Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
ramz
Зарегистрирован: 21.11.2001 Сообщения: 141
|
Добавлено: Вс Дек 30 2001 01:23 Заголовок сообщения: Посмотрите что показал Xspider. |
|
|
Это я запустил Xspider на своем компе - Сбор данных по компьютеру "mycomp"... Дата и время сканирования: 24.12.2001 - 12:50:53
IP адрес компьютера "mycomp" : 192.168.84.24 Обратный DNS по этому адресу "mycomp" Компьютер находится в сети (TTL = 255) >> Cеть класса C (максимальное число компьютеров 254)
TCP порты - открытые : 6 - закрытые : 2382 - недоступные : 0
- порт 139/tcp - netbios-ssn сессия NetBIOS MAC-адрес: 00-03-47-BE-6A-2E >>
Имя : MYCOMP >> Домен : DOMEN >>
список ресурсов: >>>> IPC$ - pipe по умолчанию (Удаленный IPC)
список пользователей: >>>> ramz привилегии : Администратор полное имя : admin входов : 113
TsInternetUser привилегии : Гость полное имя : TsInternetUser комментарий : Эта учетная запись используется службами терминалов. входов : 0
Администратор привилегии : Администратор комментарий : Встроенная учетная запись администратора компьютера/домена входов : 15
Гость пользователь заблокирован привилегии : Гость комментарий : Встроенная учетная запись для доступа гостей к компьютеру/домену входов : 0
список сервисов: >>>> ALERTER - Оповещатель BROWSER - Обозреватель компьютеров crauto - crauto Dfs - Распределенная файловая система DFS Dhcp - DHCP-клиент dmserver - Диспетчер логических дисков Dnscache - DNS-клиент Eventlog - Журнал событий EventSystem - Система событий COM+ imonNT - Intel(R) Active Monitor lanmanserver - Сервер lanmanworkstation - Рабочая станция LicenseService - Служба учета лицензий LmHosts - Служба поддержки TCP/IP NetBIOS MSDTC - Координатор распределенных транзакций Netman - Сетевые подключения NMSSvc - NMS Service NtmsSvc - Съемные ЗУ PlugPlay - Plug and Play PolicyAgent - Агент политики IPSEC ProtectedStorage - Защищенное хранилище RpcSs - Удаленный вызов процедур (RPC) SamSs - Диспетчер учетных записей безопасности Schedule - Планировщик заданий seclogon - Служба RunAs SENS - Уведомление о системных событиях SNMP - Служба SNMP SPOOLER - Диспетчер очереди печати TapiSrv - Телефония TrkWks - Клиент отслеживания изменившихся связей WinMgmt - Инструментарий управления Windows WMDM PMSP Service - WMDM PMSP Service Wmi - Расширения драйвера оснастки управления Windows
- порт 135/tcp - loc-srv сервис стандарта Win RPC >> "Win32Services" - Generic Host Process for Win32 Services >>
подозрение на существование уязвимости :::: возможна DOS-атака :::: описание уязвимости: http://www.xspider.net.ru/bugtraq/bugtraq167.htm
- порт 445/tcp - microsoft-ds
- порт 1025/tcp - listen сервис стандарта Win RPC >>
- порт 1026/tcp - nterm сервис стандарта Win RPC >> "mstask.exe" - Task Scheduler Engine >>
- порт 3372/tcp - unknown ответ сервиса на http запрос: ERROR #10 >>
ответ на Ms SQL запрос: x #1 #7 #0 x #1 >>
- порт 161/udp - snmp сервер SNMP (протокол управления сетью)
учетная запись "publi ... |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вс Дек 30 2001 12:45 Заголовок сообщения: Ну и чего? Nessus еще и не такое говорить умеет. (-) |
|
|
- |
|
Вернуться к началу |
|
|
ramz
Зарегистрирован: 21.11.2001 Сообщения: 141
|
Добавлено: Вс Дек 30 2001 13:08 Заголовок сообщения: Блин не все вставилось :( |
|
|
учетная запись "publi ... .............................. учетная запись "public" доступна >>>> инфо : Hardware: x86 Family 15 Model Stepping 10 AT/AT COMPATIBLE - Software: Windows 2000 Version 5.0 (Build 2195 Uniprocessor Free)
