Odliczanie_6.html

Drukowana wersja tematu

Kliknij tu, aby zobaczyć temat w orginalnym formacie

P2P & Wyszukiwarki & Windows & Hardware _ Wirusy i Spyware - Bezpieczeństwo w

sieci _ Odliczanie 60 sekund + Generic Host Process

Napisany przez: picasso 20/06/2003, 7:55

Copyright @picasso searchengines.pl Powielanie tej pracy zabronione.

Robaki sieciowe / ataki DoS / Spam Posłańca

Objawy: Bardzo spowolniona sieć, trudności w ładowaniu stron www, a nawet całkowity zanik internetu.

MoŜliwe okoliczności towarzyszące to: charakterystyczny błąd 60 sekund odliczania i wynikowo

samoczynny reset komputera lub teŜ błąd "Generic Host Process.....", zaobserwowaliśmy teŜ jako jeden

ze znaków przebarwianie paska zadań na jakby "klasyczny". Błędy 60 sekund zostały rozpoczęte przez

bardzo juŜ archaiczne robaki Blaster - Sasser i obecnie mogą być generowane przez róŜne inne robaki i

NIE TYLKO (teŜ rootkity a nawet spyware) więc proszę się nie sugerować typem błędu. I uwaga: błąd 60

sec wcale nie znaczy iŜ komputer jest juŜ zainfekowany, to moŜe świadczyć tylko o ataku na komputer

bez tworzenia plików robaków na dysku.

Usuwanie: Na samym początku naleŜy bezwzględnie zastosować opisany poniŜej Windows Worms Doors

Cleaner by zamknąć drogę ataku robaków i spamu Posłańca. W dalszej kolejności udać się po pomoc

podając na forum stosowne logi.

Porty - Opis i zagroŜenia

Automatyczne zamykanie portów:

____

Windows Worms Doors Cleaner

____

Seconfig XP

Prawidłowe instalowanie Windows 2000/XP/2003

Błąd Generic Host Process for Win32 Services

Napisany przez: picasso 29/08/2003, 5:49

Firewall a całkowite zamykanie specyficznych portów

135, 137-139, 445, 1900, 5000

Osobna zapora softwarowa (typu: ZoneAlarm / Kerio / Outpost etc.) nie jest rozwiązaniem

wystarczającym w tej materii, gdyŜ to czym się zajmuje firewall to nie całkowite zamykanie omawianych

tu portów lecz jedynie blokowanie do nich dostępu poprzez filtrowanie ruchu sieciowego. To oznacza iŜ

komponenty, które korzystają z tych portów, są nadal uruchomione. W takiej sytuacji firewall musi być

cały czas aktywny by ochrona miała miejsce i jesteśmy od tego faktu uzaleŜnieni (chwilowe wyłączenie

zapory lub jej wyłoŜenie się na błędzie jest ekspozycją na zagroŜenie). Ponadto zarówno komponenty

Windows pracujące na tych portach jak i firewall startują wspólnie podczas uruchamiania komputera, a

które z nich zainicjuje się pierwsze (czyli będzie mieć szansę na forsowanie własnych zadań) jest zagadką

wynikającą z masy czynników konfiguracyjnych.

PoniŜej przedstawiam skrócony opis kluczowych portów wraz z ręczną metodą ich zamykania, która

polega na przekonfigurowaniu komponentów Windows. Jest to zagadnienie dla waszej orientacji co się

dzieje w systemie. Tych edycji nie trzeba wykonywać ręcznie - programy Windows Worms Doors

Cleaner i Seconfig XP przeprowadzają to automatycznie. To wprowadzenie by zrozumieć dlaczego te

porty są kluczowe i co te programy prowadzą w celu rozwiązania problemu. Zamknięcie tych portów nie

wpływa na szybkość pobierania w programach P2P (eMule, torrent etc.) i proszę tego nie łączyć.

NetBIOS over TCP/IP - NetBIOS przez TCP/IP

137-139

Port 137 UDP - Usługa NetBIOS Name / nazw NetBIOS. Odpowiada za łączenie adresów IP z nazwami

komputerów. Kojarzenie nazewnicze typowo odbywa się wg dwóch metod: serwer WINS (Windows

Internet Name Service) lub plik LMHOSTS (nie mylić z plikiem HOSTS!). DuŜa część pakietów UDP

blokowanych na firewallach nie ma związku z próbami ataku. ZagroŜenie:

* Pobór przez atakującego informacji o układzie sieci

* Robaki sieciowe szukające otwartych zasobów Windows (cel = port 139TCP)

Port 138 UDP - Usługa NetBIOS Datagram. Komunikacja bezpołączeniowa w formie

http://pl.wikipedia.org/wiki/Datagram bez potwierdzenia ich dotarcia na miejsce, najczęściej

wykorzystywana w trybie rozgłaszania (broadcast). Obsługuje przesył informacji o sieci Windows. Z tych

właściwości korzysta usługa Computer Browser / Przeglądarka komputera, która buduje listę

komputerów wyświetlaną w Otoczeniu sieciowym. RównieŜ usługa Messenger / Posłaniec. ZagroŜenie:

* Atakujący/haker poprzez zafałszowanie pakietów moŜe dodać swój komputer do sieci lokalnej co

implikuje iŜ zostanie zniwelowa róŜnica zabezpieczeń występująca między komputerami internetowymi a

lokalnymi.

