Показано с 1 по 5 из 5.

Аудит безопасности

  1. #1
    Junior Member Репутация
    Регистрация
    26.05.2010
    Сообщений
    3
    Вес репутации
    24

    Аудит безопасности

    indows XP SP3+NOD32+все обновления.Все лазейки из сети отключены(так думаю).
    Тип события: Аудит успехов
    Источник события: Security
    Категория события: Изменение политики
    Код события: 848
    Дата: 27.05.2010
    Время: 22:52:03
    Пользователь: NT AUTHORITY\SYSTEM
    Компьютер:
    Описание:
    Следующая политика была активна при запуске брандмауэра Windows.

    Примененная групповая политика: Нет
    Используемый профиль: Обычный
    Интерфейс: Все интерфейсы
    Рабочий режим: Вкл
    Службы
    Общий доступ к файлам и принтерам: Отключено
    Удаленный рабочий стол: Отключено
    UPnP-инфраструктура: Отключено
    Разрешать удаленных администраторов: Отключено
    Разрешать ответы для многоадресного и широковещательного трафика: Отключено
    Ведение журнала безопасности:
    Записывать отброшенные пакеты: Отключено
    Записывать успешные подключения: Отключено
    ICMP:
    Разрешать запрос входящего эха: Отключено
    Разрешать запрос входящего штампа времени: Отключено
    Разрешать запрос входящей маски: Отключено
    Разрешать запрос входящего маршрутизатора: Отключено
    Разрешать сообщение "Исходящее назначение недоступно": Отключено
    Разрешать снижение скорости источника исходящих сообщений: Отключено
    Разрешать сообщение "Проблема исходящего параметра": Отключено
    Разрешать превышение исходящего времени: Отключено
    Разрешать перенаправление: Отключено
    Разрешать сообщение "Исходящий пакет слишком велик": Отключено

    Все лишние программы деинсталированы с доп.очисткой.

    Администрирование>просмотр событий>безопасность>аудит отслеживание процессов.

    Тип события: Аудит отказов
    Источник события: Security
    Категория события: Подробное отслеживание
    Код события: 861
    Дата: 28.05.2010
    Время: 0:57:49
    Пользователь: NT AUTHORITY\NETWORK SERVICE
    Компьютер:
    Описание:
    Брандмауэр Windows обнаружил приложение, прослушивающее входящий трафик.

    Имя: -
    Путь: C:6\WINDOWS\system32\svchost.exe
    Код процесса: 896
    Учетная запись пользователя: NETWORK SERVICE
    Домен пользователя: NT AUTHORITY
    Служба: Да
    RPC-сервер: Нет
    IP-версия: IPv4
    IP-протокол: UDP
    Номер порта: 62032
    Разрешено: Нет
    Пользователь извещен: Нет

    Номера портов от 40000 и до отказа.Сериями от одного до нескольких десятков.Периодичность от нескольких секунд до десятков минут.Активность компа не влияет.AVZ даёт перечень модулей процесса,но все 32 признаны(им же,т.е. AVZ) безопасными.HiJack процесс обрывает и даже не видит(встроенный в винд обрывает,но видит).Поймать его вручную не выходит.Сканирование компа на разную заразу ничего не показывает.В сети ничего не нашёл.На Virusinfo есть вялое утверждение,что мол так и должно быть,но без оьъяснений КТО и ЧТО слушает.На мой взгляд это и есть главный вопрос,который присутствует в сети без внятных объяснений.
    Если можно,полный и ясный расклад ситуации.

  2. Реклама
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для NRA
    Регистрация
    17.03.2008
    Сообщений
    376
    Вес репутации
    179
    ИМО тема не совсем там - нужнее в "пАмАгИтЕ!", но если вкратце:

    1) Admin?
    2) встроенный фаер - только от входящих и легко обходится всем кому не очень лень: нужет железный рутер или хотя бы независимый фаервол или
    3) а чем-то типа Radmin никто не балуется?
    4) что во время активности показывает netstat -a -b
    5) в случае сомнений sfc /scannow + install CD данной OS
    Нас объединяет то, что разъединяет

  4. #3
    Junior Member Репутация
    Регистрация
    26.05.2010
    Сообщений
    3
    Вес репутации
    24
    Почему пропадает авторизация до отправления ответа???

