Skocz do zawartości
  • 👋 Witaj na MPCForum!

    Przeglądasz forum jako gość, co oznacza, że wiele świetnych funkcji jest jeszcze przed Tobą! 😎

    • Pełny dostęp do działów i ukrytych treści
    • Możliwość pisania i odpowiadania w tematach
    • System prywatnych wiadomości
    • Zbieranie reputacji i rozwijanie swojego profilu
    • Członkostwo w jednej z największych społeczności graczy

    👉 Dołączenie zajmie Ci mniej niż minutę – a zyskasz znacznie więcej!

    Zarejestruj się teraz

Problem z odpaleniem


DawcaPigulek

Rekomendowane odpowiedzi

Opublikowano

odpalam globala przez main ładuję się coś i nic się nie dzieje, przez mu też nic się nie dzieje przez stronke tak samo ... ocb

Chcesz przez wakacje zarobić na elektronikę, bądź inne gadżety? Skontaktuj się PW :)

  • 3 miesiące temu...
Opublikowano

Have fun

 

 

IV Diagnozowanie wstępne:


 

  1. otwieramy
    skrzynkę przedmuchujemy sprężonym powietrzem wszystko z wiatraka, podzespołów,
    taśm, kabli


  1. układamy
    wewnątrz tak kable, by nie blokowały przepływu powietrza i, by ciepłe powietrze
    miało, którędy uciekać


  1. opcjonalnie
    kupujemy radiatory i instalujemy w środku, by polepszyć jakość chłodzenia,
    koszty są minimalne a efekt zadowalający


  1. przywracamy
    ustawienia fabryczne w biosie oraz dla
    podzespołówk komputera


  1. Po
    uruchomionym komputerze lukamy menager zadań (ctrl+alt+delete) czy są
    następujące procesy:


• ascv.exe Proces uruchamiany
przez trojana



• backweb.exe Proces uruchamiany
przez organizację "Backweb Technologies"



• fvprotect.exe Proces
uruchamiany przez szkodliwego robaka



• isass.exe Proces uruchamiany
przez szkodliwego wirusa



• skynetave.exe Proces
uruchamiany przez robaka SASSER



• syshost.exe Proces uruchamiany
przez konia trojańskiego



  1. Wchodzimy
    w mój komputer -> panel sterowania -> konta użytkowników i zakładamy
    trudne hasło, które będzie mieć minimum 8 znaków zawierać duże, małe litery,
    spacje, liczby i znaki specjalne


  1. ściągamy
    i instalujemy najnowszą wersję bezpiecznej przeglądarki internetowej jak np.
    Mozilla Firefox


  1. ściągamy
    i instalujemy najnowsze aktualizacje do systemu operacyjnego


  1. ściągamy
    i instalujemy najnowszą wersję programu antywirusowego -> polecany Eset Nod


  1. postawienie
    programu antywirusowego w tryb monitora


  1. ustawienie
    automatycznych baz wirusów w programu antywirusowego


  1. ściągamy i
    instalujemy najnowszą wersję programu MalwareBytes Anti-Malware


  1. postawienie
    MalwareBytes Anti-Malware w tryb monitora


  1. zaktualizowanie
    MalwareBytes Anti-Malware


  1. ściągamy i
    instalujemy najnowszą wersję programu Comodo Cleaning Essentials


  1. w CCE
    przechodzimy do opcji zaznaczamy 1 klatkę i z listy rozwijanej wybieramy high


  1. ściągamy i
    instalujemy najnowszą wersję programu typu firewall


  1. konfiguracja
    programu firewall


  1. postawienie
    programu firewall w tryb monitora


  1. ustawienie
    automatycznych aktualizacji programu firewall


  1. dbamy o to,
    by antywirus i zapora ogniowa były uruchamiane ze startem systemu


  1. skanujemy
    po kolei swoim AV, MalwareBytes Anti-Malware i CCE


  1. skany maja
    być pełne i wykonane po kolei nie jednocześnie


  1. wyniki
    końca skanowania zachowujemy robiąc zdięcia klawiszem PrtScSysRq,


  1. każde
    pojedyńczo zachowane zdięcie wklejamy do Programu Paint i zapisujemy dowolnie
    jako rozszeżenie .jpg


  1. po
    skończonych skanach wchodzimy do folderu z CCE i uruchamiamy narzędzie
    KillSwitch i czekamy aż skończy ładowac dane


  1. sprawdzamy
    czy nie ma jakiegoś malware w tym narzędziu, dla ułatwienia wybieramy View>
    Hide Safe Processes i, jeżeli są usuwamy je, szare wpisy są przeważnie nie
    groźne szukamy czerwonych wpisów


  1. dalej
    wchodzimy w QucikRepair i sprawdzmy czy nie zostały dokonane zmiany w naszej
    sieci itp. Jeżeli tak wybieramy repair, czasem DNS pokazuje fałszywie


  1. potem
    uruchamiamy Autorun Analyzer i czekamy aż skończy ładowac i analizować dane


  1. sprawdzamy
    czy w procesach nie zagnieździły się malware, jeżeli jest usuwamy je


  1. w razie
    problemów wejść na
    http://wklej.org, a zdięcia na
    http://imageshack.us/


  1. Wchodzimy
    na http://forum.dobreprogramy.pl/ rejestrujemy się i lub logujemy


  1. wstawiamy
    hiperłącza logów i zdięć z wynikami skanowania w dziale bezpieczeństwo,
    pamiętając o prawidłowym tytulowaniu tematu i czekaj na werdykt


  1. Gdy jakiś
    fachowiec ogarnie temat dostanuiemy instrukcje, naczęściej będzie to
    zatwierdzenie określonego skryptu i ponowne przeskanowanie dla potwierdzenia
    usunięcia i ponowna publikacja skryptów oraz sprzątakie po programie po czym
    uswanie go. Zatem powtarzamy pkt 34-39


  1. klikamy na
    mój kompuuter -> ppm-> własciwości -> zaawansowane -> przy
    wydajność ustawienia -> zakładka zaawansowane -> Przy pamięć wirtualna
    zmień


  1. na dysku
    systemowym przy rozmiar początkowy dajemy tyle pamięci fizycznej, ile mamy, a przy rozmiar maksymlny dajemy
    zgodnie ze wzorem ilośc pamięci fizycznej*1.5


  1. ściągamy i
    instalujemy najnowszą wersję programu adobe reader


  1. ściągamy i
    instalujemy najnowszą wersję programu SecurityCheck


  1. uruchamiamy
    i załączamy skan w SecurityCheck


  1. Dostaniemy
    log z tym co jest stare, a co aktualne z softu


  1. Wgrywamy
    najnowsze wersje programu / przeprowadzamy aktualizację programów oznaczonych
    jako "out of date"


  1. ściągamy i
    instalujemy najnowszą wersję programu Beniamin do m.in. kontroli rodzicielskiej
    dla młodszych użytkowników


  1. ściągamy i
    instalujemy najnowszą wersję programu Seconfig XP


  1. ściągamy i
    instalujemy najnowszą wersję programu Windows Worms Doors Cleaner


  1. zamykamy
    dostępu malware, by nic nie wleciało zgodnie z instrukcją Zabezpieczenia przed
    robaczywymi atakami i posłańcem.doc


  1. ściągamy i
    instalujemy najnowszą wersję servise packa, dla windows xp proffesional jest to
    3


  1. ściągamy i
    instalujemy najnowszą wersję programu Revo Uninstaller


  1. w
    autostarcie odznaczamy zbędne programy uruchamiane z systemem i usuwamy tych co
    nie ma


  1. w revo
    unistaller również usuwamy wszystkie paski (toolbar) i nieużywane
    oprogramowanie w trybie zaawansowanym, pozbędziemy się wpisów z komputera i
    rejestru


  1. Na tym
    etapie można usunąć wszystkie programy ochronne, zostawiamy tylko antywirus i
    zaporę ogniową


  1. Jeżeli
    programy są w wersji portable czy soakowane to same pliki a w przeciwnym razie
    w revo unistaller -> tryb zawansowany


  1. ściągamy i
    instalujemy najnowszą wersję programu CCleaner


  1. ściągamy i
    instalujemy najnowszą wersję programu CCEnhancer


  1. zaznacz w
    roższeżonym ccleaner usuwanie haseł z przeglądarki, ostatnio otwarte
    dokumenty i historię przeglądarki


  1. wykonaj
    czyszczenie systemu, a potem rejestru,


  1. pkt 56
    powtarzamy bez zaznaczania dla Eusing Free Registry Cleaner


  1. ściągamy i
    instalujemy najnowszą wersję programu Piriform Defraggler


  1. robimy
    defragmentacje wszystkich dysków


  1. Usuwamy
    wszystkie punkty przywracania systemu


  1. tworzymy
    nowy pkt przywracania systemu


  1. dla
    słabszych komputerów wchodzimy we właściwości mojego komputera -> zaawansowane
    > wydajność -> ustawienia i dopasowujemy opcje do najlepszej wydajności


  1. Menu Start
    -> Programy/wszystkie programy -> Akcesoria -> Wiersz polecenia i tu
    wpisz regedit.exe., jeżeli nie zadziała, wpisujemy %windir%\regedit.exe albo
    Utwórz na pulpicie (czy gdziekolwiek Ci pasuje) nowy skrót. W polu 'Wskaż
    lokalizację elementu' wpisz jeden z podanych wyżej wariantów.


  1. Jesteśmy w
    rejestrze, znajdź klucz: [HKEY_CURRENT_USER\ Software\Microsoft\Windows\
    CurrentVersion\Policies\Explorer] a w, nim wartość „NoSetFolders” i albo usuń
    tą wartość albo zmień ją z 1 na 0


  1. [HKEY_CURRENT_USER\
    Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer] a w, nim wartość
    „NoClose” i albo usuń tą wartość albo zmień ją z 1 na 0


  1. [HKEY_CURRENT_USER\
    Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer] a w, nim wartość
    „NoFind” i albo usuń tą wartość albo zmień ją z 1 na 0 (zero)


  1. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    a w, nim wartość „NoRun” i albo usuń tą wartość albo zmień ją z 1 na 0 (zero)


  1. [HKEY_CURRENT_USER\
    Control Panel\Mouse] a w, nim wartość „SwapMouseButtons” (wartość ciągu) i albo
    usuń tą wartość albo zmień ją z 1 na 0 (zero)


  1. [HKEY_LOCAL_MACHINE\System\Current
    ControlSet\Control\Keyboard Layout] a w, nim wartość „substitutes” i albo usuń
    tą wartość albo zmień ją z 1 na 0


  1. [HKEY_LOCAL_MACHINE\System\Current
    ControlSet\Control\Keyboard Layout] a w, nim wartość „Scancode Map (wart
    binarna)” i albo usuń tą wartość albo zmień ją z 1 na 0


  1. oczyszczamy
    folder temp, który jest na dysku systemowym wchodząc na start -> wyszukaj
    -> pliki i foldery, wpisujemy Temp w jednym i drugim polu, zaznaczamy
    uwzględnij wielkośc liter i npokaż ukryte pliki. Usuwamy tylko pliki folderu
    temp noszące nazwę użytkownika przy wyszukiwaniu np. C:\Documents and
    Settings\Janek\Ustawienia lokalne\Temp


  1. ppm na
    pulpicie -> właściwości -> pulpit-> dostosuj pulpit -> odznaczamy
    uruchom kreatora oczyszczania pulpitu co 60 dni


  1. Wchodzimy
    do narzędzia, opcje folderów, w zakładkę widok, odznaczamy użyj prostego
    udostępniania plików (zalecane), klikamy OK


  1. klikamy
    PPM, właściwości na naszym folderze i
    wybieramy zakładkę zabezpieczenia i wchodzimy na zaawansowane, w zakładce
    zaawansowane odznaczamy dziedziczenie i klikamy na usuń, a następnie usuwamy
    pozostałe wpisy z uprawnień jak jakieś zostaną, nadamy uprawnienia od nowa w
    tym miejscu jeszcze klikamy OK i potwierdzamy klikając na Tak


  1. cofamy się
    do poprzedniego okna (zakładka zabezpieczenia), wchodzimy na dodaj pod oknem
    nazwa grupy lub użytkownika, klikamy na zaawansowane i znajdź teraz, szukamy naszego konta,
    klikamy na, nim LPM i klikamy OK i potem
    znów OK, następnie klikamy na kwadracik pełna kontrola pod zezwalaj, by nadać
    mu wszystkie uprawnienia


  1. potem
    klikamy na zaawansowane, zanaczamy tutaj Dziedzicz po obiekcie nadrzędnym wpisy
    uprawnienia stosowane do oboiektów podrzędnych. Uwzględnij je razem z wpisami
    tutaj zdefiniowanymi,


  1. potem
    wchodzimy na Edytuj, tu zaznaczymy kwadracik Zastosuj te uprawnienia jedynie
    dla obiektów i/lub kontenerów znajdujących się wewnątrz tego kontenera obok
    wyczyśc wszystko, by pliki wewnątrz folderu miały takie same uprawnienia i klikamy OK, potem OK. i jeszcze raz OK i
    zaznaczamy użyj prostego udostępniania plików (zalecane)


  1. robimy
    backup rejestru


  1. w AV i FW
    dodaj z klienta MU do wyjątków main.exe, antycheat.dll czy co tam ma, mu.exe i
    te rozszeżenia.do przeglądarki


  1. Gdy to
    dalej nie pomoże przeinstaluj klienta i rozszezenia używając revo unistaler
    trybu zaawansowanego


  1. gdyby gra była spakowana najpierw urochom z ikony
    potem przez przeglądarkę




Konsola usługi





Usługi Windows i profile
sprzętowe



Windows XP/2000 ma wiele usług
działających w tle. Wiele z niech jest nieprzydatnych, a mimo to potrafią
pożreć wiele cennych zasobów peceta [czytaj - część z nich trzeba wyłączyć].
Ostrzegam… z usługami trzeba uważać. Jeśli coś działa nie tak trzeba
natychmiast włączyć niezbędną usługę, ale jeśli będziecie trzymali się tekstu i
nie kombinowali „co można, a co nie”, wszystko będzie dobrze.