* Spam usługi Messenger / Posłaniec.

Port 139 TCP - Usługa NetBIOS Session / sesji NetBIOS (SMB przez NetBIOS). Komunikacja

połączeniowa w formie sesji. Odpowiada za właściwą wymianę danych i współdzielenie zasobów plików /

drukarek w sieci lokalnej oraz za tworzenie tzw. null-session (mówiąc w skrócie logowanie uŜytkownika

bez nazwy i bez Ŝadnego hasła). ZagroŜenie:

* Port będący celem ataków hackerskich, często skanowany w poszukiwaniu zasobów. Popularna metoda

hackowania udostępnianie plików i drukarek to atak typu "brute force" / siłowy, polegający na łamaniu

haseł przez sprawdzanie jak największej liczby prawdopodobnych kombinacji.

* Jest to równieŜ port, z którego korzysta usługa Messenger / Posłaniec produkując bezpośredni spam w

pop-upach.

* Jedna z dróg transportu robaków sieciowych

Skutki uboczne wyłączenia portów NetBIOS (włącznie z 445 = patrz dalej): Przestanie działać Otoczenie

sieciowe i funkcja Udostępniania plików i drukarek w sieci oraz inne aspekty sieci Microsoft Networks (nie

mylić sobie tego z www, e-mail i tego typu komunikacjami szaraków). W LAN prawdopodobnie NetBIOS

jest niezbędny ale zaleŜy to teŜ od tego w jaki sposób LAN rozwiązano. Test bardzo prosty: jeśli po

całkowitym zamknięciu portów 137-139 (włącznie z 445) i resecie komputera padnie całkowicie dostęp

do internetu, NetBIOS jest wymagany.

Te trzy komunikacje NetBIOS stosunkowo łatwo wyłączyć (usługa Posłaniec = patrz dalej):

Panel sterowania >>> Połączenia sieciowe >>> prawy klik na dane połączenie >>> Właściwości >>>

podświetlić Protokół TCP / IP >>> Właściwości >>> Zaawansowane >>> zakładka WINS >>> Wyłącz

system NetBIOS przez TCP/IP:

SMB over TCP/IP - SMB przez TCP/IP

445

Port 445 słuŜy do poszerzonej komunikacji protokołu SMB bezpośrednio przez TCP/IP, z pominięciem

okręŜnej drogi "NetBIOS przez TCP/IP". Jest to dodatkowa droga współdzielenia plików i drukarek

sieciowych (patrz porty 137-139), w związku z tym port 445 jest często skanowany w poszukiwaniu

otwartych zasobów sieciowych Windows. ZagroŜenia:

* Port silnie atakowany przez hakerów, robaki i rozproszone botnety.

* Spam wysyłany przez usługę Messenger / Posłaniec.

Skutki uboczne zamknięcia portu 445: UniemoŜliwione współdzielenie plików i drukarek w sieci o ile

nastąpi równocześnie zamknięcie portów NetBIOS 137-139. Wynika to z faktu iŜ próba komunikacji

odbywa się "równolegle" w celu zachowania kompatybilności portów (445 jest portem współdzielenia

tylko na nowych Windows 2000 w górę). Jeśli jest włączone NetBIOS over TCP/IP, zawsze jest

równoczesna próba nawiązania połączenia na porcie 139 oraz 445, a w zaleŜności od szybszej odpowiedzi

(lub jej braku) sesja właściwa odbywa się przez port 139 lub 445. Jeśli NetBIOS over TCP/IP jest

wyłączone, nawiązywanie sesji jest forsowane tylko przez 445. Wniosek: zamknięcie portu 445 przy

pozostawieniu otwartych 137-139 nie wpłynie na funkcjonowanie LAN.

Wyłączanie SMB przez TCP/IP (usługa Posłaniec = patrz dalej):

Start >>> Uruchom >>> regedit i w kluczu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters

W okienku po prawej stronie klikasz prawym >>> Nowy >>> Wartość DWORD >>> jako nazwę

wprowadź

SmbDeviceEnabled

. Kliknij podwójnie na nowo utworzoną wartość SmbDeviceEnabled i

wpisz liczbę

RPC over TCP/IP

135

Jest to port usługi DCOM / RPC Endpoint Mapper. W sposób współdzielony korzystają z niego takie usługi

jak Distributed Transaction Coordinator (MSDTC), Task Scheduler (Harmonogram zadań) a takŜe

Messenger (Posłaniec). Zamknięcie portu zalecane dla standardowych komputerów domowych. W

środowisku Microsoft Networks problematyczne gdyŜ RPC jest tam szeroko wykorzystywane, głównie w

celach administracyjnych. ZagroŜenie:

* Spam wysyłany przez usługę Messenger / Posłaniec. Jak wspomniane wcześniej Posłaniec korzysta z

portów NetBIOS (137-139) ale mimo ich zamknięcia nie ma 100% ochrony przed spamem gdyŜ

polecenie net send w przypadku "zatkania" tych portów obiera drogę alternatywną właśnie przez port

135.

