iż port jest "zamknięty" (a

przynajmniej zabezpieczony). Nie jest to do końca prawda gdyż takie ustawienie zostawia tylną furtkę =

NetBIOS może się w każdej chwili uruchomić (co zresztą zwykle czyni zaraz pod podłączeniu sieci). Jest

to ustawienie asekuracyjne na wypadek gdyby połączenie sieciowe potrzebowało NetBIOS do swojego

funkcjonowania. Odpowiedź Yes należy wybrać wtedy jeśli wybranie odpowiedzi No skutkuje brakiem

dostępu do internetu.

UPnP / Messenger

Wszystko wytłumaczone wielokrotnie i nie ma co gdybać tylko porty Universal Plug and Play i Posłańca

zamykać. Nie powinno być z tym trudności ale w ramach wyjątku może się okazać że stoją przy nich

żółte znaczniki i nie chcą się zamienić na zielone mimo resetu komputera. Wtedy należy skorzystaj z

ręcznej metody zamykania opisanej tu: klik. Specjalnym przypadkiem może być błąd:

"Value in registry can't be opened"

Program przy uruchamianiu może poczęstować takim błędem a w zależności z czym ma trudność treść

błędu będzie odmienna:

Value in registry can't be opened (SYSTEM\CurrentControlSet\Services\upnphost\)

Value in registry can't be opened (SYSTEM\CurrentControlSet\Services\Messenger\)

Value in registry can't be opened (SOFTWARE\Microsoft\Ole\)

Value in registry can't be opened (SYSTEM\CurrentControlSet\Services\NetBT\)

Ten błąd może mieć następujące wytłumaczenia: WWDC nie ma dostępu / uprawnień do klucza rejestru

lub klucz rejestru nie istnieje. W pierwszym przypadku należy skorzystać z instrukcji wstępu tego tematu

i ręcznie dokonać blokad. W drugim przypadku przeważnie będzie chodzić o ten fakt:

UWAGA: Błąd "Value in registry can't be opened ..." występuje na specjalnych modyfikowanych

wersjach Windows (tworzonych ręcznie przez nLite z opcją usuwania komponentów lub gotowych typu

PowerXP czy TinyXP) i jest to w tym przypadku naturalne. Te Windows mają z natury wycięte usługi

UPnP i Posłaniec stąd WWDC nie może otworzyć ich kluczy (heh skoro ich nie ma) i wprowadza w błąd

żółtym znaczkiem. A nic nie trzeba korygować.

Komunikat WWDC:

Komunikat tego "błędu" to zawiadomienie iż jest wielce prawdopodobna infekcja gdyż zarezerwowana

pamięć dla SVCHOST przekroczyła dopuszczalne limity i wygląda iż w pamięci czai się szkodnik. Zalecany

skan. Tej ewentualności nie można wykluczyć. Z drugiej strony w

http://www.searchengines.pl/phpbb203/index.php?showtopic=19761&hl= temacie wyjaśniłam iż

detekcja tylko po rozmiarze pamięci jest ułomna i nie może być wyznacznikiem obcego szkodliwego ciała

w memory bo może tam siedzieć .... sterownik a nie wir (ostatnio napuchnięty svchost.exe jest modnym

objawem działania Automatycznych aktualizacji). Wprawdzie temat pyta o pewną wariację problemu i

inny typ pamięci ale chodzi o sam fakt oceniania wg formuły sajzu.

Poza tym sam WWDC miał kiedyś detekcję svchost RAM usage check, którą .... usunięto (zgadnij

dlaczego

) a limit dla svchost virtual memory usage check zwiększono (znów zgadnij dlaczego

).

Wniosek: to tylko przypuszczenia programu a nie pewność czy fakt! WWDC można uruchomić bez tego

sprawdzania pamięci = patrz poniżej na parametr -nowormscheck.

ZAAWANSOWANA OBSŁUGA PROGRAMU:

Windows Worms Doors Cleaner może być również obsługiwany z linii komend pozwalając dokonać tych

samych akcji co wyżej (sprawdzić stan usług oraz je wyłączać / włączać) plus akcję extra (wyłączenie

tego denerwującego sprawdzania pamięci sygnalizującego infekcję na podstawie zbyt dużego rozmiaru

svchost). Przydatne dla:

- Dla zwykłego domowego użytkownika, który chciałby regularnie sprawdzać status usług, czy nie uległy

ponownemu włączeniu po jakiejś aktualizacji.