    Добавлено через 28 минут

    Цитата Сообщение от NRA Посмотреть сообщение
    ИМО тема не совсем там - нужнее в "пАмАгИтЕ!", но если вкратце:

    1) Admin?
    2) встроенный фаер - только от входящих и легко обходится всем кому не очень лень: нужет железный рутер или хотя бы независимый фаервол или
    3) а чем-то типа Radmin никто не балуется?
    4) что во время активности показывает netstat -a -b
    5) в случае сомнений sfc /scannow + install CD данной OS
    1)Иначе аудит безопасности НЕдоступен.
    2)Если встроенный всё фиксирует и не пускает в сеть,зачем усложнять?
    3)???
    4)Время активности(см.выше),а в остальное время этих портов нет.
    5)А какой в этом смысл?Эта операция никак не влияет на файлы добавленные в процессе обновлений Windows,инсталяций и т.п.
    В этом и есть мой главный вопрос,КТО и ЧТО может слушать эти порты,хотя бы теоретически.В процессе обновлений Windows появляются всякие "агенты безопасности"?,но механизм их работы не прилагается.Если честно,я и не заморачивался на анализе этих обновлений,а похоже зря.С другой стороны такой анализ требует знаний на уровне программиста,что для среднестатистического пользователя тема полностью тёмная и исследованию не подлежит.Учитывая,что чудес в компе не бывает,вирусов нет,напрашивается определённый вывод.К тому же периодически нахожу много временных файлов с адресом "somebody@microsoft.com"?,значение которых я так же не установил.
    Последний раз редактировалось serpuh; 02.06.2010 в 01:17. Причина: Добавлено

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для NRA
    Регистрация
    17.03.2008
    Сообщений
    376
    Вес репутации
    179
    1) RunAS, SuRun, MakeMeAdmin...
    2) фиксирует не "всё", а только то, что легально просится
    4) netstat /? и выбираем интересующую информацию о портах (хотя можно и APS, и AVZ, и другой спецсофт)
    5) методом исключения можно найти виновного (если после проверки ситуация осталась, то проблема именно в "обновлении")

    Кстати, обычно все лишние (не используемые) группы и пользаветели сразу удаляются.
    Нас объединяет то, что разъединяет

  6. #5
    Junior Member Репутация
    Регистрация
    26.05.2010
    Сообщений
    3
    Вес репутации
    24
    1)RunAS хорош,когда всё стабильно и нет нужды в правах.Однако для многих программ и манипуляций на компе это не совсем так и постоянное клацанье на вкладках заметно напрягает.
    2)Возможно,т.к. вникать в алгоритмы программ как-то не входило в мои планы.Уверен,99% пользователей любую программу используют как
    "чёрный ящик"-зная,что есть ДО и надеясь получить обещанный результат после,ну,может немного в настройках подкрутить.Практически не видел описаний компонент Windows с целью самостоятельно разобраться как оно работает(в отличие от Linux,но там свои проблемы).Да,хотелось бы знать Wind поглубже,но,как я понимаю,это не входит в планы MS,да и тех кто её знает не по форумам.Надо добавить,что процесс углубления в Wind занимает всё свободное время в поиске достоверной информации,а не бездны левых советов,ну,хотя бы на тему настройки служб,прав пользователя и т.п.,вместо ясного и глубокого описания алгоритма данных компонент.Что собственно происходит и с аудитом,информации много,но нет однозначного ясного ответа.

    Вот работа АР
    S:

    Тип события: Аудит отказов
    Источник события: Security
    Категория события: Подробное отслеживание
    Код события: 861
    Дата: 03.06.2010
    Время: 8:47:56
    Пользователь:
    xxxxxxxxxxx
    Компьютер:xxxxxxxxxxx
    Описание:
    Брандмауэр Windows обнаружил приложение, прослушивающее входящий трафик.

