Архив форумов ЦИТФорума

[ramz]

Это я запустил Xspider на своем компе -
Сбор данных по компьютеру "mycomp"...
Дата и время сканирования: 24.12.2001 - 12:50:53

IP адрес компьютера "mycomp" : 192.168.84.24
Обратный DNS по этому адресу "mycomp"
Компьютер находится в сети (TTL = 255) >>
Cеть класса C (максимальное число компьютеров 254)

TCP порты
- открытые : 6
- закрытые : 2382
- недоступные : 0

- порт 139/tcp - netbios-ssn
сессия NetBIOS
MAC-адрес: 00-03-47-BE-6A-2E >>

Имя : MYCOMP >>
Домен : DOMEN >>

список ресурсов: >>>>
IPC$ - pipe по умолчанию (Удаленный IPC)

список пользователей: >>>>
ramz
привилегии : Администратор
полное имя : admin
входов : 113

TsInternetUser
привилегии : Гость
полное имя : TsInternetUser
комментарий : Эта учетная запись используется службами терминалов.
входов : 0

Администратор
привилегии : Администратор
комментарий : Встроенная учетная запись администратора компьютера/домена
входов : 15

Гость
пользователь заблокирован
привилегии : Гость
комментарий : Встроенная учетная запись для доступа гостей к компьютеру/домену
входов : 0


список сервисов: >>>>
ALERTER - Оповещатель
BROWSER - Обозреватель компьютеров
crauto - crauto
Dfs - Распределенная файловая система DFS
Dhcp - DHCP-клиент
dmserver - Диспетчер логических дисков
Dnscache - DNS-клиент
Eventlog - Журнал событий
EventSystem - Система событий COM+
imonNT - Intel(R) Active Monitor
lanmanserver - Сервер
lanmanworkstation - Рабочая станция
LicenseService - Служба учета лицензий
LmHosts - Служба поддержки TCP/IP NetBIOS
MSDTC - Координатор распределенных транзакций
Netman - Сетевые подключения
NMSSvc - NMS Service
NtmsSvc - Съемные ЗУ
PlugPlay - Plug and Play
PolicyAgent - Агент политики IPSEC
ProtectedStorage - Защищенное хранилище
RpcSs - Удаленный вызов процедур (RPC)
SamSs - Диспетчер учетных записей безопасности
Schedule - Планировщик заданий
seclogon - Служба RunAs
SENS - Уведомление о системных событиях
SNMP - Служба SNMP
SPOOLER - Диспетчер очереди печати
TapiSrv - Телефония
TrkWks - Клиент отслеживания изменившихся связей
WinMgmt - Инструментарий управления Windows
WMDM PMSP Service - WMDM PMSP Service
Wmi - Расширения драйвера оснастки управления Windows


- порт 135/tcp - loc-srv
сервис стандарта Win RPC >>
"Win32Services" - Generic Host Process for Win32 Services >>

подозрение на существование уязвимости ::::
возможна DOS-атака ::::
описание уязвимости:
http://www.xspider.net.ru/bugtraq/bugtraq167.htm

- порт 445/tcp - microsoft-ds

- порт 1025/tcp - listen
сервис стандарта Win RPC >>

- порт 1026/tcp - nterm
сервис стандарта Win RPC >>
"mstask.exe" - Task Scheduler Engine >>

- порт 3372/tcp - unknown
ответ сервиса на http запрос:
ERROR #10 >>

ответ на Ms SQL запрос:
x #1 #7 #0 x #1 >>


- порт 161/udp - snmp
сервер SNMP (протокол управления сетью)

учетная запись "publi ...

[and3008]

-

[ramz]

учетная запись "publi ...
..............................
учетная запись "public" доступна >>>>
инфо : Hardware: x86 Family 15 Model Stepping 10 AT/AT COMPATIBLE - Software: Windows 2000 Version 5.0 (Build 2195 Uniprocessor Free)

Найдено:
- замечаний : 10 >>
- возможных предупреждений : 1 ::::
- предупреждений : 4 >>>>

Затраченное время = 00:04:45

Кому не лень, плиз объясните почему столько всего видно ? Может потому что запустил на своей же машине ?
Что значит:
- учетная запись "public" доступна >>>> это на что учетная запись, как её проверить/отменить ?
- как запретитиь показ всех моих запущеных сервизов ?
- почему видно список пользователей ?
ЗЫ
И еще маленький вопросик:
При загрузке W2k pro на экране написано W2k pro,
При загрузке W2k serverране написано W2k server,
А при загрузке W2k adv_srv на экране должно быть написано W2k adv_srv ? Или W2k server ?

[яяя]

при загрузке пишет сабж.
Перечисление юзеров и шар для анонимного доступа закрывается в Local Security.
Сервисы перечисляются диспетчером сервисов (SCM). Он работает через NamedPipes. Список доступных каналов для анонимного доступа находится в ключе hklm\system\ccs\services\ lanmanserver\parameters
там параметры NullSession*.
Можешь их почистить (не удалять).
Правда, ntsvcs там нет.
Кроме того, есть такое мощное средство защиты, как запрет доступа к компьютеру из сети. Настраивается тоже в Local Security. Вообще, судя по посту, тебе не помешало бы туда заглянуть, половина вопросов бы отпала.
Гостевой доступ к EventLog'у закрывается так:
в hklm\system\ccs\services\eventlog\имяжурнала
создаешь параметр DWORD с именем RestrictGuestAccess и значением 1. Для каждого журнала нужен свой параметр.
Кроме того, можешь поковыряться с удаленным доступом к реестру, dcomcnfg, дефолтными шарами, и так далее. Так сразу всего и не опишешь.

