Данная тема посвящена искателю потенциальных уязвимостей на ПК пользователей, которая реализована в AVZ (реализация находится в базе и менять ее можно хоть каждый день) - для обсуждения того, что стоит контролировать в ИПУ, что не стоит и т.п.
В настоящий момент примеврются:
1. Службы. На контроле состояние служб "Удаленный реестр", "Терминальный сервер", "Служба обнаружения UPNP", "Telnet", "Служба сообщений", "Планировщик". Отключение/включение служб вопрос весьма спорный ввиду того, что нет однозначности - для домашнего ПК справедливо одно, для ПК в корпоративной сети - другое. В случае обнаружения службы, на которую стоит обратить внимание выводится сообщение вида
>>Службы: разрешена потенциально опасная служба ....
2. Автозапуск с CD (обработка autorun.inf). Проверяется состояние глобального флага, управляющего автозапуском с CD, сообщение имеет вид:
>>Безопасность: разрешен автозапуск программ с CDROM
3. Админ-шары. По умолчанию они создаются, т.е. для каждого диска автоматом создается ресурс общего доступа с $ на хвосте (такие ресурсы не видны в проводнике, но видны в альтернативных программах типа сканеров сети). Если у пользователя несложный пароль или его нет, то через такой ресурс злоумышленник или вирус может получить полный доступ к диску. В ЛВС такие ресурсы могут применяться админом. Сообщение в случае обнаружения:
>>Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
4. Контроль сервиспаков и критических патчей. Пока в зачаточном состоянии, но естественно будет развиваться. Проверяет ситуации типа XP без SP2. Сообщения имеют вид:
>>Система: Возможно не установлен последний ServicePack для ... (текущий - ...)
5. Подключения анонимных пользователей. По умолчанию разршено, т.е. не имея прав на доступ к ресурсам ПК можно кое что о нем узнать. Это не опасно, не и хорошего мало. Сообщение:
>> Безопасность: к ПК разрешен доступ анонимного пользователя
6. Контроль настроек IE. проверяется ряд настроек, связанных с исполнением ActiveX, IFrame. Настройки IE как известно хранятся в реестре, следовательно исправить их несложно. Сообщение имеет вид:
>>> Безопасность: В IE разрешен ....
7. Проверка, разрешены ли терминальные к ПК. Определеяется как совокупность из того, что запущена одноименная служба и в настройке разрешены подключения (можно изменить вручную - птичка в свойствах ПК, закладка "Дистанционное управление рабочим столом" ). Для домашнего ПК совершенно не требуется. формат сообщения:
>>Безопасность: Разрешены терминальные подключения к данному ПК
8. Проверка, разрешена ли отправка приглашений удаленному помошнику. Если таковая система не применяется, то разумно ее отключить от греха. Вид сообщения:
>>Безопасность: Разрешена отправка приглашений удаленному помошнику
9. Контроль того, разрешен ли автоматический вход в систему (т.е. без ввода логина и пароля при входе). Опасность автоматического входа - любой желающий может включтьь ПК и получить к нему доступ, актуально для ноутбуков и ПК в корпоративной сети. Формат сообщения:
>>Безопасность: разрешен автоматический вход в систему
-------------
Итак - ваши предложения, что нужно-ненужно контролировать из этого списка, какие проверки слудет добавить ? Как легко заметить, суть ИПУ в том, что это добавление к протоколу сканирования и исследования системы, так сказать данные для размышления.

Как-то это все под ХР заточено. А как быть с 2000?

Как-то это все под ХР заточено. А как быть с 2000?
Примерно половина перечисленного актуальна на W2K, просто по статистике его уже почти нет нигде - у нас в сети к примеру осталось штук 5 ПК под ним. Но опять-же - если есть предложение по тому, что стоит проверять в 2K (где и как, достаточно общего направления) - и я добавлю такой контроль

По первому пункту у меня есть встречное предложение : сделать типа шаблонов templates ( одни шаблоны для домашнего компьютера- где- эти сервисы желательно отключить, другие шаблоны для рабочего компьютера.В любом случае пользователь должен выбирать, нужна ли ему та или иная служба/опция или нет. Также, будет полезно сделать опцию включения той или иной опции/службы/ сервиса. Даже если ошибётся, можно легко вернуть с помощью AVZ.

Итак - ваши предложения, что нужно-ненужно контролировать из этого списка, какие проверки слудет добавить ?
Я бы добавил проверку на включение FireWall (но только любого FireWall, а не именно виндового). Ну и контроль открытых портов. Вот только как проверить, что FireWall закрывает порты - непонятно. Ибо для доступа по локальке (и с самого компа) могут в вообще все порты открыт (и это нормально).
Ещё проверял бы доступность запуска по DCOM, впрочем это упирается в те же порты...

Примерно половина перечисленного актуальна на W2K, просто по статистике его уже почти нет нигде - у нас в сети к примеру осталось штук 5 ПК под ним.
У нас 235 офисов - хватает и ХР, и 2000, и ХР Home.
Именно поэтому вопрос и задал.
О том, что надо проверять, подумаю.

а avz может проверять, есть у пользователя пароль на учетку администратор или нет?