* Port silnie wykorzystywany przez robaki sieciowe i ataki hackerskie.

Skutki uboczne zamknięcia portu 135: Zamykanie portu 135 odbywa się stopniowo poprzez wyłączanie

kolejnych składników korzystających z tegoŜ portu. Wyłączenie samego DCOM nie niesie negatywnych

efektów na standardowym komputerze. Ale inaczej sprawa się ma z Harmonogramem zadań. Po

całkowitym zamknięciu portu 135 usługa Harmonogramu nie startuje (dotyczy Windows XP i 2003,

Windows 2000 nie ma takich problemów). Harmonogram jest potrzebny na XP do działania wbudowanej

funkcji Prefetch (szczegóły: http://www.searchengines.pl/phpbb203/index.php*showtopic=5989) oraz

innych planowanych zadań. Z tym Ŝe tu moja uwaga własna: na moim XP SP2 całkowite zamknięcie 135

nie wpłynęło na usługę Harmonogramu.....

Wyłączanie DCOM / RPC Mapper (usługa Posłaniec = patrz dalej):

Start >>> Uruchom >>> regedit i w kluczu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole

W okienku po prawej stronie kliknij dwukrotnie w

EnableDCOM

i wpisz literkę

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc

W okienku po prawej stronie kliknij dwukrotnie w

DCOM Protocols

i z okienka usuń ncacn_ip_tcp.

Odpowiednikiem tych dwóch edycji rejestru jest następująca operacja via:

Start >>> Uruchom >>> dcomcnfg.exe >>> Usługi składowe >>> Komputery >>> z prawokliku na

Mój komputer wybierz Właściwości >>> w zakładce Właściwości domyślne usuń ptaszek z opcji Włącz

model obiektów rozproszonych COM na tym komputerze a w zakładce Domyślne protokoły

podświetl tam widniejący i Usuń:

Usługa Messenger / Posłaniec

135, 137-139, 445

Messenger (w polskim Windows: Posłaniec) to sieciowa usługa przesyłająca pomiędzy klientami a

serwerami komunikaty net send, słuŜące typowo administratorom sieci do informowania uŜytkowników

o róŜnych zdarzeniach (np. o resecie serwera etc.). Komunikacja Messengera korzysta z wszystkich

wyŜej wymienionych portów: 135,137,138 UDP oraz 135,139,445 TCP. Od razu uściślenie: w angielskiej

wersji językowej usługa ta nosi nazwę Messenger i to jest co innego niŜ komunikator Messenger

wbudowany w system! Omawiana tu usługa pracuje na pliku C:\WINDOWS\system32\services.exe a

komunikator jest zainstalowany w C:\Program Files\Messenger\msmsgs.exe i ma ikonkę

. Proszę tych

dwóch rzeczy nie mylić! Na Windows XP SP2 i 2003 usługa ta jest domyślnie wyłączona i nie stanowi

problemu ... o ile nie nastąpiło szkodliwe przekonfigurowanie domyślnych ustawień. ZagroŜenie:

* Droga roznoszenia wirusów / robaków sieciowych

* Produkcja spamu w postaci bezpośrednio wyskakujących pop-upów:

Start >>> Uruchom >>> services.msc

Na liście dwuklik na usługę Messenger / Posłaniec, wybrać opcję Zatrzymaj a Typ startowy ustawić

Wyłączona. Finałowo macie otrzymać:

Usługa Universal Plug and Play (UPnP)

1900, 5000

Universal Plug and play szczegółowo jest opisane w tym temacie:

http://www.searchengines.pl/phpbb203/index.php*showtopic=7723. W istocie grupuje dwie składowe

usługi: Usługa Odnajdywania SSDP (operuje na porcie 1900 UDP) + Host Uniwersalnego urządzenia Plug

and Play (operuje na portach: 2869, 5000 TCP). ZagroŜenie:

* PowaŜna luka zabezpieczeń umoŜliwiająca przejęcie kontroli nad komputerem

Start >>> Uruchom >>> services.msc

Na liście po kolei dwuklik na SSDP Discovery Service / Usługa odnajdywania SSDP oraz Universal

Plug and Play Device Host / Host Uniwersalnego urządzenia plug and play, wybrać opcję

Zatrzymaj a Typ startowy ustawić Wyłączona. Finałowo macie otrzymać:

Napisany przez: picasso 29/08/2003, 15:45

Windows Worms Doors Cleaner

Platforma: Windows 2000/XP/2003

Licencja: freeware

Strona domowa: http://www.firewallleaktester.com/wwdc.htm

WWDC to aplikacja do zamykania kluczowych wyŜej opisanych portów. Przeprowadza wszystkie akcje

blokerskie bez uŜycia dodatkowych procesów - tylko i wyłącznie edycje rejestru (opisane we wstępie).

