Страница 1 из 4 1234 Последняя
Показано с 1 по 20 из 69.

ИПУ в AVZ

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    ИПУ в AVZ

    Данная тема посвящена искателю потенциальных уязвимостей на ПК пользователей, которая реализована в AVZ (реализация находится в базе и менять ее можно хоть каждый день) - для обсуждения того, что стоит контролировать в ИПУ, что не стоит и т.п.
    В настоящий момент примеврются:
    1. Службы. На контроле состояние служб "Удаленный реестр", "Терминальный сервер", "Служба обнаружения UPNP", "Telnet", "Служба сообщений", "Планировщик". Отключение/включение служб вопрос весьма спорный ввиду того, что нет однозначности - для домашнего ПК справедливо одно, для ПК в корпоративной сети - другое. В случае обнаружения службы, на которую стоит обратить внимание выводится сообщение вида
    >>Службы: разрешена потенциально опасная служба ....
    2. Автозапуск с CD (обработка autorun.inf). Проверяется состояние глобального флага, управляющего автозапуском с CD, сообщение имеет вид:
    >>Безопасность: разрешен автозапуск программ с CDROM
    3. Админ-шары. По умолчанию они создаются, т.е. для каждого диска автоматом создается ресурс общего доступа с $ на хвосте (такие ресурсы не видны в проводнике, но видны в альтернативных программах типа сканеров сети). Если у пользователя несложный пароль или его нет, то через такой ресурс злоумышленник или вирус может получить полный доступ к диску. В ЛВС такие ресурсы могут применяться админом. Сообщение в случае обнаружения:
    >>Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    4. Контроль сервиспаков и критических патчей. Пока в зачаточном состоянии, но естественно будет развиваться. Проверяет ситуации типа XP без SP2. Сообщения имеют вид:
    >>Система: Возможно не установлен последний ServicePack для ... (текущий - ...)
    5. Подключения анонимных пользователей. По умолчанию разршено, т.е. не имея прав на доступ к ресурсам ПК можно кое что о нем узнать. Это не опасно, не и хорошего мало. Сообщение:
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    6. Контроль настроек IE. проверяется ряд настроек, связанных с исполнением ActiveX, IFrame. Настройки IE как известно хранятся в реестре, следовательно исправить их несложно. Сообщение имеет вид:
    >>> Безопасность: В IE разрешен ....
    7. Проверка, разрешены ли терминальные к ПК. Определеяется как совокупность из того, что запущена одноименная служба и в настройке разрешены подключения (можно изменить вручную - птичка в свойствах ПК, закладка "Дистанционное управление рабочим столом" ). Для домашнего ПК совершенно не требуется. формат сообщения:
    >>Безопасность: Разрешены терминальные подключения к данному ПК
    8. Проверка, разрешена ли отправка приглашений удаленному помошнику. Если таковая система не применяется, то разумно ее отключить от греха. Вид сообщения:
    >>Безопасность: Разрешена отправка приглашений удаленному помошнику
    9. Контроль того, разрешен ли автоматический вход в систему (т.е. без ввода логина и пароля при входе). Опасность автоматического входа - любой желающий может включтьь ПК и получить к нему доступ, актуально для ноутбуков и ПК в корпоративной сети. Формат сообщения:
    >>Безопасность: разрешен автоматический вход в систему
    -------------
    Итак - ваши предложения, что нужно-ненужно контролировать из этого списка, какие проверки слудет добавить ? Как легко заметить, суть ИПУ в том, что это добавление к протоколу сканирования и исследования системы, так сказать данные для размышления.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Как-то это все под ХР заточено. А как быть с 2000?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от PavelA Посмотреть сообщение
    Как-то это все под ХР заточено. А как быть с 2000?
    Примерно половина перечисленного актуальна на W2K, просто по статистике его уже почти нет нигде - у нас в сети к примеру осталось штук 5 ПК под ним. Но опять-же - если есть предложение по тому, что стоит проверять в 2K (где и как, достаточно общего направления) - и я добавлю такой контроль

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    По первому пункту у меня есть встречное предложение : сделать типа шаблонов templates ( одни шаблоны для домашнего компьютера- где- эти сервисы желательно отключить, другие шаблоны для рабочего компьютера.В любом случае пользователь должен выбирать, нужна ли ему та или иная служба/опция или нет. Также, будет полезно сделать опцию включения той или иной опции/службы/ сервиса. Даже если ошибётся, можно легко вернуть с помощью AVZ.