Są trzy typy uruchamiania usług:



Automatyczny – Usługa uruchamia
się ze startem systemu.



Ręczny – Usługa nie uruchamia się
automatycznie podczas logowania systemu, ale może zostać uruchomiona przez
użytkownika, program lub usługę zależną. W dwóch ostatnich przypadkach start
systemu będzie niestety nieco spowolniony, ponieważ system musi odszukać daną
usługę i ją



zainicjować. Na szczęście zawsze można zmienić
typ uruchamiania na automatyczny i odzyskać pełną szybkość.



Wyłączony – Usługa nie może
zostać uruchomiona (można ją przywrócić zmieniając jej status na
ręczny/automatyczny.





PAMIĘTAJ, NAJBEZPIECZNIEJ USTAWIĆ
NA RĘCZNIE.





Teraz uruchom ponownie komputer i
poczekaj 50 sekund od startu. Menu Start – uruchom – wpisz ‚services.msc’.
Sprawdź, z których usług Windows korzysta od samego startu [w kolumnie 'Stan'
widnieje 'Uruchomiono'].





Zapisz te usługi na kartce i w
żadnym wypadku nie wyłączaj jeśli nie znajdziesz ich na poniższej liście,
(chyba, że się na tym dobrze znasz). Dezaktywacja takiej usługi może
spowodować, że system będzie działał nie tak jak powinien i warto zaoszczędzić
sobie potem aktywacji usługi (lub re-instalacji w skrajnym przypadku). Jest to
powodowane przez bardzo różnorodność konfiguracji sprzętowych, jak i
zainstalowane oprogramowanie. Część programów ma własne usługi, których trwałe
wyłączenie uniemożliwi korzystanie z tego oprogramowania.





CZYTAJ WSZYSTKO UWAŻNIE I NIE
PRÓBUJ „CO SIĘ DA, A CO NIE!”. Wszelkich zmiany dokonuj tylko na nowym profilu
użytkownika





Bardzo Ważne!!! Możesz utworzyć
nowy profil sprzętowy!!!



Pozwoli to m.in. na zablokowanie
możliwości uruchamiania określonych usług na określonych profilach. Wywołaj
polecenie ‚services.msc’ i edytuj dowolną usługę. Zauważ, że w zakładce
‚Logowanie’, możesz dezaktywować usługę oddzielnie dla każdego profilu. Daje to
ogromne możliwości. Podstawowy profil może pozostać nietknięty, podczas gdy
wszystkie zmiany zostaną wprowadzone na innych profilach.



Tworzymy profil: Menu Start – Mój Komputer –
Właściwości – Sprzęt – Profile Sprzętu – zaznacz ‚Profil 1′ – kopiuj – nazwij
nowy profil np. ‚szybciej’ – OK.



W ŻADNYM WYPADKU NIE KASUJ
PIERWSZEGO PROFILU, będziesz z niego korzystał na co dzień, a gdy zapragniesz
poszaleć w jakąś grę, przekonwertować plik video… mając do dyspozycji
podwyższoną wydajność uruchomisz komputer z nowego profilu. Teraz musisz tylko
ustawić odpowiednie zmiany w usługach:



Zakładka ‚Logowanie’ decyduje, czy usługa ma
być dostępna dla danego profilu. Ustawienie ‚Wyłączony’ spowoduje, że usługa
jest trwale wyłączona. Jeżeli usługa jest dostępna, wówczas system sprawdza w
jakim trybie ma zostać uruchomiona. Pamiętaj, że tryby są wspólne dla
wszystkich profili.Reasumując, typ uruchomiania ‚wyłączony’ jaki ustawia się w
zakładce ‚Ogólne’ spowoduje wyłączenie usługi dla wszystkich profili. Z kolei
typy: ręczny i automatyczny uruchomią usługę tylko wtedy, jeżeli w zakładce
‚Logowanie’ obok nazwy uruchomionego profilu będzie widniała opcja ‚Włączony’.



Lista usług, które można z
powodzeniem wyłączyć:





W nawiasach [...] domyślny typ
uruchamiania usługi. W nawiasach {…} propozycje modyfikacji.






  • Aktualizacje automatyczne [Auto]Umożliwia
    automatyczną aktualizację systemu Windows o krytyczne poprawki. Jeżeli wolisz
    wiedzieć co Windows aktualizuje (a i tak lepiej zrobić to ręcznie), a przed
    pobraniem poprawek uruchom jednorazowo usługę. {wyłącz / ręcznie}



  • Bufor wydruku [Auto]Niezbędny do drukowania i
    zainstalowania drukarki, ale zużywa ok. 4 MB w pamięci . Więc jeśli nie masz
    drukarki lub rzadko jej używasz… optymalnie ustaw ręcznie, aby nie zapomnieć
    uaktywnić usługi przed drukowaniem. {ręcznie}

 

 

Opisy / instrukcje / narzędzia tu przedstawione nie aplikują
się dla platform Windows Vista / Windows 7



 



Robaki sieciowe / ataki DoS / Spam Posłańca



 



 



 



Objawy: Bardzo spowolniona sieć, trudności w ładowaniu stron
www, a nawet całkowity zanik internetu. Możliwe okoliczności towarzyszące to:
charakterystyczny błąd 60 sekund odliczania i wynikowo samoczynny reset
komputera lub też błąd "Generic Host Process.....", zaobserwowaliśmy
też jako jeden ze znaków przebarwianie paska zadań na jakby "klasyczny".
Błędy 60 sekund zostały rozpoczęte przez bardzo już archaiczne robaki Blaster -
Sasser i obecnie mogą być generowane przez różne inne robaki i NIE TYLKO (też
rootkity a nawet spyware) więc proszę się nie sugerować typem błędu. I uwaga:
błąd 60 sec / Generic wcale nie znaczy iż komputer jest już zainfekowany, to
może świadczyć tylko o ataku na komputer bez tworzenia plików robaków na dysku.



 



Usuwanie: Na samym początku należy bezwzględnie zastosować
opisany poniżej Windows Worms Doors Cleaner by zamknąć drogę ataku robaków i
spamu Posłańca. W dalszej kolejności udać się po pomoc podając na forum
stosowne logi.



 



Firewall a całkowite
zamykanie specyficznych portów



 



135, 137-139, 445, 1900, 5000



 



Osobna zapora
softwarowa (typu: ZoneAlarm / Kerio / Outpost etc.) nie jest rozwiązaniem
wystarczającym w tej materii, gdyż to czym się zajmuje firewall to nie
całkowite zamykanie omawianych tu portów lecz jedynie blokowanie do nich
dostępu poprzez filtrowanie ruchu sieciowego. To oznacza iż komponenty, które
korzystają z tych portów, są nadal uruchomione. W takiej sytuacji firewall musi
być cały czas aktywny by ochrona miała miejsce i jesteśmy od tego faktu
uzależnieni (chwilowe wyłączenie zapory lub jej wyłożenie się na błędzie jest
ekspozycją na zagrożenie). Ponadto zarówno komponenty Windows pracujące na tych
portach jak i firewall startują wspólnie podczas uruchamiania komputera, a
które z nich zainicjuje się pierwsze (czyli będzie mieć szansę na forsowanie
własnych zadań) jest zagadką wynikającą z masy czynników konfiguracyjnych.



 



Poniżej przedstawiam
skrócony opis kluczowych portów wraz z ręczną metodą ich zamykania, która
polega na przekonfigurowaniu komponentów Windows. Jest to zagadnienie dla
waszej orientacji co się dzieje w systemie. Tych edycji nie trzeba wykonywać ręcznie
- programy Windows Worms Doors Cleaner i Seconfig XP przeprowadzają to
automatycznie. To wprowadzenie by zrozumieć dlaczego te porty są kluczowe i co
te programy prowadzą w celu rozwiązania problemu. Zamknięcie tych portów nie
wpływa na szybkość pobierania w programach P2P (eMule, torrent etc.) i proszę
tego nie łączyć.



 



 



 



 



 



NetBIOS
over TCP/IP - NetBIOS przez TCP/IP



 



137-139



 



Port 137 UDP - Usługa NetBIOS Name / nazw NetBIOS. Odpowiada
za łączenie adresów IP z nazwami komputerów. Kojarzenie nazewnicze typowo
odbywa się wg dwóch metod: serwer WINS (Windows Internet Name Service) lub plik
LMHOSTS (nie mylić z plikiem HOSTS!). Duża część pakietów UDP blokowanych na
firewallach nie ma związku z próbami ataku. Zagrożenie:



* Pobór przez atakującego informacji o układzie sieci



* Robaki sieciowe szukające otwartych zasobów Windows (cel =
port 139TCP)



 



Port 138 UDP - Usługa NetBIOS Datagram. Komunikacja
bezpołączeniowa w formie datagramów bez potwierdzenia ich dotarcia na miejsce,
najczęściej wykorzystywana w trybie rozgłaszania (broadcast). Obsługuje przesył
informacji o sieci Windows. Z tych właściwości korzysta usługa Computer Browser
/ Przeglądarka komputera, która buduje listę komputerów wyświetlaną w Otoczeniu
sieciowym. Również usługa Messenger / Posłaniec. Zagrożenie:



* Atakujący/haker poprzez zafałszowanie pakietów może dodać
swój komputer do sieci lokalnej co implikuje iż zostanie zniwelowa różnica
zabezpieczeń występująca między komputerami internetowymi a lokalnymi.



* Spam usługi Messenger / Posłaniec.



 



Port 139 TCP - Usługa NetBIOS Session / sesji NetBIOS (SMB
przez NetBIOS). Komunikacja połączeniowa w formie sesji. Odpowiada za właściwą
wymianę danych i współdzielenie zasobów plików / drukarek w sieci lokalnej oraz
za tworzenie tzw. null-session (mówiąc w skrócie logowanie użytkownika bez
nazwy i bez żadnego hasła). Zagrożenie:



* Port będący celem ataków hackerskich, często skanowany w
poszukiwaniu zasobów. Popularna metoda hackowania udostępnianie plików i
drukarek to atak typu "brute force" / siłowy, polegający na łamaniu
haseł przez sprawdzanie jak największej liczby prawdopodobnych kombinacji.



* Jest to również port, z którego korzysta usługa Messenger
/ Posłaniec produkując bezpośredni spam w pop-upach.



* Jedna z dróg transportu robaków sieciowych



 



Skutki uboczne
wyłączenia portów NetBIOS (włącznie z 445 = patrz dalej): Przestanie działać
Otoczenie sieciowe i funkcja Udostępniania plików i drukarek w sieci oraz inne
aspekty sieci Microsoft Networks (nie mylić sobie tego z www, e-mail i tego typu
komunikacjami szaraków). W LAN prawdopodobnie NetBIOS jest niezbędny ale zależy
to też od tego w jaki sposób LAN rozwiązano. Test bardzo prosty: jeśli po
całkowitym zamknięciu portów 137-139 (włącznie z 445) i resecie komputera
padnie całkowicie dostęp do internetu, NetBIOS jest wymagany.



 



 



Te trzy komunikacje NetBIOS stosunkowo łatwo wyłączyć
(usługa Posłaniec = patrz dalej):



 



Panel sterowania
>>> Połączenia sieciowe >>> prawy klik na dane połączenie
>>> Właściwości >>> podświetlić Protokół TCP / IP >>>
Właściwości >>> Zaawansowane >>> zakładka WINS >>>
Wyłącz system NetBIOS przez TCP/IP:



 



 



 



 



 



SMB over
TCP/IP - SMB przez TCP/IP



 



445



 



Port 445 służy do
poszerzonej komunikacji protokołu SMB bezpośrednio przez TCP/IP, z pominięciem
okrężnej drogi "NetBIOS przez TCP/IP". Jest to dodatkowa droga
współdzielenia plików i drukarek sieciowych (patrz porty 137-139), w związku z
tym port 445 jest często skanowany w poszukiwaniu otwartych zasobów sieciowych
Windows. Zagrożenia:



* Port silnie atakowany przez hakerów, robaki i rozproszone
botnety.



* Spam wysyłany przez usługę Messenger / Posłaniec.