- Administratorów sieciowych wykorzystujących skrypty trybu batch uruchamiane jako zaplanowane

zadanie w celu hurtowego wyłączenia wybranych usług w całej sieci.

Dostępne parametry

:

Wyłączanie / włączanie usług:

-dcom:enable/disable

-locator:enable/disable

-netbios:enable/disable/manual

-upnp:disable/enable

-messenger:disable/enable

Opcje startowe WWDC:

-startup:dcom,locator,netbios,messenger,upnp

-nowormscheck

Zatwierdzanie resetu:

-reboot:yes/no

Przykłady tworzenia skrótów:

Tworzymy skrót do programu WWDC w dowolnym miejscu np. na Pulpicie lub w menu Autostart (zależy

co chcemy uzyskać). Następnie z prawokliku na skrót wybieramy jego Properties / Właściwości i w Target

/ Element docelowy umieszczamy po ścieżce dostępu -parametr (tak, z minusem przed). Poglądowe

przykłady:

1. Wyłączenie sprawdzania pamięci svchost na starcie przez parametr:

Parametr -nowormscheck ma być wpisany po zamknięciu cudzysłowiem a nie przed a spacja ma być w

tym miejscu:

"...........\wwdc.exe"

[spacja]

-

nowormscheck

2. Sprawdzanie na starcie statusu usług Posłaniec i Universal Plug and Play przez parametr:

"...........\wwdc.exe"

[spacja]

-

startup:messenger,upnp

.

Napisany przez: picasso 30/08/2003, 8:04

Seconfig XP

Platforma: Windows 2000/XP/2003

Licencja: freeware

Strona domowa: http://seconfig.sytes.net/

Kolejne darmowe znalezisko. Adresuje o wiele więcej luk zabezpieczeń niż Windows Woorms Doors

Cleaner! Ochronę wprowadza via edycja rejestru po prostu konfigurując komponenty Windows w ich

własnych ustawieniach (brak obciążenia komputera dodatkowym procesem / sterownikiem etc.).

Program:

* Zamyka specyficzne porty (podobnie jak WWDC): 135, 137-139, 445, 1025 (Udostępnianie plików i

drukarek w sieci, domeny Windows i inne aspekty dostępu do sieci Microsoft Networks), 1900, 5000

(UPnP) a także wybrany zakres portów.

* Wyłącza specyficzne usługi.

* Nakłada ochronę przed atakami ARP spoofing

* Konfiguruje wiele ukrytych ustawień TCP/IP mających znaczenie pod kątem zabezpieczeń

Ma wbudowane trzy predefiniowane układy opcji: dla domowego komputera (For Home), dla członków

Microsoft Networks (For MN), dla komputera z klientem VPN łączącym się z Microsoft Networks / lub

jakimkolwiek innym w typie bezpiecznego połączenia (For VPN).

For Home: For MN: For VPN:

Restrict Microsoft Networks

:

Sugerowane ustawienie: wszystko zaznaczone

Sugerowane ustawienie: wszystko zaznaczone

Sugerowane ustawienie: wszystko odznaczone

Disable NetBIOS over TCP/IP (all adapters)

137-139

Zamknięcie portów 137-139 dla wszystkich aktualnie zamontowanych interfejsów sieciowych. Bardzo

podobne do użycia opcji "Wyłącz system NetBIOS przez TCP/IP" w zakładce WINS dla wszystkich

adapterów sieciowych. Ale w przeciwieństwie do ręcznej korekty dotyka również i ukrytych adapterów.

Odpowiednik opcji w Windows Worms Doors Cleaner. Szczegóły portów 137-139 opisane we wstępie

tematu:

klik

.

Disable SMB over TCP/IP

N ie można w y św ietlić połączonego obrazu. P lik mógł zostać przeniesiony lub usunięty

albo zmieniono jego nazw ę. S praw dź, czy łącze w skazuje popraw ny plik i lokalizację.

445

Zamknięcie portu 445. Odpowiednik opcji w Windows Worms Doors Cleaner. Szczegóły portu 445

opisane we wstępie tematu:

klik

.

Disable RPC over TCP/IP

135

Zamknięcie portu 135. Odpowiednik opcji w Windows Worms Doors Cleaner. Szczegóły portu 135

opisane we wstępie tematu:

klik

.