  6. #5
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2007
    Адрес
    Питер
    Сообщений
    137
    Вес репутации
    381
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Итак - ваши предложения, что нужно-ненужно контролировать из этого списка, какие проверки слудет добавить ?
    Я бы добавил проверку на включение FireWall (но только любого FireWall, а не именно виндового). Ну и контроль открытых портов. Вот только как проверить, что FireWall закрывает порты - непонятно. Ибо для доступа по локальке (и с самого компа) могут в вообще все порты открыт (и это нормально).
    Ещё проверял бы доступность запуска по DCOM, впрочем это упирается в те же порты...

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Примерно половина перечисленного актуальна на W2K, просто по статистике его уже почти нет нигде - у нас в сети к примеру осталось штук 5 ПК под ним.
    У нас 235 офисов - хватает и ХР, и 2000, и ХР Home.
    Именно поэтому вопрос и задал.
    О том, что надо проверять, подумаю.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Сообщений
    1,112
    Вес репутации
    389
    а avz может проверять, есть у пользователя пароль на учетку администратор или нет?
    The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
    "Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
    Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)

  9. #8
    Junior Member Репутация
    Регистрация
    15.11.2006
    Сообщений
    103
    Вес репутации
    64
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    ...W2K, просто по статистике его уже почти нет нигде ... если есть предложение по тому, что стоит проверять в 2K (где и как, достаточно общего направления) - и я добавлю такой контроль
    У нас стоит на работе 2000, у знакомых тоже, многие разработчики также, как мне известно, до сих пор под ним сидят, если клиент не перешёл на XP или если ОС не столь важна (особенно, если требуется легальный софт).
    Машины со слабой графикой, что я видел, почти все под Win2000.

    Насчёт проверок - я использую Belarc Advisor (аудит компьютера) http://www.belarc.com/ - там базовый набор проверок есть...
    Последний раз редактировалось Nick222; 31.08.2007 в 15:36.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Ego1st Посмотреть сообщение
    а avz может проверять, есть у пользователя пароль на учетку администратор или нет?
    На данный момент к сожалению нет. Шаманский путь проверки есть, но он дюже шаманский и хакерский. Если удастся найти простой метод проверки - я его тут-же реализую

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.08.2006
    Адрес
    Google
    Сообщений
    971
    Вес репутации
    520
    Олег, спасибо за объяснения, но скорее будет интересно не объяснение что значит та или иная уязвимость, а способы их устранения (с описанием куда и как зайти и что исправить). По каждому пункту, напрмер я не представляю как отрубить например это
    >> Безопасность: к ПК разрешен доступ анонимного пользователя

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    602
    Surfer, в AVZ: файл-стандартные скрипты-скрипт 2. В сформированном лог-файле будут инструменты устранения уязвимости. Если в чем-то сомневаетесь, можете создать тему в "Помогите". Хелперы вам помогут.
    Опыт — это слово, которым люди называют свои ошибки.

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Nick222 Посмотреть сообщение
    Насчёт проверок - я использую Belarc Advisor (аудит компьютера)
    Belarc делает немного не то - он просто проводит аудит, какие апдейты есть и каких нет ...

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    602
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    Зайцев Олег, +1!
    Опыт — это слово, которым люди называют свои ошибки.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Belarc делает немного не то - он просто проводит аудит, какие апдейты есть и каких нет ...
    Может и AVZ научить делать тоже самое? Составить список критических патчей и проверять их наличие\отсутствие.

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Maxim Посмотреть сообщение
    Может и AVZ научить делать тоже самое? Составить список критических патчей и проверять их наличие\отсутствие.
    Можно конечно. Но только проверять, без путей закачки ... Belarc Advisor могут нарваться и прекратить существование, так как судя по новостям MS заняли агрессивную политику против альтернатив их автоапдейту.

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Можно конечно. Но только проверять, без путей закачки ...
    Ок. Сделайте так.
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Belarc Advisor могут нарваться и прекратить существование, так как судя по новостям MS заняли агрессивную политику против альтернатив их автоапдейту.
    Борьба с пиратами...

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Сообщений
    1,112
    Вес репутации
    389
    Олег еще вопросик, можноли ИПУ как отдельную кнопку забабахать..
    например в сервисах -> и назвать менеджер потенциально уязвимых мест.. и там уже фиксить что найдено..
    The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
    "Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
    Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    602
    Цитата Сообщение от Ego1st Посмотреть сообщение
    Олег еще вопросик, можноли ИПУ как отдельную кнопку забабахать..
    например в сервисах -> и назвать менеджер потенциально уязвимых мест.. и там уже фиксить что найдено..
    Уже обсуждали. Это сделано специально.
    Опыт — это слово, которым люди называют свои ошибки.

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Сообщений
    1,112
    Вес репутации
    389
    хм можно ссылочку, а то мну давно небыло уже и не знаю где искать..
    The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
    "Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
    Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    По чаще бывать надо!
    http://virusinfo.info/showpost.php?p...9&postcount=32

Страница 1 из 4 1234 Последняя

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01513 seconds with 18 queries