 



Skutki uboczne
zamknięcia portu 445: Uniemożliwione współdzielenie plików i drukarek w sieci o
ile nastąpi równocześnie zamknięcie portów NetBIOS 137-139. Wynika to z faktu
iż próba komunikacji odbywa się "równolegle" w celu zachowania
kompatybilności portów (445 jest portem współdzielenia tylko na nowych Windows
2000 w górę). Jeśli jest włączone NetBIOS over TCP/IP, zawsze jest równoczesna
próba nawiązania połączenia na porcie 139 oraz 445, a w zależności od
szybszej odpowiedzi (lub jej braku) sesja właściwa odbywa się przez port 139
lub 445. Jeśli NetBIOS over TCP/IP jest wyłączone, nawiązywanie sesji jest
forsowane tylko przez 445. Wniosek: zamknięcie portu 445 przy pozostawieniu
otwartych 137-139 nie wpłynie na funkcjonowanie LAN.



 



 



Wyłączanie SMB przez TCP/IP (usługa Posłaniec = patrz
dalej):



 



Start >>> Uruchom >>> regedit i w kluczu:



 



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters



 



W okienku po prawej stronie klikasz
prawym >>> Nowy >>> Wartość DWORD >>> jako nazwę
wprowadź SmbDeviceEnabled. Kliknij podwójnie na nowo utworzoną wartość
SmbDeviceEnabled i wpisz liczbę 0.



 



 



 



 



 



 



RPC over TCP/IP



 



135



 



Jest to port usługi
DCOM / RPC Endpoint Mapper. W sposób współdzielony korzystają z niego takie
usługi jak Distributed Transaction Coordinator (MSDTC), Task Scheduler
(Harmonogram zadań) a także Messenger (Posłaniec). Zamknięcie portu zalecane
dla standardowych komputerów domowych. W środowisku Microsoft Networks
problematyczne gdyż RPC jest tam szeroko wykorzystywane, głównie w celach
administracyjnych. Zagrożenie:



* Spam wysyłany przez usługę Messenger / Posłaniec. Jak
wspomniane wcześniej Posłaniec korzysta z portów NetBIOS (137-139) ale mimo ich
zamknięcia nie ma 100% ochrony przed spamem gdyż polecenie net send w przypadku
"zatkania" tych portów obiera drogę alternatywną właśnie przez port
135.



* Port silnie wykorzystywany przez robaki sieciowe i ataki
hackerskie.



 



Skutki uboczne
zamknięcia portu 135: Zamykanie portu 135 odbywa się stopniowo poprzez
wyłączanie kolejnych składników korzystających z tegoż portu. Wyłączenie samego
DCOM nie niesie negatywnych efektów na standardowym komputerze. Ale inaczej
sprawa się ma z Harmonogramem zadań. Po całkowitym zamknięciu portu 135 usługa
Harmonogramu nie startuje (dotyczy Windows XP i 2003, Windows 2000 nie ma
takich problemów). Harmonogram jest potrzebny na XP do działania wbudowanej
funkcji Prefetch oraz innych planowanych zadań. Z tym że tu moja uwaga własna:
na moim XP SP2 całkowite zamknięcie 135 nie wpłynęło na usługę
Harmonogramu.....



 



 



Wyłączanie DCOM / RPC Mapper (usługa Posłaniec = patrz
dalej):



 



Start >>> Uruchom >>> regedit i w kluczu:



 



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole



 



W okienku po prawej stronie kliknij
dwukrotnie w EnableDCOM i wpisz literkę N.



 



 



 



 



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc



 



W okienku po prawej stronie kliknij
dwukrotnie w DCOM Protocols i z okienka usuń ncacn_ip_tcp.



 



 



 



 



Odpowiednikiem tych dwóch edycji rejestru jest następująca
operacja via:



 



Start >>>
Uruchom >>> dcomcnfg.exe >>> Usługi składowe >>>
Komputery >>> z prawokliku na Mój komputer wybierz Właściwości
>>> w zakładce Właściwości domyślne usuń ptaszek z opcji Włącz model
obiektów rozproszonych COM na tym komputerze a w zakładce Domyślne protokoły
podświetl tam widniejący i Usuń.



 



 



 



 



 



Usługa Messenger / Posłaniec



 



135, 137-139, 445



 



Messenger (w polskim
Windows: Posłaniec) to sieciowa usługa przesyłająca pomiędzy klientami a
serwerami komunikaty net send, służące typowo administratorom sieci do
informowania użytkowników o różnych zdarzeniach (np. o resecie serwera etc.).
Komunikacja Messengera korzysta z wszystkich wyżej wymienionych portów:
135,137,138 UDP oraz 135,139,445 TCP. Od razu uściślenie: w angielskiej wersji
językowej usługa ta nosi nazwę Messenger i to jest co innego niż komunikator
Messenger wbudowany w system! Omawiana tu usługa pracuje na pliku
C:\WINDOWS\system32\services.exe a komunikator jest zainstalowany w C:\Program
Files\Messenger\msmsgs.exe i ma ikonkę . Proszę tych dwóch rzeczy nie mylić! Na
Windows XP SP2 i 2003 usługa ta jest domyślnie wyłączona i nie stanowi problemu
... o ile nie nastąpiło szkodliwe przekonfigurowanie domyślnych ustawień.
Zagrożenie:



* Droga roznoszenia wirusów / robaków sieciowych



* Produkcja spamu w postaci bezpośrednio wyskakujących
pop-upów:



 



 



Start >>> Uruchom >>> services.msc



 



Na liście dwuklik na
usługę Messenger / Posłaniec, wybrać opcję Zatrzymaj a Typ startowy ustawić
Wyłączona. Finałowo macie otrzymać:



 



 



 



 



 



 



Usługa Universal Plug and Play (UPnP)



 



1900, 5000



 



Universal Plug and
play szczegółowo jest opisane w tym temacie: klik. W istocie grupuje dwie
składowe usługi: Usługa Odnajdywania SSDP (operuje na porcie 1900 UDP) + Host
Uniwersalnego urządzenia Plug and Play (operuje na portach: 2869, 5000 TCP).
Zagrożenie:



* Poważna luka zabezpieczeń umożliwiająca przejęcie kontroli
nad komputerem



 



 



Start >>> Uruchom >>> services.msc



 



Na liście po kolei
dwuklik na SSDP Discovery Service / Usługa odnajdywania SSDP oraz Universal
Plug and Play Device Host / Host Uniwersalnego urządzenia plug and play, wybrać
opcję Zatrzymaj a Typ startowy ustawić Wyłączona. Finałowo macie otrzymać:



 



 



Windows Worms
Doors Cleaner



 



Windows Worms Doors Cleaner



 



Platforma: Windows 2000/XP/2003



Licencja: freeware



 



Strona domowa: http://www.firewallleaktester.com/



 



Aktualizacja: Strona tymczasowo nieczynna, tu linki
zastępcze pobierania: KLIK.



 



 



 



WWDC to aplikacja do
zamykania kluczowych wyżej opisanych portów. Przeprowadza wszystkie akcje
blokerskie bez użycia dodatkowych procesów - tylko i wyłącznie edycje rejestru
(opisane we wstępie). Prócz faktu sprawdzania czy rzeczywiście dana usługa jest
w rejestrze wyłączona, przeprowadza dynamiczną detekcję czy usługa nadal
pracuje w tle (z wyjątkiem DCOM). O co chodzi: w rejestrze może zostać
wyłączona ale jeśli komputer nie był resetowany proces usługi może być nadal
aktywny. Konfiguracja programu i zamykanie portów są bardzo proste:



 



 



PODSTAWOWA OBSŁUGA PROGRAMU:



 



 



 



 



 



 



Port otwarty



 



Port zamknięty



 



Port zostanie
zamknięty po resecie



 



Każdy czerwony znaczek należy zamienić na zielony przez
buttonik "Disable ..." i dla wprowadzenia zmian zresetować komputer.
Od góry do dołu zielono równa się wzorowe zabezpieczenie. Poniżej opis kilku
szczegółów towarzyszących zamykaniu określonych portów i wytłumaczenie zawiłej
historii żółtych, które nie zawsze oznaczają dosłownie "zamykanie po
kolejnym resecie komputera".



 



 



 



DCOM RPC



 



 



 



Tutaj należy spojrzeć
na wstęp tematu i opis portu 135: klik. Było tam wzmiankowane iż z tego portu
korzysta usługa Harmonogramu zadań. WWDC uzwględnia ten aspekt i podczas próby
zamknięcia portu zadaje pytanie czy deaktywować tylko DCOM czy całkowicie
zamknąć port.



 



Wybranie odpowiedzi
Yes całkowicie zamknie port, wybranie No zaadresuje tylko wyłączenie samego
DCOM. Po wybraniu stosownej opcji otrzymacie zawiadomienie o ustawieniu blokady
z prośbą o zresetowanie komputera w celu wdrożenia zmian. Po resecie komputera
jeszcze jedna szansa. WWDC poinformuje iż DCOM jest zdeaktywowane ale port 135
ciągle otwarty i zaproponuje kolejne wybieranie opcji.



 



Wybranie Yes
"domknie" port zaś wybranie No pozostawi sytuację bez zmian (tylko
DCOM wyłączone). Na koniec zawiadomienie o pomyślnym ustawieniu i ponowna
prośba o reset.



 



 



 



NetBIOS



 



 



 



Ponownie rzut okiem
na wstęp tematu i opis portów 137-139: klik. WWDC przewiduje dwa scenariusze.
Podczas blokowania portu zada pytanie czy wprowadzić domyślne ustawienie
"NetBIOS na życzenie" czy też całkowicie go wyłączyć.



 



Wybranie odpowiedzi
No oznacza całkowite wyłączenie NetBIOS = ta odpowiedź skutkuje NetBIOSem
zaznaczonym na zielono. Wybranie odpowiedzi Yes spowoduje przestawienie typu
startowego usługi NetBIOS na Ręczny czyli NetBIOS nie startuje automatycznie
ale uruchomi się w razie potrzeby = ta odpowiedź skutkuje NetBIOSem zaznaczonym
na żółto:



 



 



 



Żółty jest traktowany
jako poprawny i wg "terminologii" akcji WWDC oznajmia iż port jest
"zamknięty" (a przynajmniej zabezpieczony). Nie jest to do końca
prawda gdyż takie ustawienie zostawia tylną furtkę = NetBIOS może się w każdej
chwili uruchomić (co zresztą zwykle czyni zaraz pod podłączeniu sieci). Jest to
ustawienie asekuracyjne na wypadek gdyby połączenie sieciowe potrzebowało
NetBIOS do swojego funkcjonowania. Odpowiedź Yes należy wybrać wtedy jeśli
wybranie odpowiedzi No skutkuje brakiem dostępu do internetu.



 



 



UPnP / Messenger



 



 



 



Wszystko wytłumaczone
wielokrotnie i nie ma co gdybać tylko porty Universal Plug and Play i Posłańca
zamykać. Nie powinno być z tym trudności ale w ramach wyjątku może się okazać
że stoją przy nich żółte znaczniki i nie chcą się zamienić na zielone mimo
resetu komputera. Wtedy należy skorzystaj z ręcznej metody zamykania opisanej
tu: klik. Specjalnym przypadkiem może być błąd:



 



 



 



 



 



"Value in registry can't be opened"



 



 



 



Program przy
uruchamianiu może poczęstować takim błędem a w zależności z czym ma trudność
treść błędu będzie odmienna:



 



Value in
registry can't be opened (SYSTEM\CurrentControlSet\Services\upnphost\)



Value in registry can't be opened
(SYSTEM\CurrentControlSet\Services\Messenger\)



Value in registry can't be opened
(SOFTWARE\Microsoft\Ole\)



Value in registry can't be opened
(SYSTEM\CurrentControlSet\Services\NetBT\)



 



Ten błąd może mieć następujące
wytłumaczenia: WWDC nie ma dostępu / uprawnień do klucza rejestru lub klucz
rejestru nie istnieje. W pierwszym przypadku należy skorzystać z instrukcji
wstępu tego tematu i ręcznie dokonać blokad. W drugim przypadku przeważnie
będzie chodzić o ten fakt:



 



UWAGA: Błąd "Value in registry can't be opened
..." występuje na specjalnych modyfikowanych wersjach Windows (tworzonych
ręcznie przez nLite z opcją usuwania komponentów lub gotowych typu PowerXP czy
TinyXP) i jest to w tym przypadku naturalne. Te Windows mają z natury wycięte
usługi UPnP i Posłaniec stąd WWDC nie może otworzyć ich kluczy (heh skoro ich
nie ma) i wprowadza w błąd żółtym znaczkiem. A nic nie trzeba korygować.



 



 



 



 



Komunikat WWDC:



 



 



 



Komunikat tego
"błędu" to zawiadomienie iż jest wielce prawdopodobna infekcja gdyż
zarezerwowana pamięć dla SVCHOST przekroczyła dopuszczalne limity i wygląda iż
w pamięci czai się szkodnik. Zalecany skan. Tej ewentualności nie można
wykluczyć. Z drugiej strony w TYM temacie wyjaśniłam iż detekcja tylko po
rozmiarze pamięci jest ułomna i nie może być wyznacznikiem obcego szkodliwego
ciała w memory bo może tam siedzieć .... sterownik a nie wir (ostatnio
napuchnięty svchost.exe jest modnym objawem działania Automatycznych
aktualizacji). Wprawdzie temat pyta o pewną wariację problemu i inny typ pamięci
ale chodzi o sam fakt oceniania wg formuły sajzu.