Найдено: - замечаний : 10 >> - возможных предупреждений : 1 :::: - предупреждений : 4 >>>>
Затраченное время = 00:04:45
Кому не лень, плиз объясните почему столько всего видно ? Может потому что запустил на своей же машине ? Что значит: - учетная запись "public" доступна >>>> это на что учетная запись, как её проверить/отменить ? - как запретитиь показ всех моих запущеных сервизов ? - почему видно список пользователей ? ЗЫ И еще маленький вопросик: При загрузке W2k pro на экране написано W2k pro, При загрузке W2k serverране написано W2k server, А при загрузке W2k adv_srv на экране должно быть написано W2k adv_srv ? Или W2k server ? |
|
Вернуться к началу |
|
|
яяя Гость
|
Добавлено: Вс Дек 30 2001 21:05 Заголовок сообщения: Server Family |
|
|
при загрузке пишет сабж. Перечисление юзеров и шар для анонимного доступа закрывается в Local Security. Сервисы перечисляются диспетчером сервисов (SCM). Он работает через NamedPipes. Список доступных каналов для анонимного доступа находится в ключе hklm\system\ccs\services\ lanmanserver\parameters там параметры NullSession*. Можешь их почистить (не удалять). Правда, ntsvcs там нет. Кроме того, есть такое мощное средство защиты, как запрет доступа к компьютеру из сети. Настраивается тоже в Local Security. Вообще, судя по посту, тебе не помешало бы туда заглянуть, половина вопросов бы отпала. Гостевой доступ к EventLog'у закрывается так: в hklm\system\ccs\services\eventlog\имяжурнала создаешь параметр DWORD с именем RestrictGuestAccess и значением 1. Для каждого журнала нужен свой параметр. Кроме того, можешь поковыряться с удаленным доступом к реестру, dcomcnfg, дефолтными шарами, и так далее. Так сразу всего и не опишешь. |
|
Вернуться к началу |
|
|
ramz
Зарегистрирован: 21.11.2001 Сообщения: 141
|
Добавлено: Вс Дек 30 2001 21:15 Заголовок сообщения: Re: Server Family |
|
|
Перечисление юзеров и шар для анонимного доступа закрывается в Local Security. Не нашел Сервисы перечисляются диспетчером сервисов (SCM). тоже Он работает через NamedPipes что это скажи где почитать о таких настройках ? с Наступающим |
|
Вернуться к началу |
|
|
яяя Гость
|
Добавлено: Вс Дек 30 2001 23:29 Заголовок сообщения: в Local Security |
|
|
смотри ограничения для анонимных подключений. Конкретно по SCM там ничего нет. NamedPipe - именованный канал. Почитать в МСДН, если нет - поиском в инете. Если хочешь совсем чтобы никто ничего не узнал - закрывай порты 135,137,138,139,445 |
|
Вернуться к началу |
|
|
ramz
Зарегистрирован: 21.11.2001 Сообщения: 141
|
Добавлено: Пн Дек 31 2001 15:58 Заголовок сообщения: Re: в Local Security |
|
|
Спасибо за ответ.. Но честноговоря я ничего не понял.. Видать совсем плохой.. Мне бы сказали - "открой там-то то-то и посмотри". А то я не мойму где открывается этот Local Security...SCM - Service Control Management ? И он где находится ? dcomcnfg прикольная утилитка (хоть и непонятная ), а её както можно запустить не из командной строки ? Из mmc например ? И вообще mmc только из командной строки запускается ? В "Администрировании" ничего похожего нету. Я понимаю - в "Администрирование" вынесены наиболее полезные...как их...оснастки (блин придумали ж название), но еще ж есть и другие, наверное и dcomcnfg... и еще нужные. Как она называется по русски, чтоб выбрать ? насчет портов так это я сразу понял, о них же и вопрос...Но их только файрволом можно закрыть, или нет ? Чтото я не нашел нормального файрвола под W2K.. Дефолтные шары я закрыл, досткп к реестру тоже(просто прибил этот сервис, правильно ?) сделал net config server /hidden:yes а вот NullSession осталась... Если бы было какоето руководство подробное, я бы его с удовольствием почитал.. И тогда бы разобрался, а так... Вообщем может кто знает где лежит таккое руководство "для чайников" - как настроить безопасность в W2K, дайте ссылку. А то похоже прийдется самому его сделать |