NetBIOS Scope ID

Jest to alternatywna metoda ochrony komunikacji "NetBIOS over TCP/IP" polegająca nie na całkowitym

blokowaniu NetBIOS ale wymogu posiadania przez dwa łączące się komputery tej samej wartości Scope

ID (identyfikator zakresu). Dla komputera domowego i VPN program generuje losowy identyfikator.

Uwaga: Ustawienie Scope ID nie ma bezpośredniego wpływu na ochronę komunikacji SMB over TCP/IP.

Scope zwykle jest rozgłaszane w sieci i w prosty sposób czytelne dla dowolnego użytkownika.

Edycja wg Microsoftu (ScopeId):

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pl/library/ServerHelp/34257821-

2ca7-438d-9df0-3e51aa78fac0.mspx?mfr=true / http://support.microsoft.com/kb/244438/en-us /

http://support.microsoft.com/?scid=kb%3Bpl%3B314053&x=9&y=10

Services Settings

:

Sugerowane ustawienie: wszystko zaznaczone

Sugerowane ustawienie: wszystko zaznaczone

Sugerowane ustawienie: zaznaczony tylko Posłaniec

Disable Remote Registry service

Wyłącza usługę Rejestr zdalny.

Disable Messenger service

Wyłącza usługę Messenger / Posłaniec.

Disable SSDP Discovery Service service

Wyłącza Usługę odnajdywania SSDP (składnik główny zespołu Universal Plug and play).

Do not start IPSEC Services service automatically

Zmienia typ startowy Usług IPSEC na Ręczny.

Opis Posłańca i UPnP jest umieszczony we wstępie:

klik

. Ogólnie o tych wszystkich usługach jest

opracowanie w dziale Windows:

http://www.searchengines.pl/index.php?showtopic=7723

TCP / IP Settings

:

Sugerowane ustawienie: wszystko zaznaczone

Sugerowane ustawienie: wszystko zaznaczone

Sugerowane ustawienie: wszystko zaznaczone

Drop all incoming IP source routed packets

Opcja umożliwia wyłączenie routingu źródła IP. Routing źródła IP* jest często wykorzystywany do

fałszowania / spoofingu adresu IP i prowadzenia ataku. W większości przypadków niekonieczny do

podstawowego działania sieci i wyłączenie jest dobrym krokiem zabezpieczającym.

Edycja wg Microsoftu (DisableIPSourceRouting):

http://www.microsoft.com/technet/security/guidance/serversecurity/tcg/tcgch10n.mspx /

http://www.microsoft.com/poland/technet/security/bulletin/MS06-032.mspx

Disable automatic detection of "dead" gateways

Opcja zapobiegająca przełączeniu na zapasową bramę w przypadku połączeń doświadczających

trudności. Taka możliwość przełączania bram może być wykorzystana w celu przekierowania ruchu

sieciowego przez maszynę atakującego. Uwaga: Na systemach z układem wielu domyślnych bram opcja

ta może uniemożliwić skorzystanie z zapasowej.

Edycja wg Microsoftu (EnableDeadGWDetect):

http://www.microsoft.com/technet/security/guidance/serversecurity/tcg/tcgch10n.mspx /

http://support.microsoft.com/?scid=kb%3Bpl%3B314053&x=9&y=10 /

http://support.microsoft.com/kb/324270/en-us

Disable IRDP (all interfaces)

Opcja umożliwiająca wyłączenie IRDP (Internet Router Discovery Protocol) we wszystkich interfejsach.

IRDP jest wykorzystywane do detekcji i konfiguracji adresu domyślnej bramy (to nie jest DHCP!). Jako

skutek uboczny IRDP może pozwolić na przekierowanie ruchu sieciowego przez maszynę atakującego. W

większości przypadków wyłączenie IRDP jest dobrym krokiem zabezpieczającym.

Edycja wg Microsoftu (PerformRouterDiscovery):

http://www.microsoft.com/technet/security/guidance/serversecurity/tcg/tcgch10n.mspx /

http://support.microsoft.com/kb/269734/en-us

Disable ICMP redirect

Opcja umożliwiająca ignorowanie wiadomości "ICMP Redirect". Przy pomocy pakietów "ICMP Redirect"

agresor może zmienić trasę routowania w taki sposób, żeby pakiety przechodziły przez maszynę

atakującą. Niebezpieczeństwo podsłuchu, zwłaszcza ze względu na nieszyfrowany przesył danych. W

większości przypadków wyłączenie IRDP jest dobrym krokiem zabezpieczającym. Uwaga: Ta opcja może

powodować problemy z usługą Routing and Remote Access / Routing i dostęp zdalny skonfigurowaną

jako ASBR.