 



Poza tym sam WWDC
miał kiedyś detekcję svchost RAM usage check, którą .... usunięto (zgadnij
dlaczego ) a limit dla svchost virtual
memory usage check zwiększono (znów zgadnij dlaczego ). Wniosek: to tylko przypuszczenia programu
a nie pewność czy fakt! WWDC można uruchomić bez tego sprawdzania pamięci =
patrz poniżej na parametr -nowormscheck.



 



 



 



 



ZAAWANSOWANA OBSŁUGA PROGRAMU:



 



Windows Worms Doors
Cleaner może być również obsługiwany z linii komend pozwalając dokonać tych
samych akcji co wyżej (sprawdzić stan usług oraz je wyłączać / włączać) plus
akcję extra (wyłączenie tego denerwującego sprawdzania pamięci sygnalizującego
infekcję na podstawie zbyt dużego rozmiaru svchost). Przydatne dla:



- Dla zwykłego
domowego użytkownika, który chciałby regularnie sprawdzać status usług, czy nie
uległy ponownemu włączeniu po jakiejś aktualizacji.



- Administratorów
sieciowych wykorzystujących skrypty trybu batch uruchamiane jako zaplanowane
zadanie w celu hurtowego wyłączenia wybranych usług w całej sieci.



 



 



Dostępne parametry:



 



Wyłączanie / włączanie usług:



 



-dcom:enable/disable



-locator:enable/disable



-netbios:enable/disable/manual



-upnp:disable/enable



-messenger:disable/enable



 



Opcje
startowe WWDC:



 



-startup:dcom,locator,netbios,messenger,upnp



-nowormscheck



 



Zatwierdzanie resetu:



 



-reboot:yes/no



 



 



 



Przykłady tworzenia skrótów:



 



Tworzymy skrót do
programu WWDC w dowolnym miejscu np. na Pulpicie lub w menu Autostart (zależy
co chcemy uzyskać). Następnie z prawokliku na skrót wybieramy jego Properties /
Właściwości i w Target / Element docelowy umieszczamy po ścieżce dostępu
-parametr (tak, z minusem przed). Poglądowe przykłady:



 



1. Wyłączenie sprawdzania pamięci svchost na starcie przez
parametr:



 



 



 



Parametr
-nowormscheck ma być wpisany po zamknięciu cudzysłowiem a nie przed a spacja ma
być w tym miejscu:



 



"...........\wwdc.exe"[spacja]-nowormscheck



 



2. Sprawdzanie na starcie statusu usług Posłaniec i
Universal Plug and Play przez parametr:



 



 



 



"...........\wwdc.exe"[spacja]-startup:messenger,upnp



 



Seconfig XP



 



Restrict Microsoft Networks:



 



Sugerowane
ustawienie: wszystko zaznaczone



 



Sugerowane
ustawienie: wszystko zaznaczone



 



Sugerowane
ustawienie: wszystko odznaczone



 



 



 



Disable
NetBIOS over TCP/IP (all adapters)



 



137-139



 



Zamknięcie portów 137-139 dla wszystkich aktualnie
zamontowanych interfejsów sieciowych. Bardzo podobne do użycia opcji
"Wyłącz system NetBIOS przez TCP/IP" w zakładce WINS dla wszystkich
adapterów sieciowych. Ale w przeciwieństwie do ręcznej korekty dotyka również i
ukrytych adapterów. Odpowiednik opcji w Windows Worms Doors Cleaner. Szczegóły
portów 137-139 opisane we wstępie tematu: klik.



 



 



Disable SMB
over TCP/IP



 



445



 



Zamknięcie portu 445. Odpowiednik opcji w Windows Worms
Doors Cleaner. Szczegóły portu 445 opisane we wstępie tematu: klik.



 



 



Disable RPC over TCP/IP



 



135



 



Zamknięcie portu 135. Odpowiednik opcji w Windows Worms
Doors Cleaner. Szczegóły portu 135 opisane we wstępie tematu: klik.



 



 



NetBIOS Scope ID



 



Jest to alternatywna metoda ochrony komunikacji
"NetBIOS over TCP/IP" polegająca nie na całkowitym blokowaniu NetBIOS
ale wymogu posiadania przez dwa łączące się komputery tej samej wartości Scope
ID (identyfikator zakresu). Dla komputera domowego i VPN program generuje losowy
identyfikator. Uwaga: Ustawienie Scope ID nie ma bezpośredniego wpływu na
ochronę komunikacji SMB over TCP/IP. Scope zwykle jest rozgłaszane w sieci i w
prosty sposób czytelne dla dowolnego użytkownika.



 



Edycja wg Microsoftu (ScopeId): LINK / LINK /
LINK



 



 



 



 



Services Settings:



 



Sugerowane
ustawienie: wszystko zaznaczone



 



Sugerowane
ustawienie: wszystko zaznaczone



 



Sugerowane
ustawienie: zaznaczony tylko Posłaniec



 



 



 



Disable
Remote Registry service



 



Wyłącza
usługę Rejestr zdalny.



 



Disable
Messenger service



 



Wyłącza
usługę Messenger / Posłaniec.



 



Disable
SSDP Discovery Service service



 



Wyłącza Usługę odnajdywania SSDP (składnik główny zespołu
Universal Plug and play).



 



Do not
start IPSEC Services service automatically



 



Zmienia typ startowy Usług IPSEC na Ręczny.



 



 



Opis Posłańca i UPnP jest umieszczony we wstępie: klik.
Ogólnie o tych wszystkich usługach jest opracowanie w dziale Windows:



 



http://www.searchengines.pl/index.php?showtopic=7723



 



 



 



 



TCP / IP Settings:



 



Sugerowane
ustawienie: wszystko zaznaczone



 



Sugerowane
ustawienie: wszystko zaznaczone



 



Sugerowane
ustawienie: wszystko zaznaczone



 



 



 



Drop all
incoming IP source routed packets



 



Opcja umożliwia wyłączenie routingu źródła IP. Routing
źródła IP* jest często wykorzystywany do fałszowania / spoofingu adresu IP i
prowadzenia ataku. W większości przypadków niekonieczny do podstawowego
działania sieci i wyłączenie jest dobrym krokiem zabezpieczającym.



 



Edycja wg Microsoftu (DisableIPSourceRouting):
LINK / LINK



 



 



Disable
automatic detection of "dead" gateways



 



Opcja zapobiegająca przełączeniu na zapasową bramę w
przypadku połączeń doświadczających trudności. Taka możliwość przełączania bram
może być wykorzystana w celu przekierowania ruchu sieciowego przez maszynę
atakującego. Uwaga: Na systemach z układem wielu domyślnych bram opcja ta może
uniemożliwić skorzystanie z zapasowej.



 



Edycja wg Microsoftu (EnableDeadGWDetect): LINK
/ LINK / LINK



 



 



Disable IRDP (all interfaces)



 



Opcja umożliwiająca wyłączenie IRDP (Internet Router
Discovery Protocol) we wszystkich interfejsach. IRDP jest wykorzystywane do
detekcji i konfiguracji adresu domyślnej bramy (to nie jest DHCP!). Jako skutek
uboczny IRDP może pozwolić na przekierowanie ruchu sieciowego przez maszynę
atakującego. W większości przypadków wyłączenie IRDP jest dobrym krokiem
zabezpieczającym.



 



Edycja wg Microsoftu
(PerformRouterDiscovery): LINK / LINK



 



 



Disable ICMP redirect



 



Opcja umożliwiająca ignorowanie wiadomości "ICMP
Redirect". Przy pomocy pakietów "ICMP Redirect" agresor może
zmienić trasę routowania w taki sposób, żeby pakiety przechodziły przez maszynę
atakującą. Niebezpieczeństwo podsłuchu, zwłaszcza ze względu na nieszyfrowany
przesył danych. W większości przypadków wyłączenie IRDP jest dobrym krokiem
zabezpieczającym. Uwaga: Ta opcja może powodować problemy z usługą Routing and
Remote Access / Routing i dostęp zdalny skonfigurowaną jako ASBR.



 



Edycja wg Microsoftu (EnableICMPRedirect): LINK



 



 



Enable
strict ARP table update



 



Co to jest ARP i zatruwanie tablicy ARP opisane w Wiki. Omawiana
tu opcja instruuje Windows by aktualizowanie wejść tablicy ARP odbywało się
tylko w przypadku przekroczenia przez nich czasu (i w ten sposób ignorowanie
większości niezamawianych pakietów ARP). Dobry krok zabezpieczający. Uwaga:
Ustawienie tej opcji wpływa na problemy komunikacyjne jeśli urządzenia
posługują się dynamicznym adresem MAC. Edycja dostępna tylko na nowych Windows:
2000 SP4 + Update Rollup 1, XP SP2, 2003 SP1.



 



Edycja wg Microsoftu (StrictARPUpdate): LINK



 



 



Accept
responses only from queried DNS servers



 



Opcja powodująca ignorowanie odpowiedzi DNS z nie zapytanych
serwerów. Domyślnie są akceptowane takie odpowiedzi co tworzy niebezpieczeństwo
dla zatruwanie bufora cache DNS: Wiki.



 



Edycja wg Microsoftu (QueryIPMatching): LINK /
LINK / LINK



 



 



Disable ports 1025 to N



 



Porty zwane efemerycznymi to porty dynamicznie przypisywane
do aplikacji bez wyszczególniania konkretnego portu. Domyślnie ten zakres
portów rozpoczyna się od portu 1025 (a kończy na porcie 5000). Omawiana tu
opcja umożliwia zmianę portu startowego dla zakresu portów efemerycznych
poprzez wyłączenie (zarezerwowanie) przedziału od 1025 do N (nie ustawiać na za
wysoką liczbę), co spowoduje ustawienie portu startowego na N+1. Mówiąc prosto:
porty te będą "zgadywane" losowo powyżej liczby N. W większości
przypadków jest to dobre zabezpieczenie. Uwaga: Opcja generująca problem na
Windows 2000 z usługą Routing and Remote Access / Routing i dostęp zdalny
skonfigurowaną jako bramka NAT (szczegóły hotfixa: KB815295).



 



Edycja wg Microsoftu
(ReservedPorts): LINK



 



 



 



 



Z punktu widzenia przeciętnego użytkownika: po to są właśnie
domyślne układy zaznaczania opcji by zabezpieczyć komputer bez szczególnej
znajomości zagadnienia. Pierwsza część czyli "Restrict Microsoft
Networks" a także "Services settings" to prawie jak Windows
Worms Doors Cleaner i to już jest przybliżone szczegółowo. Zaś parametry TCP/IP
z musu są opisane w jak największym skrócie by nie mieszać w głowach zbyt
wybornym esejem, który miałby conajmniej 10 stron. To już ustawienia
zaawansowane.



 



 



 



Po ręcznym
zaznaczeniu wybranych opcji (lub po kliku w któryś z układów proponowanych),
należy zatwierdzić wykonanie akcji przez buttonik Apply:



 



 



 



Otrzymacie zgłoszenie
wymaganego resetu komputera co należy potwierdzić (w przeciwnym wypadku żadne
zmiany nie są dokonywane). Do pierwotnych ustawień przed użyciem seconfig
zawsze można wrócić przez buttonik Restore:



 



 



 



Bieżący stan
zabezpieczeń komputera podglądamy przez buttonik Status:



 



 



 



W oknie będzie
podsumowanie stanu portów NetBIOS / SMB / RPC a także lista aktualnie otwartych
portów TCP i UDP:



 



 



 



Closed
(Secure) = porty zamknięte



Open
(Insecure) = porty otwarte



 



 



 



 



.



 



 



 



 



Netografia:



http://www.searchengines.pl/Zabezpieczenia-Robaczywe-ataki-Poslaniec-t12532.html

 

 

 

Opublikowano

Have fun

 

 

IV Diagnozowanie wstępne:

 

 

 

  1. otwieramy

    skrzynkę przedmuchujemy sprężonym powietrzem wszystko z wiatraka, podzespołów,

    taśm, kabli

 

  1. układamy

    wewnątrz tak kable, by nie blokowały przepływu powietrza i, by ciepłe powietrze

    miało, którędy uciekać

 

  1. opcjonalnie

    kupujemy radiatory i instalujemy w środku, by polepszyć jakość chłodzenia,

    koszty są minimalne a efekt zadowalający

 

  1. przywracamy

    ustawienia fabryczne w biosie oraz dla

    podzespołówk komputera

 

  1. Po

    uruchomionym komputerze lukamy menager zadań (ctrl+alt+delete) czy są

    następujące procesy:

 

• ascv.exe Proces uruchamiany

przez trojana

 

• backweb.exe Proces uruchamiany

przez organizację "Backweb Technologies"

 

• fvprotect.exe Proces

uruchamiany przez szkodliwego robaka

 

• isass.exe Proces uruchamiany

przez szkodliwego wirusa

 

• skynetave.exe Proces

uruchamiany przez robaka SASSER

 

• syshost.exe Proces uruchamiany

przez konia trojańskiego

 

  1. Wchodzimy

    w mój komputer -> panel sterowania -> konta użytkowników i zakładamy

    trudne hasło, które będzie mieć minimum 8 znaków zawierać duże, małe litery,

    spacje, liczby i znaki specjalne

 

  1. ściągamy

    i instalujemy najnowszą wersję bezpiecznej przeglądarki internetowej jak np.