Prócz faktu sprawdzania czy rzeczywiście dana usługa jest w rejestrze wyłączona, przeprowadza

dynamiczną detekcję czy usługa nadal pracuje w tle (z wyjątkiem DCOM). O co chodzi: w rejestrze moŜe

zostać wyłączona ale jeśli komputer nie był resetowany proces usługi moŜe być nadal aktywny.

Konfiguracja programu i zamykanie portów są bardzo proste:

PODSTAWOWA OBSŁUGA PROGRAMU:

Port otwarty

Port zamknięty

Port zostanie zamknięty po resecie

KaŜdy czerwony znaczek naleŜy zamienić na zielony przez buttonik "Disable ..." i dla wprowadzenia

zmian zresetować komputer. Od góry do dołu

zielono

równa się wzorowe zabezpieczenie. PoniŜej opis

kilku szczegółów towarzyszących zamykaniu określonych portów i wytłumaczenie zawiłej historii Ŝółtych,

które nie zawsze oznaczają dosłownie "zamykanie po kolejnym resecie komputera".

DCOM RPC

Tutaj naleŜy spojrzeć na wstęp tematu i opis portu 135: klik. Było tam wzmiankowane iŜ z tego portu

korzysta usługa Harmonogramu zadań. WWDC uzwględnia ten aspekt i podczas próby zamknięcia portu

zadaje pytanie czy deaktywować tylko DCOM czy całkowicie zamknąć port:

Wybranie odpowiedzi Yes całkowicie zamknie port, wybranie No zaadresuje tylko wyłączenie samego

DCOM. Po wybraniu stosownej opcji otrzymacie zawiadomienie o ustawieniu blokady z prośbą o

zresetowanie komputera w celu wdroŜenia zmian. Po resecie komputera jeszcze jedna szansa. WWDC

poinformuje iŜ DCOM jest zdeaktywowane ale port 135 ciągle otwarty i zaproponuje kolejne wybieranie

opcji:

Wybranie Yes "domknie" port zaś wybranie No pozostawi sytuację bez zmian (tylko DCOM wyłączone).

Na koniec zawiadomienie o pomyślnym ustawieniu i ponowna prośba o reset.

NetBIOS

Ponownie rzut okiem na wstęp tematu i opis portów 137-139: klik. WWDC przewiduje dwa scenariusze.

Podczas blokowania portu zada pytanie czy wprowadzić domyślne ustawienie "NetBIOS na Ŝyczenie" czy

teŜ całkowicie go wyłączyć:

Wybranie odpowiedzi No oznacza całkowite wyłączenie NetBIOS = ta odpowiedź skutkuje NetBIOSem

zaznaczonym na zielono. Wybranie odpowiedzi Yes spowoduje przestawienie typu startowego usługi

NetBIOS na Ręczny czyli NetBIOS nie startuje automatycznie ale uruchomi się w razie potrzeby = ta

odpowiedź skutkuje NetBIOSem zaznaczonym na Ŝółto:

śółty jest traktowany jako poprawny i wg "terminologii" akcji WWDC oznajmia iŜ port jest "zamknięty" (a

przynajmniej zabezpieczony). Nie jest to do końca prawda gdyŜ takie ustawienie zostawia tylną furtkę =

NetBIOS moŜe się w kaŜdej chwili uruchomić (co zresztą zwykle czyni zaraz pod podłączeniu sieci). Jest

to ustawienie asekuracyjne na wypadek gdyby połączenie sieciowe potrzebowało NetBIOS do swojego

funkcjonowania. Odpowiedź Yes naleŜy wybrać wtedy jeśli wybranie odpowiedzi No skutkuje brakiem

dostępu do internetu.

UPnP / Messenger

Wszystko wytłumaczone wielokrotnie i nie ma co gdybać tylko porty Universal Plug and Play i Posłańca

zamykać. Nie powinno być z tym trudności ale w ramach wyjątku moŜe się okazać Ŝe stoją przy nich

Ŝółte znaczniki i nie chcą się zamienić na zielone mimo resetu komputera. Wtedy naleŜy skorzystaj z

ręcznej metody zamykania opisanej tu: klik. Specjalnym przypadkiem moŜe być błąd:

"Value in registry can't be opened"

Program przy uruchamianiu moŜe poczęstować takim błędem a w zaleŜności z czym ma trudność treść

błędu będzie odmienna:

Value in registry can't be opened (SYSTEM\CurrentControlSet\Services\upnphost\)

Value in registry can't be opened (SYSTEM\CurrentControlSet\Services\Messenger\)

Value in registry can't be opened (SOFTWARE\Microsoft\Ole\)

Value in registry can't be opened (SYSTEM\CurrentControlSet\Services\NetBT\)

Ten błąd moŜe mieć następujące wytłumaczenia: WWDC nie ma dostępu / uprawnień do klucza rejestru

lub klucz rejestru nie istnieje. W pierwszym przypadku naleŜy skorzystać z instrukcji wstępu tego tematu

i ręcznie dokonać blokad. W drugim przypadku przewaŜnie będzie chodzić o ten fakt:

UWAGA: Błąd "Value in registry can't be opened ..." występuje na specjalnych modyfikowanych

wersjach Windows (tworzonych ręcznie przez nLite z opcją usuwania komponentów lub gotowych typu

PowerXP czy TinyXP) i jest to w tym przypadku naturalne. Te Windows mają z natury wycięte usługi

UPnP i Posłaniec stąd WWDC nie moŜe otworzyć ich kluczy (heh skoro ich nie ma) i wprowadza w błąd

Ŝółtym znaczkiem. A nic nie trzeba korygować.