    Имя: aps
    Путь: E:\ПО\APS\aps\aps\aps.exe
    Код процесса: 1504
    Учетная запись пользователя:
    Домен пользователя:
    Служба: Нет
    RPC-сервер: Нет
    IP-версия: IPv4
    IP-протокол: UDP
    Номер порта: 50829
    Разрешено: Нет
    Пользователь извещен: Нет

    А вот,что я пытаюсь выяснить
    :

    Тип события: Аудит отказов
    Источник события: Security
    Категория события: Подробное отслеживание
    Код события: 861
    Дата: 03.06.2010
    Время: 9:43:10
    Пользователь: NT AUTHORITY\NETWORK SERVICE
    Компьютер:
    xxxxxxxxxxx
    Описание:
    Брандмауэр Windows обнаружил приложение, прослушивающее входящий трафик.

    Имя: -
    Путь: C:6\WINDOWS\system32\svchost.exe
    Код процесса: 924
    Учетная запись пользователя: NETWORK SERVICE
    Домен пользователя: NT AUTHORITY
    Служба: Да
    RPC-сервер: Нет
    IP-версия: IPv4
    IP-протокол: UDP
    Номер порта: 51814
    Разрешено: Нет
    Пользователь извещен: Нет

    Вот не вижу я НИКАКОЙ полезной информации в этих сообщениях.

    ProcX,AVZ,HiJack аналогично!Методом тыка(т.к. пока не нашёл даже примерной оценки этого события) обнаружил,что этот процесс анализирует все?(по крайней мере те процессы,которые могут его фиксировать) и не проявляет активности,когда они активны.Поэтому указанные программыпо моему разумению бесполезны в данном случае.Других вариантов не знаю,т.к. не понимаю происходящего.Замена встроенного брандмауэра не ответит на вопрос "кто стучится в дверь моя".Да и переставить Wind мне много проще,но хочется понять каких ещё сюрпризов можно получить от Wind&MS.
    4)
    netstat ничуть не эффективнее в данном случае.Процесс обрывается и netstat выдаёт информацию о всём,что не относится к уже оконченному процессу.
    Чтобы было понятнее такой пример.Запускаю
    AVZ или HiJack и пока они активны ничего не происходит!?Можно было бы выкладывать сюда логи ,но там ничего НЕТ!Надеюсь по понятным причинам.
    5)Чтобы что-то исключать,нужна хоть какая-то зацепка.У меня её нет.И как говорил один персонаж
    :"Меня терзают смутные подозрения..."
    И об обновлениях.Там происходит НЕЧТО.После них я убираю много чего,в том числе и в правах пользователя и в локальной безопасности.Дело доходило до создания локального пользователя ASPNET и размещением на странице входа локальных пользователей.Я этот юмор не просёк и удалил нафиг,а службу отключил.После сего действа обновления вообще не беспокоят.Пытался понять связь,тщетно.По крайней мере из описаний ASPNET это не прослеживается.Локальных пользователей двое и админ под паролями,остальные давно удалены.
    Какие есть соображения?
    Последний раз редактировалось serpuh; 03.06.2010 в 11:21.

Похожие темы

  1. Ответов: 1
    Последнее сообщение: 27.12.2012, 20:33
  2. Аудит отказов зафлужен svchost.exe от NT AUTHORITY
    От Owyn в разделе Помогите!
    Ответов: 22
    Последнее сообщение: 26.11.2010, 23:30
  3. Ответов: 1
    Последнее сообщение: 08.03.2010, 13:39
  4. Сканер файлов (аудит файлов в системе)
    От VIKT0R в разделе Публичное бета-тестирование
    Ответов: 15
    Последнее сообщение: 14.06.2009, 20:51
  5. Аудит отказов, блокируются учетки
    От yanakhod в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 13.02.2009, 08:52

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00220 seconds with 18 queries