    Mozilla Firefox

 

  1. ściągamy

    i instalujemy najnowsze aktualizacje do systemu operacyjnego

 

  1. ściągamy

    i instalujemy najnowszą wersję programu antywirusowego -> polecany Eset Nod

 

  1. postawienie

    programu antywirusowego w tryb monitora

 

  1. ustawienie

    automatycznych baz wirusów w programu antywirusowego

 

  1. ściągamy i

    instalujemy najnowszą wersję programu MalwareBytes Anti-Malware

 

  1. postawienie

    MalwareBytes Anti-Malware w tryb monitora

 

  1. zaktualizowanie

    MalwareBytes Anti-Malware

 

  1. ściągamy i

    instalujemy najnowszą wersję programu Comodo Cleaning Essentials

 

  1. w CCE

    przechodzimy do opcji zaznaczamy 1 klatkę i z listy rozwijanej wybieramy high

 

  1. ściągamy i

    instalujemy najnowszą wersję programu typu firewall

 

  1. konfiguracja

    programu firewall

 

  1. postawienie

    programu firewall w tryb monitora

 

  1. ustawienie

    automatycznych aktualizacji programu firewall

 

  1. dbamy o to,

    by antywirus i zapora ogniowa były uruchamiane ze startem systemu

 

  1. skanujemy

    po kolei swoim AV, MalwareBytes Anti-Malware i CCE

 

  1. skany maja

    być pełne i wykonane po kolei nie jednocześnie

 

  1. wyniki

    końca skanowania zachowujemy robiąc zdięcia klawiszem PrtScSysRq,

 

  1. każde

    pojedyńczo zachowane zdięcie wklejamy do Programu Paint i zapisujemy dowolnie

    jako rozszeżenie .jpg

 

  1. po

    skończonych skanach wchodzimy do folderu z CCE i uruchamiamy narzędzie

    KillSwitch i czekamy aż skończy ładowac dane

 

  1. sprawdzamy

    czy nie ma jakiegoś malware w tym narzędziu, dla ułatwienia wybieramy View>

    Hide Safe Processes i, jeżeli są usuwamy je, szare wpisy są przeważnie nie

    groźne szukamy czerwonych wpisów

 

  1. dalej

    wchodzimy w QucikRepair i sprawdzmy czy nie zostały dokonane zmiany w naszej

    sieci itp. Jeżeli tak wybieramy repair, czasem DNS pokazuje fałszywie

 

  1. potem

    uruchamiamy Autorun Analyzer i czekamy aż skończy ładowac i analizować dane

 

  1. sprawdzamy

    czy w procesach nie zagnieździły się malware, jeżeli jest usuwamy je

 

  1. w razie

    problemów wejść na

    http://wklej.org, a zdięcia na

    http://imageshack.us/

 

  1. Wchodzimy

    na http://forum.dobreprogramy.pl/ rejestrujemy się i lub logujemy

 

  1. wstawiamy

    hiperłącza logów i zdięć z wynikami skanowania w dziale bezpieczeństwo,

    pamiętając o prawidłowym tytulowaniu tematu i czekaj na werdykt

 

  1. Gdy jakiś

    fachowiec ogarnie temat dostanuiemy instrukcje, naczęściej będzie to

    zatwierdzenie określonego skryptu i ponowne przeskanowanie dla potwierdzenia

    usunięcia i ponowna publikacja skryptów oraz sprzątakie po programie po czym

    uswanie go. Zatem powtarzamy pkt 34-39

 

  1. klikamy na

    mój kompuuter -> ppm-> własciwości -> zaawansowane -> przy

    wydajność ustawienia -> zakładka zaawansowane -> Przy pamięć wirtualna

    zmień

 

  1. na dysku

    systemowym przy rozmiar początkowy dajemy tyle pamięci fizycznej, ile mamy, a przy rozmiar maksymlny dajemy

    zgodnie ze wzorem ilośc pamięci fizycznej*1.5

 

  1. ściągamy i

    instalujemy najnowszą wersję programu adobe reader

 

  1. ściągamy i

    instalujemy najnowszą wersję programu SecurityCheck

 

  1. uruchamiamy

    i załączamy skan w SecurityCheck

 

  1. Dostaniemy

    log z tym co jest stare, a co aktualne z softu

 

  1. Wgrywamy

    najnowsze wersje programu / przeprowadzamy aktualizację programów oznaczonych

    jako "out of date"

 

  1. ściągamy i

    instalujemy najnowszą wersję programu Beniamin do m.in. kontroli rodzicielskiej

    dla młodszych użytkowników

 

  1. ściągamy i

    instalujemy najnowszą wersję programu Seconfig XP

 

  1. ściągamy i

    instalujemy najnowszą wersję programu Windows Worms Doors Cleaner

 

  1. zamykamy

    dostępu malware, by nic nie wleciało zgodnie z instrukcją Zabezpieczenia przed

    robaczywymi atakami i posłańcem.doc

 

  1. ściągamy i

    instalujemy najnowszą wersję servise packa, dla windows xp proffesional jest to

    3

 

  1. ściągamy i

    instalujemy najnowszą wersję programu Revo Uninstaller

 

  1. w

    autostarcie odznaczamy zbędne programy uruchamiane z systemem i usuwamy tych co

    nie ma

 

  1. w revo

    unistaller również usuwamy wszystkie paski (toolbar) i nieużywane

    oprogramowanie w trybie zaawansowanym, pozbędziemy się wpisów z komputera i

    rejestru

 

  1. Na tym

    etapie można usunąć wszystkie programy ochronne, zostawiamy tylko antywirus i

    zaporę ogniową

 

  1. Jeżeli

    programy są w wersji portable czy soakowane to same pliki a w przeciwnym razie

    w revo unistaller -> tryb zawansowany

 

  1. ściągamy i

    instalujemy najnowszą wersję programu CCleaner

 

  1. ściągamy i

    instalujemy najnowszą wersję programu CCEnhancer

 

  1. zaznacz w

    roższeżonym ccleaner usuwanie haseł z przeglądarki, ostatnio otwarte

    dokumenty i historię przeglądarki

 

  1. wykonaj

    czyszczenie systemu, a potem rejestru,

 

  1. pkt 56

    powtarzamy bez zaznaczania dla Eusing Free Registry Cleaner

 

  1. ściągamy i

    instalujemy najnowszą wersję programu Piriform Defraggler

 

  1. robimy

    defragmentacje wszystkich dysków

 

  1. Usuwamy

    wszystkie punkty przywracania systemu

 

  1. tworzymy

    nowy pkt przywracania systemu

 

  1. dla

    słabszych komputerów wchodzimy we właściwości mojego komputera -> zaawansowane

    > wydajność -> ustawienia i dopasowujemy opcje do najlepszej wydajności

 

  1. Menu Start

    -> Programy/wszystkie programy -> Akcesoria -> Wiersz polecenia i tu

    wpisz regedit.exe., jeżeli nie zadziała, wpisujemy %windir%\regedit.exe albo

    Utwórz na pulpicie (czy gdziekolwiek Ci pasuje) nowy skrót. W polu 'Wskaż

    lokalizację elementu' wpisz jeden z podanych wyżej wariantów.

 

  1. Jesteśmy w

    rejestrze, znajdź klucz: [HKEY_CURRENT_USER\ Software\Microsoft\Windows\

    CurrentVersion\Policies\Explorer] a w, nim wartość „NoSetFolders” i albo usuń

    tą wartość albo zmień ją z 1 na 0

 

  1. [HKEY_CURRENT_USER\

    Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer] a w, nim wartość

    „NoClose” i albo usuń tą wartość albo zmień ją z 1 na 0

 

  1. [HKEY_CURRENT_USER\

    Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer] a w, nim wartość

    „NoFind” i albo usuń tą wartość albo zmień ją z 1 na 0 (zero)

 

  1. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    a w, nim wartość „NoRun” i albo usuń tą wartość albo zmień ją z 1 na 0 (zero)

 

  1. [HKEY_CURRENT_USER\

    Control Panel\Mouse] a w, nim wartość „SwapMouseButtons” (wartość ciągu) i albo

    usuń tą wartość albo zmień ją z 1 na 0 (zero)

 

  1. [HKEY_LOCAL_MACHINE\System\Current

    ControlSet\Control\Keyboard Layout] a w, nim wartość „substitutes” i albo usuń

    tą wartość albo zmień ją z 1 na 0

 

  1. [HKEY_LOCAL_MACHINE\System\Current

    ControlSet\Control\Keyboard Layout] a w, nim wartość „Scancode Map (wart

    binarna)” i albo usuń tą wartość albo zmień ją z 1 na 0

 

  1. oczyszczamy

    folder temp, który jest na dysku systemowym wchodząc na start -> wyszukaj

    -> pliki i foldery, wpisujemy Temp w jednym i drugim polu, zaznaczamy

    uwzględnij wielkośc liter i npokaż ukryte pliki. Usuwamy tylko pliki folderu

    temp noszące nazwę użytkownika przy wyszukiwaniu np. C:\Documents and

    Settings\Janek\Ustawienia lokalne\Temp

 

  1. ppm na

    pulpicie -> właściwości -> pulpit-> dostosuj pulpit -> odznaczamy

    uruchom kreatora oczyszczania pulpitu co 60 dni

 

  1. Wchodzimy

    do narzędzia, opcje folderów, w zakładkę widok, odznaczamy użyj prostego

    udostępniania plików (zalecane), klikamy OK

 

  1. klikamy

    PPM, właściwości na naszym folderze i

    wybieramy zakładkę zabezpieczenia i wchodzimy na zaawansowane, w zakładce

    zaawansowane odznaczamy dziedziczenie i klikamy na usuń, a następnie usuwamy

    pozostałe wpisy z uprawnień jak jakieś zostaną, nadamy uprawnienia od nowa w

    tym miejscu jeszcze klikamy OK i potwierdzamy klikając na Tak

 

  1. cofamy się

    do poprzedniego okna (zakładka zabezpieczenia), wchodzimy na dodaj pod oknem

    nazwa grupy lub użytkownika, klikamy na zaawansowane i znajdź teraz, szukamy naszego konta,

    klikamy na, nim LPM i klikamy OK i potem

    znów OK, następnie klikamy na kwadracik pełna kontrola pod zezwalaj, by nadać

    mu wszystkie uprawnienia

 

  1. potem

    klikamy na zaawansowane, zanaczamy tutaj Dziedzicz po obiekcie nadrzędnym wpisy

    uprawnienia stosowane do oboiektów podrzędnych. Uwzględnij je razem z wpisami

    tutaj zdefiniowanymi,

 

  1. potem

    wchodzimy na Edytuj, tu zaznaczymy kwadracik Zastosuj te uprawnienia jedynie

    dla obiektów i/lub kontenerów znajdujących się wewnątrz tego kontenera obok

    wyczyśc wszystko, by pliki wewnątrz folderu miały takie same uprawnienia i klikamy OK, potem OK. i jeszcze raz OK i

    zaznaczamy użyj prostego udostępniania plików (zalecane)

 

  1. robimy

    backup rejestru

 

  1. w AV i FW

    dodaj z klienta MU do wyjątków main.exe, antycheat.dll czy co tam ma, mu.exe i

    te rozszeżenia.do przeglądarki

 

  1. Gdy to

    dalej nie pomoże przeinstaluj klienta i rozszezenia używając revo unistaler

    trybu zaawansowanego

 

  1. gdyby gra była spakowana najpierw urochom z ikony

    potem przez przeglądarkę

 

 

 

 

Konsola usługi

 

 

Usługi Windows i profile

sprzętowe

 

Windows XP/2000 ma wiele usług

działających w tle. Wiele z niech jest nieprzydatnych, a mimo to potrafią

pożreć wiele cennych zasobów peceta [czytaj - część z nich trzeba wyłączyć].

Ostrzegam… z usługami trzeba uważać. Jeśli coś działa nie tak trzeba

natychmiast włączyć niezbędną usługę, ale jeśli będziecie trzymali się tekstu i

nie kombinowali „co można, a co nie”, wszystko będzie dobrze.

 

 

Są trzy typy uruchamiania usług:

 

Automatyczny – Usługa uruchamia

się ze startem systemu.

 

Ręczny – Usługa nie uruchamia się

automatycznie podczas logowania systemu, ale może zostać uruchomiona przez

użytkownika, program lub usługę zależną. W dwóch ostatnich przypadkach start

systemu będzie niestety nieco spowolniony, ponieważ system musi odszukać daną

usługę i ją

 

zainicjować. Na szczęście zawsze można zmienić

typ uruchamiania na automatyczny i odzyskać pełną szybkość.

 

Wyłączony – Usługa nie może

zostać uruchomiona (można ją przywrócić zmieniając jej status na

ręczny/automatyczny.

 

 

PAMIĘTAJ, NAJBEZPIECZNIEJ USTAWIĆ

NA RĘCZNIE.