Komunikat WWDC:

Komunikat tego "błędu" to zawiadomienie iŜ jest wielce prawdopodobna infekcja gdyŜ zarezerwowana

pamięć dla SVCHOST przekroczyła dopuszczalne limity i wygląda iŜ w pamięci czai się szkodnik. Zalecany

skan. Tej ewentualności nie moŜna wykluczyć. Z drugiej strony w

http://www.searchengines.pl/phpbb203/index.php?showtopic=19761&hl= temacie wyjaśniłam iŜ

detekcja tylko po rozmiarze pamięci jest ułomna i nie moŜe być wyznacznikiem obcego szkodliwego ciała

w memory bo moŜe tam siedzieć .... sterownik a nie wir (ostatnio napuchnięty svchost.exe jest modnym

objawem działania Automatycznych aktualizacji). Wprawdzie temat pyta o pewną wariację problemu i

inny typ pamięci ale chodzi o sam fakt oceniania wg formuły sajzu.

Poza tym sam WWDC miał kiedyś detekcję svchost RAM usage check, którą .... usunięto (zgadnij

dlaczego

) a limit dla svchost virtual memory usage check zwiększono (znów zgadnij dlaczego

Wniosek: to tylko przypuszczenia programu a nie pewność czy fakt! WWDC moŜna uruchomić bez tego

sprawdzania pamięci = patrz poniŜej na parametr -nowormscheck.

ZAAWANSOWANA OBSŁUGA PROGRAMU:

Windows Worms Doors Cleaner moŜe być równieŜ obsługiwany z linii komend pozwalając dokonać tych

samych akcji co wyŜej (sprawdzić stan usług oraz je wyłączać / włączać) plus akcję extra (wyłączenie

tego denerwującego sprawdzania pamięci sygnalizującego infekcję na podstawie zbyt duŜego rozmiaru

svchost). Przydatne dla:

- Dla zwykłego domowego uŜytkownika, który chciałby regularnie sprawdzać status usług, czy nie uległy

ponownemu włączeniu po jakiejś aktualizacji.

- Administratorów sieciowych wykorzystujących skrypty trybu batch uruchamiane jako zaplanowane

zadanie w celu hurtowego wyłączenia wybranych usług w całej sieci.

Dostępne parametry

Wyłączanie / włączanie usług:

-dcom:enable/disable

-locator:enable/disable

-netbios:enable/disable/manual

-upnp:disable/enable

-messenger:disable/enable

Opcje startowe WWDC:

-startup:dcom,locator,netbios,messenger,upnp

-nowormscheck

Zatwierdzanie resetu:

-reboot:yes/no

Przykłady tworzenia skrótów:

Tworzymy skrót do programu WWDC w dowolnym miejscu np. na Pulpicie lub w menu Autostart (zaleŜy

co chcemy uzyskać). Następnie z prawokliku na skrót wybieramy jego Properties / Właściwości i w Target

/ Element docelowy umieszczamy po ścieŜce dostępu -parametr (tak, z minusem przed). Poglądowe

przykłady:

1. Wyłączenie sprawdzania pamięci svchost na starcie przez parametr:

Parametr -nowormscheck ma być wpisany po zamknięciu cudzysłowiem a nie przed a spacja ma być w

tym miejscu:

"...........\wwdc.exe"

[spacja]

nowormscheck

2. Sprawdzanie na starcie statusu usług Posłaniec i Universal Plug and Play przez parametr:

"...........\wwdc.exe"

[spacja]

startup:messenger,upnp

Napisany przez: picasso 30/08/2003, 8:04

Seconfig XP

Platforma: Windows 2000/XP/2003

Licencja: freeware

Strona domowa: http://seconfig.sytes.net/

Kolejne darmowe znalezisko. Adresuje o wiele więcej luk zabezpieczeń niŜ Windows Woorms Doors

Cleaner! Ochronę wprowadza via edycja rejestru po prostu konfigurując komponenty Windows w ich

własnych ustawieniach (brak obciąŜenia komputera dodatkowym procesem / sterownikiem etc.).

Program:

* Zamyka specyficzne porty (podobnie jak WWDC): 135, 137-139, 445, 1025 (Udostępnianie plików i

drukarek w sieci, domeny Windows i inne aspekty dostępu do sieci Microsoft Networks), 1900, 5000

(UPnP) a takŜe wybrany zakres portów.