Edycja wg Microsoftu (EnableICMPRedirect):

http://www.microsoft.com/technet/security/guidance/serversecurity/tcg/tcgch10n.mspx

Enable strict ARP table update

Co to jest ARP i zatruwanie tablicy ARP opisane w http://pl.wikipedia.org/wiki/ARP. Omawiana tu opcja

instruuje Windows by aktualizowanie wejść tablicy ARP odbywało się tylko w przypadku przekroczenia

przez nich czasu (i w ten sposób ignorowanie większości niezamawianych pakietów ARP). Dobry krok

zabezpieczający. Uwaga: Ustawienie tej opcji wpływa na problemy komunikacyjne jeśli urządzenia

posługują się dynamicznym adresem MAC. Edycja dostępna tylko na nowych Windows: 2000 SP4 +

Update Rollup 1, XP SP2, 2003 SP1.

Edycja wg Microsoftu (StrictARPUpdate):

http://technet2.microsoft.com/windowsserver/en/library/db56b4d4-a351-40d5-b6b1-

998e9f6f41c91033.mspx?mfr=true

Accept responses only from queried DNS servers

Opcja powodująca ignorowanie odpowiedzi DNS z nie zapytanych serwerów. Domyślnie są akceptowane

takie odpowiedzi co tworzy niebezpieczeństwo dla zatruwanie bufora cache DNS:

http://en.wikipedia.org/wiki/DNS_cache_poisoning.

Edycja wg Microsoftu (QueryIPMatching):

http://technet2.microsoft.com/windowsserver/en/library/94d21089-411b-4bce-a823-

49a77a46e7661033.mspx?mfr=true / http://www.helpwithwindows.com/WindowsXP/tune-24.html /

http://www.kb.cert.org/vuls/id/458659

Disable ports 1025 to N

Porty zwane efemerycznymi to porty dynamicznie przypisywane do aplikacji bez wyszczególniania

konkretnego portu. Domyślnie ten zakres portów rozpoczyna się od portu 1025 (a kończy na porcie

5000). Omawiana tu opcja umożliwia zmianę portu startowego dla zakresu portów efemerycznych

poprzez wyłączenie (zarezerwowanie) przedziału od 1025 do N (nie ustawiać na za wysoką liczbę), co

spowoduje ustawienie portu startowego na N+1. Mówiąc prosto: porty te będą "zgadywane" losowo

powyżej liczby N. W większości przypadków jest to dobre zabezpieczenie. Uwaga: Opcja generująca

problem na Windows 2000 z usługą Routing and Remote Access / Routing i dostęp zdalny

skonfigurowaną jako bramka NAT (szczegóły hotfixa: http://support.microsoft.com/kb/815295/).

Edycja wg Microsoftu (ReservedPorts): http://support.microsoft.com/kb/812873/en-us

Z punktu widzenia przeciętnego użytkownika: po to są właśnie domyślne układy zaznaczania opcji by

zabezpieczyć komputer bez szczególnej znajomości zagadnienia. Pierwsza część czyli "Restrict Microsoft

Networks" a także "Services settings" to prawie jak Windows Worms Doors Cleaner i to już jest

przybliżone szczegółowo. Zaś parametry TCP/IP z musu są opisane w jak największym skrócie by nie

mieszać w głowach zbyt wybornym esejem, który miałby conajmniej 10 stron. To już ustawienia

zaawansowane.

Po ręcznym zaznaczeniu wybranych opcji (lub po kliku w któryś z układów proponowanych), należy

zatwierdzić wykonanie akcji przez buttonik Apply:

Otrzymacie zgłoszenie wymaganego resetu komputera co należy potwierdzić (w przeciwnym wypadku

żadne zmiany nie są dokonywane). Do pierwotnych ustawień przed użyciem seconfig zawsze można

wrócić przez buttonik Restore:

Bieżący stan zabezpieczeń komputera podglądamy przez buttonik Status:

W oknie będzie podsumowanie stanu portów NetBIOS / SMB / RPC a także lista aktualnie otwartych

portów TCP i UDP:

Closed (Secure)

= porty zamknięte

Open (Insecure)

= porty otwarte

.