 

 

Teraz uruchom ponownie komputer i

poczekaj 50 sekund od startu. Menu Start – uruchom – wpisz ‚services.msc’.

Sprawdź, z których usług Windows korzysta od samego startu [w kolumnie 'Stan'

widnieje 'Uruchomiono'].

 

 

Zapisz te usługi na kartce i w

żadnym wypadku nie wyłączaj jeśli nie znajdziesz ich na poniższej liście,

(chyba, że się na tym dobrze znasz). Dezaktywacja takiej usługi może

spowodować, że system będzie działał nie tak jak powinien i warto zaoszczędzić

sobie potem aktywacji usługi (lub re-instalacji w skrajnym przypadku). Jest to

powodowane przez bardzo różnorodność konfiguracji sprzętowych, jak i

zainstalowane oprogramowanie. Część programów ma własne usługi, których trwałe

wyłączenie uniemożliwi korzystanie z tego oprogramowania.

 

 

CZYTAJ WSZYSTKO UWAŻNIE I NIE

PRÓBUJ „CO SIĘ DA, A CO NIE!”. Wszelkich zmiany dokonuj tylko na nowym profilu

użytkownika

 

 

Bardzo Ważne!!! Możesz utworzyć

nowy profil sprzętowy!!!

 

Pozwoli to m.in. na zablokowanie

możliwości uruchamiania określonych usług na określonych profilach. Wywołaj

polecenie ‚services.msc’ i edytuj dowolną usługę. Zauważ, że w zakładce

‚Logowanie’, możesz dezaktywować usługę oddzielnie dla każdego profilu. Daje to

ogromne możliwości. Podstawowy profil może pozostać nietknięty, podczas gdy

wszystkie zmiany zostaną wprowadzone na innych profilach.

 

Tworzymy profil: Menu Start – Mój Komputer –

Właściwości – Sprzęt – Profile Sprzętu – zaznacz ‚Profil 1′ – kopiuj – nazwij

nowy profil np. ‚szybciej’ – OK.

 

W ŻADNYM WYPADKU NIE KASUJ

PIERWSZEGO PROFILU, będziesz z niego korzystał na co dzień, a gdy zapragniesz

poszaleć w jakąś grę, przekonwertować plik video… mając do dyspozycji

podwyższoną wydajność uruchomisz komputer z nowego profilu. Teraz musisz tylko

ustawić odpowiednie zmiany w usługach:

 

Zakładka ‚Logowanie’ decyduje, czy usługa ma

być dostępna dla danego profilu. Ustawienie ‚Wyłączony’ spowoduje, że usługa

jest trwale wyłączona. Jeżeli usługa jest dostępna, wówczas system sprawdza w

jakim trybie ma zostać uruchomiona. Pamiętaj, że tryby są wspólne dla

wszystkich profili.Reasumując, typ uruchomiania ‚wyłączony’ jaki ustawia się w

zakładce ‚Ogólne’ spowoduje wyłączenie usługi dla wszystkich profili. Z kolei

typy: ręczny i automatyczny uruchomią usługę tylko wtedy, jeżeli w zakładce

‚Logowanie’ obok nazwy uruchomionego profilu będzie widniała opcja ‚Włączony’.

 

Lista usług, które można z

powodzeniem wyłączyć:

 

 

W nawiasach [...] domyślny typ

uruchamiania usługi. W nawiasach {…} propozycje modyfikacji.

 

 

  • Aktualizacje automatyczne [Auto]Umożliwia

    automatyczną aktualizację systemu Windows o krytyczne poprawki. Jeżeli wolisz

    wiedzieć co Windows aktualizuje (a i tak lepiej zrobić to ręcznie), a przed

    pobraniem poprawek uruchom jednorazowo usługę. {wyłącz / ręcznie}

 

  • Bufor wydruku [Auto]Niezbędny do drukowania i

    zainstalowania drukarki, ale zużywa ok. 4 MB w pamięci . Więc jeśli nie masz

    drukarki lub rzadko jej używasz… optymalnie ustaw ręcznie, aby nie zapomnieć

    uaktywnić usługi przed drukowaniem. {ręcznie}

 

 

Opisy / instrukcje / narzędzia tu przedstawione nie aplikują

się dla platform Windows Vista / Windows 7

 

 

 

Robaki sieciowe / ataki DoS / Spam Posłańca

 

 

 

 

 

 

 

Objawy: Bardzo spowolniona sieć, trudności w ładowaniu stron

www, a nawet całkowity zanik internetu. Możliwe okoliczności towarzyszące to:

charakterystyczny błąd 60 sekund odliczania i wynikowo samoczynny reset

komputera lub też błąd "Generic Host Process.....", zaobserwowaliśmy

też jako jeden ze znaków przebarwianie paska zadań na jakby "klasyczny".

Błędy 60 sekund zostały rozpoczęte przez bardzo już archaiczne robaki Blaster -

Sasser i obecnie mogą być generowane przez różne inne robaki i NIE TYLKO (też

rootkity a nawet spyware) więc proszę się nie sugerować typem błędu. I uwaga:

błąd 60 sec / Generic wcale nie znaczy iż komputer jest już zainfekowany, to

może świadczyć tylko o ataku na komputer bez tworzenia plików robaków na dysku.

 

 

 

Usuwanie: Na samym początku należy bezwzględnie zastosować

opisany poniżej Windows Worms Doors Cleaner by zamknąć drogę ataku robaków i

spamu Posłańca. W dalszej kolejności udać się po pomoc podając na forum

stosowne logi.

 

 

 

Firewall a całkowite

zamykanie specyficznych portów

 

 

 

135, 137-139, 445, 1900, 5000

 

 

 

Osobna zapora

softwarowa (typu: ZoneAlarm / Kerio / Outpost etc.) nie jest rozwiązaniem

wystarczającym w tej materii, gdyż to czym się zajmuje firewall to nie

całkowite zamykanie omawianych tu portów lecz jedynie blokowanie do nich

dostępu poprzez filtrowanie ruchu sieciowego. To oznacza iż komponenty, które

korzystają z tych portów, są nadal uruchomione. W takiej sytuacji firewall musi

być cały czas aktywny by ochrona miała miejsce i jesteśmy od tego faktu

uzależnieni (chwilowe wyłączenie zapory lub jej wyłożenie się na błędzie jest

ekspozycją na zagrożenie). Ponadto zarówno komponenty Windows pracujące na tych

portach jak i firewall startują wspólnie podczas uruchamiania komputera, a

które z nich zainicjuje się pierwsze (czyli będzie mieć szansę na forsowanie

własnych zadań) jest zagadką wynikającą z masy czynników konfiguracyjnych.

 

 

 

Poniżej przedstawiam

skrócony opis kluczowych portów wraz z ręczną metodą ich zamykania, która

polega na przekonfigurowaniu komponentów Windows. Jest to zagadnienie dla

waszej orientacji co się dzieje w systemie. Tych edycji nie trzeba wykonywać ręcznie

- programy Windows Worms Doors Cleaner i Seconfig XP przeprowadzają to

automatycznie. To wprowadzenie by zrozumieć dlaczego te porty są kluczowe i co

te programy prowadzą w celu rozwiązania problemu. Zamknięcie tych portów nie

wpływa na szybkość pobierania w programach P2P (eMule, torrent etc.) i proszę

tego nie łączyć.

 

 

 

 

 

 

 

 

 

 

 

NetBIOS

over TCP/IP - NetBIOS przez TCP/IP

 

 

 

137-139

 

 

 

Port 137 UDP - Usługa NetBIOS Name / nazw NetBIOS. Odpowiada

za łączenie adresów IP z nazwami komputerów. Kojarzenie nazewnicze typowo

odbywa się wg dwóch metod: serwer WINS (Windows Internet Name Service) lub plik

LMHOSTS (nie mylić z plikiem HOSTS!). Duża część pakietów UDP blokowanych na

firewallach nie ma związku z próbami ataku. Zagrożenie:

 

* Pobór przez atakującego informacji o układzie sieci

 

* Robaki sieciowe szukające otwartych zasobów Windows (cel =

port 139TCP)

 

 

 

Port 138 UDP - Usługa NetBIOS Datagram. Komunikacja

bezpołączeniowa w formie datagramów bez potwierdzenia ich dotarcia na miejsce,

najczęściej wykorzystywana w trybie rozgłaszania (broadcast). Obsługuje przesył

informacji o sieci Windows. Z tych właściwości korzysta usługa Computer Browser

/ Przeglądarka komputera, która buduje listę komputerów wyświetlaną w Otoczeniu

sieciowym. Również usługa Messenger / Posłaniec. Zagrożenie:

 

* Atakujący/haker poprzez zafałszowanie pakietów może dodać

swój komputer do sieci lokalnej co implikuje iż zostanie zniwelowa różnica

zabezpieczeń występująca między komputerami internetowymi a lokalnymi.

 

* Spam usługi Messenger / Posłaniec.

 

 

 

Port 139 TCP - Usługa NetBIOS Session / sesji NetBIOS (SMB

przez NetBIOS). Komunikacja połączeniowa w formie sesji. Odpowiada za właściwą

wymianę danych i współdzielenie zasobów plików / drukarek w sieci lokalnej oraz

za tworzenie tzw. null-session (mówiąc w skrócie logowanie użytkownika bez

nazwy i bez żadnego hasła). Zagrożenie:

 

* Port będący celem ataków hackerskich, często skanowany w

poszukiwaniu zasobów. Popularna metoda hackowania udostępnianie plików i

drukarek to atak typu "brute force" / siłowy, polegający na łamaniu

haseł przez sprawdzanie jak największej liczby prawdopodobnych kombinacji.

 

* Jest to również port, z którego korzysta usługa Messenger

/ Posłaniec produkując bezpośredni spam w pop-upach.

 

* Jedna z dróg transportu robaków sieciowych

 

 

 

Skutki uboczne

wyłączenia portów NetBIOS (włącznie z 445 = patrz dalej): Przestanie działać

Otoczenie sieciowe i funkcja Udostępniania plików i drukarek w sieci oraz inne

aspekty sieci Microsoft Networks (nie mylić sobie tego z www, e-mail i tego typu

komunikacjami szaraków). W LAN prawdopodobnie NetBIOS jest niezbędny ale zależy

to też od tego w jaki sposób LAN rozwiązano. Test bardzo prosty: jeśli po

całkowitym zamknięciu portów 137-139 (włącznie z 445) i resecie komputera

padnie całkowicie dostęp do internetu, NetBIOS jest wymagany.

 

 

 

 

 

Te trzy komunikacje NetBIOS stosunkowo łatwo wyłączyć

(usługa Posłaniec = patrz dalej):

 

 

 

Panel sterowania

>>> Połączenia sieciowe >>> prawy klik na dane połączenie

>>> Właściwości >>> podświetlić Protokół TCP / IP >>>

Właściwości >>> Zaawansowane >>> zakładka WINS >>>

Wyłącz system NetBIOS przez TCP/IP:

 

 

 

 

 

 

 

 

 

 

 

SMB over

TCP/IP - SMB przez TCP/IP

 

 

 

445

 

 

 

Port 445 służy do

poszerzonej komunikacji protokołu SMB bezpośrednio przez TCP/IP, z pominięciem

okrężnej drogi "NetBIOS przez TCP/IP". Jest to dodatkowa droga

współdzielenia plików i drukarek sieciowych (patrz porty 137-139), w związku z

tym port 445 jest często skanowany w poszukiwaniu otwartych zasobów sieciowych

Windows. Zagrożenia:

 

* Port silnie atakowany przez hakerów, robaki i rozproszone

botnety.

 

* Spam wysyłany przez usługę Messenger / Posłaniec.

 

 

 

Skutki uboczne

zamknięcia portu 445: Uniemożliwione współdzielenie plików i drukarek w sieci o

ile nastąpi równocześnie zamknięcie portów NetBIOS 137-139. Wynika to z faktu

iż próba komunikacji odbywa się "równolegle" w celu zachowania

kompatybilności portów (445 jest portem współdzielenia tylko na nowych Windows

2000 w górę). Jeśli jest włączone NetBIOS over TCP/IP, zawsze jest równoczesna

próba nawiązania połączenia na porcie 139 oraz 445, a w zależności od

szybszej odpowiedzi (lub jej braku) sesja właściwa odbywa się przez port 139

lub 445. Jeśli NetBIOS over TCP/IP jest wyłączone, nawiązywanie sesji jest

forsowane tylko przez 445. Wniosek: zamknięcie portu 445 przy pozostawieniu

otwartych 137-139 nie wpłynie na funkcjonowanie LAN.

 

 

 

 

 

Wyłączanie SMB przez TCP/IP (usługa Posłaniec = patrz

dalej):

 

 

 

Start >>> Uruchom >>> regedit i w kluczu:

 

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters

 

 

 

W okienku po prawej stronie klikasz

prawym >>> Nowy >>> Wartość DWORD >>> jako nazwę

wprowadź SmbDeviceEnabled. Kliknij podwójnie na nowo utworzoną wartość

SmbDeviceEnabled i wpisz liczbę 0.

