-
Junior Member
- Вес репутации
- 63
ИПУ выдает:Безопасность: разрешен автозапуск программ с CDROM
Но у меня в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer
ключ NoDriveTypeAutoRun со значением FF (отключен любой автозапуск)
Если запускать AVZ из под пользователя, то выдается новая вводная:
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Ни то ни другое у меня не разрешено.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
как пофиксить..
Безопасность: разрешен автозапуск программ с CDROM
нужно ли убирать
Безопасность: разрешен автоматический вход в систему
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
у меня обычная LAN через VPN (100 мегабит типо)
-
Сообщение от
mayas
как пофиксить..
http://virusinfo.info/showpost.php?p...8&postcount=11
Читайте внимательнее.
Опыт — это слово, которым люди называют свои ошибки.
-
-
Проверять надо бы: * Не отключён ли Диспетчер Задач * Не отключён ли доступ в реестр * Не отключён ли показ скрытых и системных папок и файлов * Не работает ли юзер во время лечения с правами простого пользователя. (Есть уже такие зловреды, которые буквально ВСЕ админ права отнимают!
-
Сообщение от
p2u
Проверять надо бы: * Не отключён ли Диспетчер Задач * Не отключён ли доступ в реестр * Не отключён ли показ скрытых и системных папок и файлов * Не работает ли юзер во время лечения с правами простого пользователя. (Есть уже такие зловреды, которые буквально ВСЕ админ права отнимают!
Паул, уже реализовано все, кроме третьего пункта.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Сообщение от
p2u
Проверять надо бы: * Не отключён ли Диспетчер Задач * Не отключён ли доступ в реестр * Не отключён ли показ скрытых и системных папок и файлов * Не работает ли юзер во время лечения с правами простого пользователя. (Есть уже такие зловреды, которые буквально ВСЕ админ права отнимают!
А это не потенциальная уязвимость - это результат действия зловреда. Это проверяется в эвритической проверке системы - там как минимум есть контроль:
1. Скрытой загрузки (через Policies, Services Controller, AppInit_DLLs)
2. Блокировка диспетчера задач
3. Подмена диспетчера задач
4. Модификация ассоциаций для файлоы EXE, DLL, PIF, CMD, SCR
5. Префиксы протоколов в IE
6. Отладчики системных процессов
7. autorun.inf на жестких дисках и флешках
8. Блокировка редактора реестра
Не проверяются пока:
1. Отбор прав
2. Пустые пароли. Этот контроль мы обсуждали, метод есть - но как я говорил выше - он хакерский, и применять его не очень хочется
-
-
Олег, кстати, состояние служб проверяется по единственному значению ключа? Служба может стоять на Вручную и тем не менее не работать. Что выводится, если ключ не найден? Я еще не проверял, но мне кажется, что у меня опять будут сообщения о разрешенных службах Alerter, Messenger и т.п., хотя они у меня просто не существуют.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Сообщение от
NickGolovko
Олег, кстати, состояние служб проверяется по единственному значению ключа? Служба может стоять на Вручную и тем не менее не работать. Что выводится, если ключ не найден? Я еще не проверял, но мне кажется, что у меня опять будут сообщения о разрешенных службах Alerter, Messenger и т.п., хотя они у меня просто не существуют.
Если ключа нет - считается, что и службы нет. Проверка идет по состоянию (авто или вручную, причем для одних служб "вручную" считается нормой, для других - алерт)
-
-
Спасибо, осталось проверить самому.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
-
-
-
-
Сообщение от
Maxim
Может и AVZ научить делать тоже самое? Составить список критических патчей и проверять их наличие\отсутствие.
Согласен нужная фича!
Сообщение от
Зайцев Олег
Можно конечно. Но только проверять, без путей закачки ... Belarc Advisor могут нарваться и прекратить существование, так как судя по новостям MS заняли агрессивную политику против альтернатив их автоапдейту.
Вполне согласен достаточно думаю будет чтоб указывалось имя обновления, а где его скачать думаю пользователи и сами найдут... что бы там не решила MS все равно эти обновления будут в сети! А Google всем помогут их найти
-
-
Сообщение от
Jolly Rojer
Согласен нужная фича!
Да, нужно.
А если Олег встроит сканер портов, то получим xSpider.
Left home for a few days and look what happens...
-
-
Что тоже порой не обходимо... а тут все в одном флаконе!
-
-
Сообщение от
ALEX(XX)
Да, нужно.
А если Олег встроит сканер портов, то получим xSpider.
У меня кстати есть десяток сканеров - я студентов на практике заставляю писать разные интеллектуальные сканеры портов, это мое любимое развлечение На самом деле я хочу не сканер в ИПУ запихать, а сниффер - чтобы спамботы ловить эвристикой. Действующий прототип уже есть
-
-
Сообщение от
Зайцев Олег
На самом деле я хочу не сканер в ИПУ запихать, а сниффер - чтобы спамботы ловить эвристикой
Класс!
Left home for a few days and look what happens...
-
-
Отлично,будет утилита, почти на все случаи жизни
спс тебе Олег.
-
-
Прошу добавить остановку и отключение следующих сервисов, только лишние дырки.
Код:
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
-
-
Сообщение от
drongo
Прошу добавить остановку и отключение следующих сервисов, только лишние дырки.
Код:
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
Добавил, после обеда выйдет апдейт с доработанным ИПУ
-
-
хм страно, непонятно почему.. с AVz особо рьяный пользователь и без ипу снести систему сможет так что ее потом хрен поднимешь..
а тут можно так например сделать, отдельный менеджер проводит сканирование, говорит потенциально уязвимые места, отмечаешь их галочкой, фиксишь и при следующем сканировании например они помечены уже галочкой и если снять галки можно все вернуть..
т.е. стандартный набор правил который можно дополнять..
Добавлено через 6 минут
2. Пустые пароли. Этот контроль мы обсуждали, метод есть - но как я говорил выше - он хакерский, и применять его не очень хочется
я понимаю все уже продумано до меня, но разве нельзя например просто создать файл и попытаться запустить его с правами администратора и т.д. и просто отследите это.. что в этом хакерского?
Последний раз редактировалось Ego1st; 04.09.2007 в 14:42.
Причина: Добавлено
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-