* Wyłącza specyficzne usługi.

* Nakłada ochronę przed atakami ARP spoofing

* Konfiguruje wiele ukrytych ustawień TCP/IP mających znaczenie pod kątem zabezpieczeń

Ma wbudowane trzy predefiniowane układy opcji: dla domowego komputera (For Home), dla członków

Microsoft Networks (For MN), dla komputera z klientem VPN łączącym się z Microsoft Networks / lub

jakimkolwiek innym w typie bezpiecznego połączenia (For VPN).

For Home: For MN: For VPN:

Restrict Microsoft Networks

Sugerowane ustawienie: wszystko zaznaczone

Sugerowane ustawienie: wszystko odznaczone

Disable NetBIOS over TCP/IP (all adapters)

137-139

Zamknięcie portów 137-139 dla wszystkich aktualnie zamontowanych interfejsów sieciowych. Bardzo

podobne do uŜycia opcji "Wyłącz system NetBIOS przez TCP/IP" w zakładce WINS dla wszystkich

adapterów sieciowych. Ale w przeciwieństwie do ręcznej korekty dotyka równieŜ i ukrytych adapterów.

Odpowiednik opcji w Windows Worms Doors Cleaner. Szczegóły portów 137-139 opisane we wstępie

tematu:

klik

Disable SMB over TCP/IP

N ie moŜna w y św ietlić połączonego obrazu. P lik mógł zostać przeniesiony lub usunięty

albo zmieniono jego nazw ę. S praw dź, czy łącze w skazuje popraw ny plik i lokalizację.

445

Zamknięcie portu 445. Odpowiednik opcji w Windows Worms Doors Cleaner. Szczegóły portu 445

opisane we wstępie tematu:

klik

Disable RPC over TCP/IP

135

Zamknięcie portu 135. Odpowiednik opcji w Windows Worms Doors Cleaner. Szczegóły portu 135

opisane we wstępie tematu:

klik

NetBIOS Scope ID

Jest to alternatywna metoda ochrony komunikacji "NetBIOS over TCP/IP" polegająca nie na całkowitym

blokowaniu NetBIOS ale wymogu posiadania przez dwa łączące się komputery tej samej wartości Scope

ID (identyfikator zakresu). Dla komputera domowego i VPN program generuje losowy identyfikator.

Uwaga: Ustawienie Scope ID nie ma bezpośredniego wpływu na ochronę komunikacji SMB over TCP/IP.

Scope zwykle jest rozgłaszane w sieci i w prosty sposób czytelne dla dowolnego uŜytkownika.

Edycja wg Microsoftu (ScopeId):

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pl/library/ServerHelp/34257821-

2ca7-438d-9df0-3e51aa78fac0.mspx?mfr=true / http://support.microsoft.com/kb/244438/en-us /

http://support.microsoft.com/?scid=kb%3Bpl%3B314053&x=9&y=10

Services Settings

Sugerowane ustawienie: wszystko zaznaczone

Sugerowane ustawienie: zaznaczony tylko Posłaniec

Disable Remote Registry service

Wyłącza usługę Rejestr zdalny.

Disable Messenger service

Wyłącza usługę Messenger / Posłaniec.

Disable SSDP Discovery Service service

Wyłącza Usługę odnajdywania SSDP (składnik główny zespołu Universal Plug and play).

Do not start IPSEC Services service automatically

Zmienia typ startowy Usług IPSEC na Ręczny.

Opis Posłańca i UPnP jest umieszczony we wstępie:

klik

. Ogólnie o tych wszystkich usługach jest

opracowanie w dziale Windows:

http://www.searchengines.pl/index.php?showtopic=7723

TCP / IP Settings

Sugerowane ustawienie: wszystko zaznaczone

Drop all incoming IP source routed packets

Opcja umoŜliwia wyłączenie routingu źródła IP. Routing źródła IP* jest często wykorzystywany do

fałszowania / spoofingu adresu IP i prowadzenia ataku. W większości przypadków niekonieczny do

podstawowego działania sieci i wyłączenie jest dobrym krokiem zabezpieczającym.

Edycja wg Microsoftu (DisableIPSourceRouting):

http://www.microsoft.com/technet/security/guidance/serversecurity/tcg/tcgch10n.mspx /

http://www.microsoft.com/poland/technet/security/bulletin/MS06-032.mspx

Disable automatic detection of "dead" gateways

Opcja zapobiegająca przełączeniu na zapasową bramę w przypadku połączeń doświadczających

trudności. Taka moŜliwość przełączania bram moŜe być wykorzystana w celu przekierowania ruchu

sieciowego przez maszynę atakującego. Uwaga: Na systemach z układem wielu domyślnych bram opcja

ta moŜe uniemoŜliwić skorzystanie z zapasowej.