 

 

 

 

 

 

 

 

 

 

 

 

 

RPC over TCP/IP

 

 

 

135

 

 

 

Jest to port usługi

DCOM / RPC Endpoint Mapper. W sposób współdzielony korzystają z niego takie

usługi jak Distributed Transaction Coordinator (MSDTC), Task Scheduler

(Harmonogram zadań) a także Messenger (Posłaniec). Zamknięcie portu zalecane

dla standardowych komputerów domowych. W środowisku Microsoft Networks

problematyczne gdyż RPC jest tam szeroko wykorzystywane, głównie w celach

administracyjnych. Zagrożenie:

 

* Spam wysyłany przez usługę Messenger / Posłaniec. Jak

wspomniane wcześniej Posłaniec korzysta z portów NetBIOS (137-139) ale mimo ich

zamknięcia nie ma 100% ochrony przed spamem gdyż polecenie net send w przypadku

"zatkania" tych portów obiera drogę alternatywną właśnie przez port

135.

 

* Port silnie wykorzystywany przez robaki sieciowe i ataki

hackerskie.

 

 

 

Skutki uboczne

zamknięcia portu 135: Zamykanie portu 135 odbywa się stopniowo poprzez

wyłączanie kolejnych składników korzystających z tegoż portu. Wyłączenie samego

DCOM nie niesie negatywnych efektów na standardowym komputerze. Ale inaczej

sprawa się ma z Harmonogramem zadań. Po całkowitym zamknięciu portu 135 usługa

Harmonogramu nie startuje (dotyczy Windows XP i 2003, Windows 2000 nie ma

takich problemów). Harmonogram jest potrzebny na XP do działania wbudowanej

funkcji Prefetch oraz innych planowanych zadań. Z tym że tu moja uwaga własna:

na moim XP SP2 całkowite zamknięcie 135 nie wpłynęło na usługę

Harmonogramu.....

 

 

 

 

 

Wyłączanie DCOM / RPC Mapper (usługa Posłaniec = patrz

dalej):

 

 

 

Start >>> Uruchom >>> regedit i w kluczu:

 

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole

 

 

 

W okienku po prawej stronie kliknij

dwukrotnie w EnableDCOM i wpisz literkę N.

 

 

 

 

 

 

 

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc

 

 

 

W okienku po prawej stronie kliknij

dwukrotnie w DCOM Protocols i z okienka usuń ncacn_ip_tcp.

 

 

 

 

 

 

 

 

 

Odpowiednikiem tych dwóch edycji rejestru jest następująca

operacja via:

 

 

 

Start >>>

Uruchom >>> dcomcnfg.exe >>> Usługi składowe >>>

Komputery >>> z prawokliku na Mój komputer wybierz Właściwości

>>> w zakładce Właściwości domyślne usuń ptaszek z opcji Włącz model

obiektów rozproszonych COM na tym komputerze a w zakładce Domyślne protokoły

podświetl tam widniejący i Usuń.

 

 

 

 

 

 

 

 

 

 

 

Usługa Messenger / Posłaniec

 

 

 

135, 137-139, 445

 

 

 

Messenger (w polskim

Windows: Posłaniec) to sieciowa usługa przesyłająca pomiędzy klientami a

serwerami komunikaty net send, służące typowo administratorom sieci do

informowania użytkowników o różnych zdarzeniach (np. o resecie serwera etc.).

Komunikacja Messengera korzysta z wszystkich wyżej wymienionych portów:

135,137,138 UDP oraz 135,139,445 TCP. Od razu uściślenie: w angielskiej wersji

językowej usługa ta nosi nazwę Messenger i to jest co innego niż komunikator

Messenger wbudowany w system! Omawiana tu usługa pracuje na pliku

C:\WINDOWS\system32\services.exe a komunikator jest zainstalowany w C:\Program

Files\Messenger\msmsgs.exe i ma ikonkę . Proszę tych dwóch rzeczy nie mylić! Na

Windows XP SP2 i 2003 usługa ta jest domyślnie wyłączona i nie stanowi problemu

... o ile nie nastąpiło szkodliwe przekonfigurowanie domyślnych ustawień.

Zagrożenie:

 

* Droga roznoszenia wirusów / robaków sieciowych

 

* Produkcja spamu w postaci bezpośrednio wyskakujących

pop-upów:

 

 

 

 

 

Start >>> Uruchom >>> services.msc

 

 

 

Na liście dwuklik na

usługę Messenger / Posłaniec, wybrać opcję Zatrzymaj a Typ startowy ustawić

Wyłączona. Finałowo macie otrzymać:

 

 

 

 

 

 

 

 

 

 

 

 

 

Usługa Universal Plug and Play (UPnP)

 

 

 

1900, 5000

 

 

 

Universal Plug and

play szczegółowo jest opisane w tym temacie: klik. W istocie grupuje dwie

składowe usługi: Usługa Odnajdywania SSDP (operuje na porcie 1900 UDP) + Host

Uniwersalnego urządzenia Plug and Play (operuje na portach: 2869, 5000 TCP).

Zagrożenie:

 

* Poważna luka zabezpieczeń umożliwiająca przejęcie kontroli

nad komputerem

 

 

 

 

 

Start >>> Uruchom >>> services.msc

 

 

 

Na liście po kolei

dwuklik na SSDP Discovery Service / Usługa odnajdywania SSDP oraz Universal

Plug and Play Device Host / Host Uniwersalnego urządzenia plug and play, wybrać

opcję Zatrzymaj a Typ startowy ustawić Wyłączona. Finałowo macie otrzymać:

 

 

 

 

 

Windows Worms

Doors Cleaner

 

 

 

Windows Worms Doors Cleaner

 

 

 

Platforma: Windows 2000/XP/2003

 

Licencja: freeware

 

 

 

Strona domowa: http://www.firewallleaktester.com/

 

 

 

Aktualizacja: Strona tymczasowo nieczynna, tu linki

zastępcze pobierania: KLIK.

 

 

 

 

 

 

 

WWDC to aplikacja do

zamykania kluczowych wyżej opisanych portów. Przeprowadza wszystkie akcje

blokerskie bez użycia dodatkowych procesów - tylko i wyłącznie edycje rejestru

(opisane we wstępie). Prócz faktu sprawdzania czy rzeczywiście dana usługa jest

w rejestrze wyłączona, przeprowadza dynamiczną detekcję czy usługa nadal

pracuje w tle (z wyjątkiem DCOM). O co chodzi: w rejestrze może zostać

wyłączona ale jeśli komputer nie był resetowany proces usługi może być nadal

aktywny. Konfiguracja programu i zamykanie portów są bardzo proste:

 

 

 

 

 

PODSTAWOWA OBSŁUGA PROGRAMU:

 

 

 

 

 

 

 

 

 

 

 

 

 

Port otwarty

 

 

 

Port zamknięty

 

 

 

Port zostanie

zamknięty po resecie

 

 

 

Każdy czerwony znaczek należy zamienić na zielony przez

buttonik "Disable ..." i dla wprowadzenia zmian zresetować komputer.

Od góry do dołu zielono równa się wzorowe zabezpieczenie. Poniżej opis kilku

szczegółów towarzyszących zamykaniu określonych portów i wytłumaczenie zawiłej

historii żółtych, które nie zawsze oznaczają dosłownie "zamykanie po

kolejnym resecie komputera".

 

 

 

 

 

 

 

DCOM RPC

 

 

 

 

 

 

 

Tutaj należy spojrzeć

na wstęp tematu i opis portu 135: klik. Było tam wzmiankowane iż z tego portu

korzysta usługa Harmonogramu zadań. WWDC uzwględnia ten aspekt i podczas próby

zamknięcia portu zadaje pytanie czy deaktywować tylko DCOM czy całkowicie

zamknąć port.

 

 

 

Wybranie odpowiedzi

Yes całkowicie zamknie port, wybranie No zaadresuje tylko wyłączenie samego

DCOM. Po wybraniu stosownej opcji otrzymacie zawiadomienie o ustawieniu blokady

z prośbą o zresetowanie komputera w celu wdrożenia zmian. Po resecie komputera

jeszcze jedna szansa. WWDC poinformuje iż DCOM jest zdeaktywowane ale port 135

ciągle otwarty i zaproponuje kolejne wybieranie opcji.

 

 

 

Wybranie Yes

"domknie" port zaś wybranie No pozostawi sytuację bez zmian (tylko

DCOM wyłączone). Na koniec zawiadomienie o pomyślnym ustawieniu i ponowna

prośba o reset.

 

 

 

 

 

 

 

NetBIOS

 

 

 

 

 

 

 

Ponownie rzut okiem

na wstęp tematu i opis portów 137-139: klik. WWDC przewiduje dwa scenariusze.

Podczas blokowania portu zada pytanie czy wprowadzić domyślne ustawienie

"NetBIOS na życzenie" czy też całkowicie go wyłączyć.

 

 

 

Wybranie odpowiedzi

No oznacza całkowite wyłączenie NetBIOS = ta odpowiedź skutkuje NetBIOSem

zaznaczonym na zielono. Wybranie odpowiedzi Yes spowoduje przestawienie typu

startowego usługi NetBIOS na Ręczny czyli NetBIOS nie startuje automatycznie

ale uruchomi się w razie potrzeby = ta odpowiedź skutkuje NetBIOSem zaznaczonym

na żółto:

 

 

 

 

 

 

 

Żółty jest traktowany

jako poprawny i wg "terminologii" akcji WWDC oznajmia iż port jest

"zamknięty" (a przynajmniej zabezpieczony). Nie jest to do końca

prawda gdyż takie ustawienie zostawia tylną furtkę = NetBIOS może się w każdej

chwili uruchomić (co zresztą zwykle czyni zaraz pod podłączeniu sieci). Jest to

ustawienie asekuracyjne na wypadek gdyby połączenie sieciowe potrzebowało

NetBIOS do swojego funkcjonowania. Odpowiedź Yes należy wybrać wtedy jeśli

wybranie odpowiedzi No skutkuje brakiem dostępu do internetu.

 

 

 

 

 

UPnP / Messenger

 

 

 

 

 

 

 

Wszystko wytłumaczone

wielokrotnie i nie ma co gdybać tylko porty Universal Plug and Play i Posłańca

zamykać. Nie powinno być z tym trudności ale w ramach wyjątku może się okazać

że stoją przy nich żółte znaczniki i nie chcą się zamienić na zielone mimo

resetu komputera. Wtedy należy skorzystaj z ręcznej metody zamykania opisanej

tu: klik. Specjalnym przypadkiem może być błąd:

 

 

 

 

 

 

 

 

 

 

 

"Value in registry can't be opened"

 

 

 

 

 

 

 

Program przy

uruchamianiu może poczęstować takim błędem a w zależności z czym ma trudność

treść błędu będzie odmienna:

 

 

 

Value in

registry can't be opened (SYSTEM\CurrentControlSet\Services\upnphost\)

 

Value in registry can't be opened

(SYSTEM\CurrentControlSet\Services\Messenger\)

 

Value in registry can't be opened

(SOFTWARE\Microsoft\Ole\)

 

Value in registry can't be opened

(SYSTEM\CurrentControlSet\Services\NetBT\)

 

 

 

Ten błąd może mieć następujące

wytłumaczenia: WWDC nie ma dostępu / uprawnień do klucza rejestru lub klucz

rejestru nie istnieje. W pierwszym przypadku należy skorzystać z instrukcji

wstępu tego tematu i ręcznie dokonać blokad. W drugim przypadku przeważnie

będzie chodzić o ten fakt:

 

 

 

UWAGA: Błąd "Value in registry can't be opened

..." występuje na specjalnych modyfikowanych wersjach Windows (tworzonych

ręcznie przez nLite z opcją usuwania komponentów lub gotowych typu PowerXP czy

TinyXP) i jest to w tym przypadku naturalne. Te Windows mają z natury wycięte

usługi UPnP i Posłaniec stąd WWDC nie może otworzyć ich kluczy (heh skoro ich

nie ma) i wprowadza w błąd żółtym znaczkiem. A nic nie trzeba korygować.

 

 

 

 

 

 

 

 

 

Komunikat WWDC:

 

 

 

 

 

 

 

Komunikat tego

"błędu" to zawiadomienie iż jest wielce prawdopodobna infekcja gdyż

zarezerwowana pamięć dla SVCHOST przekroczyła dopuszczalne limity i wygląda iż

w pamięci czai się szkodnik. Zalecany skan. Tej ewentualności nie można

wykluczyć. Z drugiej strony w TYM temacie wyjaśniłam iż detekcja tylko po

rozmiarze pamięci jest ułomna i nie może być wyznacznikiem obcego szkodliwego

ciała w memory bo może tam siedzieć .... sterownik a nie wir (ostatnio

napuchnięty svchost.exe jest modnym objawem działania Automatycznych

aktualizacji). Wprawdzie temat pyta o pewną wariację problemu i inny typ pamięci

ale chodzi o sam fakt oceniania wg formuły sajzu.

 

 

 

Poza tym sam WWDC

miał kiedyś detekcję svchost RAM usage check, którą .... usunięto (zgadnij

dlaczego ) a limit dla svchost virtual

memory usage check zwiększono (znów zgadnij dlaczego ). Wniosek: to tylko przypuszczenia programu

a nie pewność czy fakt! WWDC można uruchomić bez tego sprawdzania pamięci =

patrz poniżej na parametr -nowormscheck.