|
Вернуться к началу |
|
|
яяя Гость
|
Добавлено: Пн Дек 31 2001 20:00 Заголовок сообщения: А че не ясно то |
|
|
в настройке ограничений анонимного доступа на выбор можно отключить ограничения, запретить перечисление шар и экаунтов, или вообще все отрубить и разрешить только места, где будет явно прописан анонимный доступ. То есть проблема - чтобы анонимный доступ не попадал под права Everyone. Насчет файрвола. Я видал кучу всяких, пробовал на NT/2000/XP с десяток разных файрволов, идеальных и безглючных нет ни одного, несмотря на все официальные сервис-паки для систем, хоть раз да вылетал или пакеты пропускал любой, или настроек недостаточно. Но я бы предложил сходить на http://www.tinysoftware.com. У них там очень классный файрвол, но последняя версия 2,0,15A доступна не у них на сайте, а по ссылке, там найдешь. У них версия 2,0,15 , они в ней намудрили с выводом даты, короче, дата и время создания коннекта выводятся на экран неправильно. Исправлено в 2,0,15A. Считаю этот файрвол самым надежным (вкупе с общим размером, пожираемыми ресурсами и т.п.) из всех для вин2000 для отдельного компика. Если потребуется, напишу про глюки по конкретному файрволу, который пробовал ставить. Только упаси тебя бог поддаваться на продукты типа все в одном флаконе (например, аутпост). В итоге пока что это бета, и ошибки можно списать на это, но если программа является файрволом, то она не должна заниматься другой чепухой, типа, баннеры резать. Неконструктивно это. Насчет руководства для чайников - не видел ни одного. Максимум - MSDN и интернет. dcomcnfg из mmc не запустится, оснастки mmc должны реализовывать специальный интерфейс. А че там непонятно? На вкладке с соединениями можешь все убрать, посмотреть разрешения на предыдущей вкладке на запуск, изменение параметров и т.д. Отключи DCOM или поставь нижние элементы из каждого списка для максимума защиты. Кроме того, про удаленный доступ к реестру. Кроме сервиса, права доступа в реестре определяются на каждый раздел, убери кого не надо, типа юзеров или всех. Права удаленного доступа к реестру берутся из ключа hklm\system\ccs\control\securepipeservers\winreg (читаются права этого ключа) а внутри его пороешься и найдешь список куда можно удаленно залезть. А вообще из 2000-й можно сделать очень секьюрную систему. Только вот без файрвола этого добиться никак нельзя. |
|
Вернуться к началу |
|
|
ramz
Зарегистрирован: 21.11.2001 Сообщения: 141
|
Добавлено: Пн Дек 31 2001 21:15 Заголовок сообщения: Re: А че не ясно то |
|
|
это ...уже немного все проясняется... но все равно: ГДЕ НАХОДИТСЯ ЭТА "настройкА ограничений анонимного доступа" ??? У меня русский маздай. В "локальных параметрах безопасности" все уже излазил. Нет там ничего относящегося к сети...Потому и локальная.. там есть "назначение прав пользвателя" и внутри параметр "доступ к компу из сети" Но его параметры (адины, юзеры, гости, етс) находятся в моем же компе ! чуваку даже из сетки (не говоря уже о инете) ничего не стоит просканить мой комп. кстати так порты наши только файрволом можно закрыть ? Если ты не против, может по мылу пообщаемя ? ramz@rambler.ru |
|
Вернуться к началу |
|
|
|