Edycja wg Microsoftu (EnableDeadGWDetect):

http://www.microsoft.com/technet/security/guidance/serversecurity/tcg/tcgch10n.mspx /

http://support.microsoft.com/?scid=kb%3Bpl%3B314053&x=9&y=10 /

http://support.microsoft.com/kb/324270/en-us

Disable IRDP (all interfaces)

Opcja umoŜliwiająca wyłączenie IRDP (Internet Router Discovery Protocol) we wszystkich interfejsach.

IRDP jest wykorzystywane do detekcji i konfiguracji adresu domyślnej bramy (to nie jest DHCP!). Jako

skutek uboczny IRDP moŜe pozwolić na przekierowanie ruchu sieciowego przez maszynę atakującego. W

większości przypadków wyłączenie IRDP jest dobrym krokiem zabezpieczającym.

Edycja wg Microsoftu (PerformRouterDiscovery):

http://www.microsoft.com/technet/security/guidance/serversecurity/tcg/tcgch10n.mspx /

http://support.microsoft.com/kb/269734/en-us

Disable ICMP redirect

Opcja umoŜliwiająca ignorowanie wiadomości "ICMP Redirect". Przy pomocy pakietów "ICMP Redirect"

agresor moŜe zmienić trasę routowania w taki sposób, Ŝeby pakiety przechodziły przez maszynę

atakującą. Niebezpieczeństwo podsłuchu, zwłaszcza ze względu na nieszyfrowany przesył danych. W

większości przypadków wyłączenie IRDP jest dobrym krokiem zabezpieczającym. Uwaga: Ta opcja moŜe

powodować problemy z usługą Routing and Remote Access / Routing i dostęp zdalny skonfigurowaną

jako ASBR.

Edycja wg Microsoftu (EnableICMPRedirect):

http://www.microsoft.com/technet/security/guidance/serversecurity/tcg/tcgch10n.mspx

Enable strict ARP table update

Co to jest ARP i zatruwanie tablicy ARP opisane w http://pl.wikipedia.org/wiki/ARP. Omawiana tu opcja

instruuje Windows by aktualizowanie wejść tablicy ARP odbywało się tylko w przypadku przekroczenia

przez nich czasu (i w ten sposób ignorowanie większości niezamawianych pakietów ARP). Dobry krok

zabezpieczający. Uwaga: Ustawienie tej opcji wpływa na problemy komunikacyjne jeśli urządzenia

posługują się dynamicznym adresem MAC. Edycja dostępna tylko na nowych Windows: 2000 SP4 +

Update Rollup 1, XP SP2, 2003 SP1.

Edycja wg Microsoftu (StrictARPUpdate):

http://technet2.microsoft.com/windowsserver/en/library/db56b4d4-a351-40d5-b6b1-

998e9f6f41c91033.mspx?mfr=true

Accept responses only from queried DNS servers

Opcja powodująca ignorowanie odpowiedzi DNS z nie zapytanych serwerów. Domyślnie są akceptowane

takie odpowiedzi co tworzy niebezpieczeństwo dla zatruwanie bufora cache DNS:

http://en.wikipedia.org/wiki/DNS_cache_poisoning.

Edycja wg Microsoftu (QueryIPMatching):

http://technet2.microsoft.com/windowsserver/en/library/94d21089-411b-4bce-a823-

49a77a46e7661033.mspx?mfr=true / http://www.helpwithwindows.com/WindowsXP/tune-24.html /

http://www.kb.cert.org/vuls/id/458659

Disable ports 1025 to N

Porty zwane efemerycznymi to porty dynamicznie przypisywane do aplikacji bez wyszczególniania

konkretnego portu. Domyślnie ten zakres portów rozpoczyna się od portu 1025 (a kończy na porcie

5000). Omawiana tu opcja umoŜliwia zmianę portu startowego dla zakresu portów efemerycznych

poprzez wyłączenie (zarezerwowanie) przedziału od 1025 do N (nie ustawiać na za wysoką liczbę), co

spowoduje ustawienie portu startowego na N+1. Mówiąc prosto: porty te będą "zgadywane" losowo

powyŜej liczby N. W większości przypadków jest to dobre zabezpieczenie. Uwaga: Opcja generująca

problem na Windows 2000 z usługą Routing and Remote Access / Routing i dostęp zdalny

skonfigurowaną jako bramka NAT (szczegóły hotfixa: http://support.microsoft.com/kb/815295/).

Edycja wg Microsoftu (ReservedPorts): http://support.microsoft.com/kb/812873/en-us

Z punktu widzenia przeciętnego uŜytkownika: po to są właśnie domyślne układy zaznaczania opcji by

zabezpieczyć komputer bez szczególnej znajomości zagadnienia. Pierwsza część czyli "Restrict Microsoft

Networks" a takŜe "Services settings" to prawie jak Windows Worms Doors Cleaner i to juŜ jest

przybliŜone szczegółowo. Zaś parametry TCP/IP z musu są opisane w jak największym skrócie by nie

mieszać w głowach zbyt wybornym esejem, który miałby conajmniej 10 stron. To juŜ ustawienia

zaawansowane.