 

 

 

 

 

 

 

 

 

ZAAWANSOWANA OBSŁUGA PROGRAMU:

 

 

 

Windows Worms Doors

Cleaner może być również obsługiwany z linii komend pozwalając dokonać tych

samych akcji co wyżej (sprawdzić stan usług oraz je wyłączać / włączać) plus

akcję extra (wyłączenie tego denerwującego sprawdzania pamięci sygnalizującego

infekcję na podstawie zbyt dużego rozmiaru svchost). Przydatne dla:

 

- Dla zwykłego

domowego użytkownika, który chciałby regularnie sprawdzać status usług, czy nie

uległy ponownemu włączeniu po jakiejś aktualizacji.

 

- Administratorów

sieciowych wykorzystujących skrypty trybu batch uruchamiane jako zaplanowane

zadanie w celu hurtowego wyłączenia wybranych usług w całej sieci.

 

 

 

 

 

Dostępne parametry:

 

 

 

Wyłączanie / włączanie usług:

 

 

 

-dcom:enable/disable

 

-locator:enable/disable

 

-netbios:enable/disable/manual

 

-upnp:disable/enable

 

-messenger:disable/enable

 

 

 

Opcje

startowe WWDC:

 

 

 

-startup:dcom,locator,netbios,messenger,upnp

 

-nowormscheck

 

 

 

Zatwierdzanie resetu:

 

 

 

-reboot:yes/no

 

 

 

 

 

 

 

Przykłady tworzenia skrótów:

 

 

 

Tworzymy skrót do

programu WWDC w dowolnym miejscu np. na Pulpicie lub w menu Autostart (zależy

co chcemy uzyskać). Następnie z prawokliku na skrót wybieramy jego Properties /

Właściwości i w Target / Element docelowy umieszczamy po ścieżce dostępu

-parametr (tak, z minusem przed). Poglądowe przykłady:

 

 

 

1. Wyłączenie sprawdzania pamięci svchost na starcie przez

parametr:

 

 

 

 

 

 

 

Parametr

-nowormscheck ma być wpisany po zamknięciu cudzysłowiem a nie przed a spacja ma

być w tym miejscu:

 

 

 

"...........\wwdc.exe"[spacja]-nowormscheck

 

 

 

2. Sprawdzanie na starcie statusu usług Posłaniec i

Universal Plug and Play przez parametr:

 

 

 

 

 

 

 

"...........\wwdc.exe"[spacja]-startup:messenger,upnp

 

 

 

Seconfig XP

 

 

 

Restrict Microsoft Networks:

 

 

 

Sugerowane

ustawienie: wszystko zaznaczone

 

 

 

Sugerowane

ustawienie: wszystko zaznaczone

 

 

 

Sugerowane

ustawienie: wszystko odznaczone

 

 

 

 

 

 

 

Disable

NetBIOS over TCP/IP (all adapters)

 

 

 

137-139

 

 

 

Zamknięcie portów 137-139 dla wszystkich aktualnie

zamontowanych interfejsów sieciowych. Bardzo podobne do użycia opcji

"Wyłącz system NetBIOS przez TCP/IP" w zakładce WINS dla wszystkich

adapterów sieciowych. Ale w przeciwieństwie do ręcznej korekty dotyka również i

ukrytych adapterów. Odpowiednik opcji w Windows Worms Doors Cleaner. Szczegóły

portów 137-139 opisane we wstępie tematu: klik.

 

 

 

 

 

Disable SMB

over TCP/IP

 

 

 

445

 

 

 

Zamknięcie portu 445. Odpowiednik opcji w Windows Worms

Doors Cleaner. Szczegóły portu 445 opisane we wstępie tematu: klik.

 

 

 

 

 

Disable RPC over TCP/IP

 

 

 

135

 

 

 

Zamknięcie portu 135. Odpowiednik opcji w Windows Worms

Doors Cleaner. Szczegóły portu 135 opisane we wstępie tematu: klik.

 

 

 

 

 

NetBIOS Scope ID

 

 

 

Jest to alternatywna metoda ochrony komunikacji

"NetBIOS over TCP/IP" polegająca nie na całkowitym blokowaniu NetBIOS

ale wymogu posiadania przez dwa łączące się komputery tej samej wartości Scope

ID (identyfikator zakresu). Dla komputera domowego i VPN program generuje losowy

identyfikator. Uwaga: Ustawienie Scope ID nie ma bezpośredniego wpływu na

ochronę komunikacji SMB over TCP/IP. Scope zwykle jest rozgłaszane w sieci i w

prosty sposób czytelne dla dowolnego użytkownika.

 

 

 

Edycja wg Microsoftu (ScopeId): LINK / LINK /

LINK

 

 

 

 

 

 

 

 

 

Services Settings:

 

 

 

Sugerowane

ustawienie: wszystko zaznaczone

 

 

 

Sugerowane

ustawienie: wszystko zaznaczone

 

 

 

Sugerowane

ustawienie: zaznaczony tylko Posłaniec

 

 

 

 

 

 

 

Disable

Remote Registry service

 

 

 

Wyłącza

usługę Rejestr zdalny.

 

 

 

Disable

Messenger service

 

 

 

Wyłącza

usługę Messenger / Posłaniec.

 

 

 

Disable

SSDP Discovery Service service

 

 

 

Wyłącza Usługę odnajdywania SSDP (składnik główny zespołu

Universal Plug and play).

 

 

 

Do not

start IPSEC Services service automatically

 

 

 

Zmienia typ startowy Usług IPSEC na Ręczny.

 

 

 

 

 

Opis Posłańca i UPnP jest umieszczony we wstępie: klik.

Ogólnie o tych wszystkich usługach jest opracowanie w dziale Windows:

 

 

 

http://www.searchengines.pl/index.php?showtopic=7723

 

 

 

 

 

 

 

 

 

TCP / IP Settings:

 

 

 

Sugerowane

ustawienie: wszystko zaznaczone

 

 

 

Sugerowane

ustawienie: wszystko zaznaczone

 

 

 

Sugerowane

ustawienie: wszystko zaznaczone

 

 

 

 

 

 

 

Drop all

incoming IP source routed packets

 

 

 

Opcja umożliwia wyłączenie routingu źródła IP. Routing

źródła IP* jest często wykorzystywany do fałszowania / spoofingu adresu IP i

prowadzenia ataku. W większości przypadków niekonieczny do podstawowego

działania sieci i wyłączenie jest dobrym krokiem zabezpieczającym.

 

 

 

Edycja wg Microsoftu (DisableIPSourceRouting):

LINK / LINK

 

 

 

 

 

Disable

automatic detection of "dead" gateways

 

 

 

Opcja zapobiegająca przełączeniu na zapasową bramę w

przypadku połączeń doświadczających trudności. Taka możliwość przełączania bram

może być wykorzystana w celu przekierowania ruchu sieciowego przez maszynę

atakującego. Uwaga: Na systemach z układem wielu domyślnych bram opcja ta może

uniemożliwić skorzystanie z zapasowej.

 

 

 

Edycja wg Microsoftu (EnableDeadGWDetect): LINK

/ LINK / LINK

 

 

 

 

 

Disable IRDP (all interfaces)

 

 

 

Opcja umożliwiająca wyłączenie IRDP (Internet Router

Discovery Protocol) we wszystkich interfejsach. IRDP jest wykorzystywane do

detekcji i konfiguracji adresu domyślnej bramy (to nie jest DHCP!). Jako skutek

uboczny IRDP może pozwolić na przekierowanie ruchu sieciowego przez maszynę

atakującego. W większości przypadków wyłączenie IRDP jest dobrym krokiem

zabezpieczającym.

 

 

 

Edycja wg Microsoftu

(PerformRouterDiscovery): LINK / LINK

 

 

 

 

 

Disable ICMP redirect

 

 

 

Opcja umożliwiająca ignorowanie wiadomości "ICMP

Redirect". Przy pomocy pakietów "ICMP Redirect" agresor może

zmienić trasę routowania w taki sposób, żeby pakiety przechodziły przez maszynę

atakującą. Niebezpieczeństwo podsłuchu, zwłaszcza ze względu na nieszyfrowany

przesył danych. W większości przypadków wyłączenie IRDP jest dobrym krokiem

zabezpieczającym. Uwaga: Ta opcja może powodować problemy z usługą Routing and

Remote Access / Routing i dostęp zdalny skonfigurowaną jako ASBR.

 

 

 

Edycja wg Microsoftu (EnableICMPRedirect): LINK

 

 

 

 

 

Enable

strict ARP table update

 

 

 

Co to jest ARP i zatruwanie tablicy ARP opisane w Wiki. Omawiana

tu opcja instruuje Windows by aktualizowanie wejść tablicy ARP odbywało się

tylko w przypadku przekroczenia przez nich czasu (i w ten sposób ignorowanie

większości niezamawianych pakietów ARP). Dobry krok zabezpieczający. Uwaga:

Ustawienie tej opcji wpływa na problemy komunikacyjne jeśli urządzenia

posługują się dynamicznym adresem MAC. Edycja dostępna tylko na nowych Windows:

2000 SP4 + Update Rollup 1, XP SP2, 2003 SP1.

 

 

 

Edycja wg Microsoftu (StrictARPUpdate): LINK

 

 

 

 

 

Accept

responses only from queried DNS servers

 

 

 

Opcja powodująca ignorowanie odpowiedzi DNS z nie zapytanych

serwerów. Domyślnie są akceptowane takie odpowiedzi co tworzy niebezpieczeństwo

dla zatruwanie bufora cache DNS: Wiki.

 

 

 

Edycja wg Microsoftu (QueryIPMatching): LINK /

LINK / LINK

 

 

 

 

 

Disable ports 1025 to N

 

 

 

Porty zwane efemerycznymi to porty dynamicznie przypisywane

do aplikacji bez wyszczególniania konkretnego portu. Domyślnie ten zakres

portów rozpoczyna się od portu 1025 (a kończy na porcie 5000). Omawiana tu

opcja umożliwia zmianę portu startowego dla zakresu portów efemerycznych

poprzez wyłączenie (zarezerwowanie) przedziału od 1025 do N (nie ustawiać na za

wysoką liczbę), co spowoduje ustawienie portu startowego na N+1. Mówiąc prosto:

porty te będą "zgadywane" losowo powyżej liczby N. W większości

przypadków jest to dobre zabezpieczenie. Uwaga: Opcja generująca problem na

Windows 2000 z usługą Routing and Remote Access / Routing i dostęp zdalny

skonfigurowaną jako bramka NAT (szczegóły hotfixa: KB815295).

 

 

 

Edycja wg Microsoftu

(ReservedPorts): LINK

 

 

 

 

 

 

 

 

 

Z punktu widzenia przeciętnego użytkownika: po to są właśnie

domyślne układy zaznaczania opcji by zabezpieczyć komputer bez szczególnej

znajomości zagadnienia. Pierwsza część czyli "Restrict Microsoft

Networks" a także "Services settings" to prawie jak Windows

Worms Doors Cleaner i to już jest przybliżone szczegółowo. Zaś parametry TCP/IP

z musu są opisane w jak największym skrócie by nie mieszać w głowach zbyt

wybornym esejem, który miałby conajmniej 10 stron. To już ustawienia

zaawansowane.

 

 

 

 

 

 

 

Po ręcznym

zaznaczeniu wybranych opcji (lub po kliku w któryś z układów proponowanych),

należy zatwierdzić wykonanie akcji przez buttonik Apply:

 

 

 

 

 

 

 

Otrzymacie zgłoszenie

wymaganego resetu komputera co należy potwierdzić (w przeciwnym wypadku żadne

zmiany nie są dokonywane). Do pierwotnych ustawień przed użyciem seconfig

zawsze można wrócić przez buttonik Restore:

 

 

 

 

 

 

 

Bieżący stan

zabezpieczeń komputera podglądamy przez buttonik Status:

 

 

 

 

 

 

 

W oknie będzie

podsumowanie stanu portów NetBIOS / SMB / RPC a także lista aktualnie otwartych

portów TCP i UDP:

 

 

 

 

 

 

 

Closed

(Secure) = porty zamknięte

 

Open

(Insecure) = porty otwarte

 

 

 

 

 

 

 

 

 

.

 

 

 

 

 

 

 

 

 

Netografia:

 

http://www.searchengines.pl/Zabezpieczenia-Robaczywe-ataki-Poslaniec-t12532.html

 

 

 

 

Wyjaśnij mi, co to ma wspólnego z włączaniem MU -.-

On chce odpalić grę a nie zabezpieczyć PC'ta lepiej od FORT KNOX...

 

Co do tematu, to można przeinstalować, wyłączyć zaporę, wyłączyć antyvira i spróbować wtedy.

Antywirus potrafi usunąć część plików z archiwum .rar/.zip już podczas pobierania ...

 

@UP Nakładam ostrzeżenie za treść niezgodną z tematem.

Opublikowano

Nie wiem w czym problem, czasem to właśnie malware blokują głupie odpalanie mu, ,że nie miałem czasu na streszczenie tematu wykluczając zabawę w rejestrze i pkt z wieloma skanerami trudno chyba się idzie domyśleć jaki jest problem.

Zarchiwizowany

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

×
×
  • Dodaj nową pozycję...