Napisany przez: picasso 13/09/2003, 22:01

Prawidłowe instalowanie Windows 2000/XP/2003

Bardzo ważną rzeczą jest świadomość w jaki sposób należy formatować / instalować / przeinstalowywać

ten typ Windows by nie ulec robaczywej infekcji już w trakcie montowania systemu (!). Niestety

Windows w chwili gdy jest instalowany, a istnieje aktywne połączenie sieciowe, nie jest zupełnie

zabezpieczony i bez przeszkód atakują go robaki sieciowe. W efekcie dostajemy: świeżo zainstalowany

system plus robaki .... co wielu użytkownikom wydaje się teoretycznie niemożliwe ("przecież robiłem

format"

). Tym specjalnym krokiem zabezpieczającym jest wykonywanie instalacji Windows przy

całkowicie odciętym połączeniu sieciowym (= to znaczy wyciągnięte KABLE a nie brak uruchomienia

przeglądarki!!!!), którego nie można zaktywować dopóki zainstalowany Windows nie zostanie

zabezpieczony. Operacja rozkłada się na następujące kroki:

1.

Odłączyć sieć (modem / kabelki ...)

.

2. Format + instalacja lub reinstalacja XP .... jaka metoda nie ma tu żadnego znaczenia.

3. Zamknięcie portów za pomocą opisanego wyżej Windows Worms Doors Cleaner lub Seconfig XP.

4. Uaktywnienie firewalla: albo tego wbudowanego do XP albo montaż dodatkowego.

5.

I dopiero teraz można podłączyć sieć

.

6. Kompletne zabezpieczające Windows Update.

Najistotniejszą sprawą jest zamknięcie portów przez Windows Worms Doors Cleaner i instalacja zapory

przed podłączeniem sieci. Punkt numer 6 (czyli aktualizowanie Windows) można wykonać znacznie

wcześniej bez dostępu do internetu przygotowując sobie zestaw zabezpieczeń komputera: Service Pack

(o ile wasza CD nie ma zintegrowanego) oraz opcjonalnie wszystkie łatki. Pełne wersje Service Packów

(nie te ekspresowe z Windows Update) do pobrania stąd (przestawić na stosowny język):

Windows XP (SP2)

http://www.microsoft.com/downloads/details.aspx?displaylang=pl&FamilyID=049c9dbe-3b8e-4f30-

8245-9e368d3cdb5a

Windows 2000 (SP4)

http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/default.mspx

Windows 2003 (SP2)

http://technet.microsoft.com/en-us/windowsserver/bb229701.aspx

Jeśli CD Windows nie ma zintegrowanego Service Packa to by sobie skrócić liczbę dodatkowych instalacji

można skorzystać z instrukcji integrowania SP na płytce CD:

http://www.searchengines.pl/phpbb203/index.php?showtopic=19204

Uzupełniającą pomocą do aktualizowania offline może się okazać ten zestaw programów z czołowym

Autopatcherem:

http://www.searchengines.pl/phpbb203/index.php?showtopic=20929

.

Napisany przez: picasso 20/08/2006, 2:03

Generic Host Process for Win32 Services

Macie ten błąd a także inne problemy ze svchost.exe (zawieszenie, wycisk procesora na 100% etc)

ponieważ pojawił się nowy atak sieciowy

http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-081312-3302-99

robaka. Winę ponoszą

NIE ZABEZPIECZONE

Windows, nawet te mające SP2. Rozwiązanie:

N ie można w y św ietlić połączonego
obrazu. P lik mógł zostać
przeniesiony lub usunięty albo
zmieniono jego nazw ę. S praw dź,
czy łącze w skazuje popraw ny plik i
lokalizację.

1. Zastosować linkowany powyżej Windows Worms Doors Cleaner

2. Wykonać kompletne Windows Update. Szczególnie łata dla Windows XP SP1 i SP2 (i tylko dla tych):

http://www.microsoft.com/downloads/details.aspx?displaylang=pl&FamilyID=2996b9b6-03ff-4636-

861a-46b3eac7a305

3. Nie pomoże = montować firewalla! Lista darmowych i komercyjnych zapór sieciowych tutaj:

http://www.searchengines.pl/phpbb203/index.php?showtopic=11522

.

Powered by Invision Power Board (http://www.invisionboard.com)

© Invision Power Services (http://www.invisionpower.com)