[ramz]

Перечисление юзеров и шар для анонимного доступа закрывается в Local Security.
Не нашел
Сервисы перечисляются диспетчером
сервисов (SCM).
тоже
Он работает через NamedPipes
что это
скажи где почитать о таких настройках ?
с Наступающим

[яяя]

смотри ограничения для анонимных подключений.
Конкретно по SCM там ничего нет.
NamedPipe - именованный канал.
Почитать в МСДН, если нет - поиском в инете.
Если хочешь совсем чтобы никто ничего не узнал - закрывай порты 135,137,138,139,445

[ramz]

Спасибо за ответ..
Но честноговоря я ничего не понял..
Видать совсем плохой..
Мне бы сказали - "открой там-то то-то и посмотри".
А то я не мойму где открывается этот Local Security...SCM - Service Control Management ?
И он где находится ?
dcomcnfg прикольная утилитка (хоть и непонятная ), а её както можно запустить не из командной строки ? Из mmc например ?
И вообще mmc только из командной строки запускается ? В "Администрировании" ничего похожего нету.
Я понимаю - в "Администрирование" вынесены наиболее полезные...как их...оснастки (блин придумали ж название), но еще ж есть и другие, наверное и dcomcnfg... и еще нужные.
Как она называется по русски, чтоб выбрать ?
насчет портов так это я сразу понял, о них же и вопрос...Но их только файрволом можно закрыть, или нет ? Чтото я не нашел нормального файрвола под W2K..
Дефолтные шары я закрыл, досткп к реестру тоже(просто прибил этот сервис, правильно ?)
сделал net config server /hidden:yes
а вот NullSession осталась...
Если бы было какоето руководство подробное, я бы его с удовольствием почитал.. И тогда бы разобрался, а так...
Вообщем может кто знает где лежит таккое руководство "для чайников" - как настроить безопасность в W2K, дайте ссылку.
А то похоже прийдется самому его сделать

[яяя]

в настройке ограничений анонимного доступа на выбор можно отключить ограничения, запретить перечисление шар и экаунтов, или вообще все отрубить и разрешить только места, где будет явно прописан анонимный доступ. То есть проблема - чтобы анонимный доступ не попадал под права Everyone.
Насчет файрвола. Я видал кучу всяких, пробовал на NT/2000/XP с десяток разных файрволов, идеальных и безглючных нет ни одного, несмотря на все официальные сервис-паки для систем, хоть раз да вылетал или пакеты пропускал любой, или настроек недостаточно. Но я бы предложил сходить на http://www.tinysoftware.com. У них там очень классный файрвол, но последняя версия 2,0,15A доступна не у них на сайте, а по ссылке, там найдешь. У них версия 2,0,15 , они в ней намудрили с выводом даты, короче, дата и время создания коннекта выводятся на экран неправильно. Исправлено в 2,0,15A.
Считаю этот файрвол самым надежным (вкупе с общим размером, пожираемыми ресурсами и т.п.) из всех для вин2000 для отдельного компика.
Если потребуется, напишу про глюки по конкретному файрволу, который пробовал ставить.
Только упаси тебя бог поддаваться на продукты типа все в одном флаконе (например, аутпост). В итоге пока что это бета, и ошибки можно списать на это, но если программа является файрволом, то она не должна заниматься другой чепухой, типа, баннеры резать. Неконструктивно это.
Насчет руководства для чайников - не видел ни одного. Максимум - MSDN и интернет.
dcomcnfg из mmc не запустится, оснастки mmc должны реализовывать специальный интерфейс.
А че там непонятно? На вкладке с соединениями можешь все убрать, посмотреть разрешения на предыдущей вкладке на запуск, изменение параметров и т.д. Отключи DCOM или поставь нижние элементы из каждого списка для максимума защиты.
Кроме того, про удаленный доступ к реестру. Кроме сервиса, права доступа в реестре определяются на каждый раздел, убери кого не надо, типа юзеров или всех. Права удаленного доступа к реестру берутся из ключа
hklm\system\ccs\control\securepipeservers\winreg (читаются права этого ключа)
а внутри его пороешься и найдешь список куда можно удаленно залезть.
А вообще из 2000-й можно сделать очень секьюрную систему. Только вот без файрвола этого добиться никак нельзя.

[ramz]

это ...уже немного все проясняется...
но все равно:
ГДЕ НАХОДИТСЯ ЭТА
"настройкА ограничений анонимного доступа" ???
У меня русский маздай.
В "локальных параметрах безопасности" все уже излазил. Нет там ничего относящегося к сети...Потому и локальная..
там есть "назначение прав пользвателя" и внутри параметр "доступ к компу из сети"
Но его параметры (адины, юзеры, гости, етс) находятся в моем же компе !
чуваку даже из сетки (не говоря уже о инете) ничего не стоит просканить мой комп.
кстати так порты наши только файрволом можно закрыть ?
Если ты не против, может по мылу пообщаемя ?
ramz@rambler.ru