Po ręcznym zaznaczeniu wybranych opcji (lub po kliku w któryś z układów proponowanych), naleŜy

zatwierdzić wykonanie akcji przez buttonik Apply:

Otrzymacie zgłoszenie wymaganego resetu komputera co naleŜy potwierdzić (w przeciwnym wypadku

Ŝadne zmiany nie są dokonywane). Do pierwotnych ustawień przed uŜyciem seconfig zawsze moŜna

wrócić przez buttonik Restore:

BieŜący stan zabezpieczeń komputera podglądamy przez buttonik Status:

W oknie będzie podsumowanie stanu portów NetBIOS / SMB / RPC a takŜe lista aktualnie otwartych

portów TCP i UDP:

Closed (Secure)

= porty zamknięte

Open (Insecure)

= porty otwarte

Napisany przez: picasso 13/09/2003, 22:01

Prawidłowe instalowanie Windows 2000/XP/2003

Bardzo waŜną rzeczą jest świadomość w jaki sposób naleŜy formatować / instalować / przeinstalowywać

ten typ Windows by nie ulec robaczywej infekcji juŜ w trakcie montowania systemu (!). Niestety

Windows w chwili gdy jest instalowany, a istnieje aktywne połączenie sieciowe, nie jest zupełnie

zabezpieczony i bez przeszkód atakują go robaki sieciowe. W efekcie dostajemy: świeŜo zainstalowany

system plus robaki .... co wielu uŜytkownikom wydaje się teoretycznie niemoŜliwe ("przecieŜ robiłem

format"

). Tym specjalnym krokiem zabezpieczającym jest wykonywanie instalacji Windows przy

całkowicie odciętym połączeniu sieciowym (= to znaczy wyciągnięte KABLE a nie brak uruchomienia

przeglądarki!!!!), którego nie moŜna zaktywować dopóki zainstalowany Windows nie zostanie

zabezpieczony. Operacja rozkłada się na następujące kroki:

Odłączyć sieć (modem / kabelki ...)

2. Format + instalacja lub reinstalacja XP .... jaka metoda nie ma tu Ŝadnego znaczenia.

3. Zamknięcie portów za pomocą opisanego wyŜej Windows Worms Doors Cleaner lub Seconfig XP.

4. Uaktywnienie firewalla: albo tego wbudowanego do XP albo montaŜ dodatkowego.

I dopiero teraz moŜna podłączyć sieć

6. Kompletne zabezpieczające Windows Update.

Najistotniejszą sprawą jest zamknięcie portów przez Windows Worms Doors Cleaner i instalacja zapory

przed podłączeniem sieci. Punkt numer 6 (czyli aktualizowanie Windows) moŜna wykonać znacznie

wcześniej bez dostępu do internetu przygotowując sobie zestaw zabezpieczeń komputera: Service Pack

(o ile wasza CD nie ma zintegrowanego) oraz opcjonalnie wszystkie łatki. Pełne wersje Service Packów

(nie te ekspresowe z Windows Update) do pobrania stąd (przestawić na stosowny język):

Windows XP (SP2)

http://www.microsoft.com/downloads/details.aspx?displaylang=pl&FamilyID=049c9dbe-3b8e-4f30-

8245-9e368d3cdb5a

Windows 2000 (SP4)

http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/default.mspx

Windows 2003 (SP2)

http://technet.microsoft.com/en-us/windowsserver/bb229701.aspx

Jeśli CD Windows nie ma zintegrowanego Service Packa to by sobie skrócić liczbę dodatkowych instalacji

moŜna skorzystać z instrukcji integrowania SP na płytce CD:

http://www.searchengines.pl/phpbb203/index.php?showtopic=19204

Uzupełniającą pomocą do aktualizowania offline moŜe się okazać ten zestaw programów z czołowym

Autopatcherem:

http://www.searchengines.pl/phpbb203/index.php?showtopic=20929

Napisany przez: picasso 20/08/2006, 2:03

Generic Host Process for Win32 Services

Macie ten błąd a takŜe inne problemy ze svchost.exe (zawieszenie, wycisk procesora na 100% etc)

poniewaŜ pojawił się nowy atak sieciowy

http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-081312-3302-99

robaka. Winę ponoszą

NIE ZABEZPIECZONE

Windows, nawet te mające SP2. Rozwiązanie:

N ie moŜna w y św ietlić połączonego
obrazu. P lik mógł zostać
przeniesiony  lub usunięty  albo
zmieniono jego nazw ę. S praw dź,
czy  łącze w skazuje popraw ny  plik i
lokalizację.

1. Zastosować linkowany powyŜej Windows Worms Doors Cleaner

2. Wykonać kompletne Windows Update. Szczególnie łata dla Windows XP SP1 i SP2 (i tylko dla tych):

http://www.microsoft.com/downloads/details.aspx?displaylang=pl&FamilyID=2996b9b6-03ff-4636-

861a-46b3eac7a305

3. Nie pomoŜe = montować firewalla! Lista darmowych i komercyjnych zapór sieciowych tutaj:

http://www.searchengines.pl/phpbb203/index.php?showtopic=11522

Powered by Invision Power Board (http://www.invisionboard.com)