...W2K, просто по статистике его уже почти нет нигде ... если есть предложение по тому, что стоит проверять в 2K (где и как, достаточно общего направления) - и я добавлю такой контроль

У нас стоит на работе 2000, у знакомых тоже, многие разработчики также, как мне известно, до сих пор под ним сидят, если клиент не перешёл на XP или если ОС не столь важна (особенно, если требуется легальный софт).
Машины со слабой графикой, что я видел, почти все под Win2000.

Насчёт проверок - я использую Belarc Advisor (аудит компьютера) http://www.belarc.com/ - там базовый набор проверок есть...

а avz может проверять, есть у пользователя пароль на учетку администратор или нет?
На данный момент к сожалению нет. Шаманский путь проверки есть, но он дюже шаманский и хакерский. Если удастся найти простой метод проверки - я его тут-же реализую

Олег, спасибо за объяснения, но скорее будет интересно не объяснение что значит та или иная уязвимость, а способы их устранения (с описанием куда и как зайти и что исправить). По каждому пункту, напрмер я не представляю как отрубить например это
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Surfer, в AVZ: файл-стандартные скрипты-скрипт 2. В сформированном лог-файле будут инструменты устранения уязвимости. Если в чем-то сомневаетесь, можете создать тему в "Помогите". Хелперы вам помогут.

Насчёт проверок - я использую Belarc Advisor (аудит компьютера)
Belarc делает немного не то - он просто проводит аудит, какие апдейты есть и каких нет ...

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
Зайцев Олег, +1! :)

Belarc делает немного не то - он просто проводит аудит, какие апдейты есть и каких нет ...Может и AVZ научить делать тоже самое? Составить список критических патчей и проверять их наличие\отсутствие.

Может и AVZ научить делать тоже самое? Составить список критических патчей и проверять их наличие\отсутствие.
Можно конечно. Но только проверять, без путей закачки ... Belarc Advisor могут нарваться и прекратить существование, так как судя по новостям MS заняли агрессивную политику против альтернатив их автоапдейту.

Можно конечно. Но только проверять, без путей закачки ...Ок. Сделайте так.

Belarc Advisor могут нарваться и прекратить существование, так как судя по новостям MS заняли агрессивную политику против альтернатив их автоапдейту.Борьба с пиратами...

Олег еще вопросик, можноли ИПУ как отдельную кнопку забабахать..
например в сервисах -> и назвать менеджер потенциально уязвимых мест.. и там уже фиксить что найдено..

Олег еще вопросик, можноли ИПУ как отдельную кнопку забабахать..
например в сервисах -> и назвать менеджер потенциально уязвимых мест.. и там уже фиксить что найдено..
Уже обсуждали. Это сделано специально.

хм можно ссылочку, а то мну давно небыло уже и не знаю где искать..

По чаще бывать надо!
http://virusinfo.info/showpost.php?p=130439&postcount=32

ИПУ выдает:Безопасность: разрешен автозапуск программ с CDROM
Но у меня в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer
ключ NoDriveTypeAutoRun со значением FF (отключен любой автозапуск)

Если запускать AVZ из под пользователя, то выдается новая вводная:
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Ни то ни другое у меня не разрешено.

как пофиксить..


Безопасность: разрешен автозапуск программ с CDROM

нужно ли убирать
Безопасность: разрешен автоматический вход в систему

>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

у меня обычная LAN через VPN (100 мегабит типо)

как пофиксить..
http://virusinfo.info/showpost.php?p=130748&postcount=11
Читайте внимательнее.

Проверять надо бы: * Не отключён ли Диспетчер Задач * Не отключён ли доступ в реестр * Не отключён ли показ скрытых и системных папок и файлов * Не работает ли юзер во время лечения с правами простого пользователя. (Есть уже такие зловреды, которые буквально ВСЕ админ права отнимают!

Проверять надо бы: * Не отключён ли Диспетчер Задач * Не отключён ли доступ в реестр * Не отключён ли показ скрытых и системных папок и файлов * Не работает ли юзер во время лечения с правами простого пользователя. (Есть уже такие зловреды, которые буквально ВСЕ админ права отнимают!

Паул, уже реализовано все, кроме третьего пункта. :)

Проверять надо бы: * Не отключён ли Диспетчер Задач * Не отключён ли доступ в реестр * Не отключён ли показ скрытых и системных папок и файлов * Не работает ли юзер во время лечения с правами простого пользователя. (Есть уже такие зловреды, которые буквально ВСЕ админ права отнимают!
А это не потенциальная уязвимость - это результат действия зловреда. Это проверяется в эвритической проверке системы - там как минимум есть контроль:
1. Скрытой загрузки (через Policies, Services Controller, AppInit_DLLs)
2. Блокировка диспетчера задач
3. Подмена диспетчера задач
4. Модификация ассоциаций для файлоы EXE, DLL, PIF, CMD, SCR
5. Префиксы протоколов в IE
6. Отладчики системных процессов
7. autorun.inf на жестких дисках и флешках
8. Блокировка редактора реестра

Не проверяются пока:
1. Отбор прав
2. Пустые пароли. Этот контроль мы обсуждали, метод есть - но как я говорил выше - он хакерский, и применять его не очень хочется

Олег, кстати, состояние служб проверяется по единственному значению ключа? Служба может стоять на Вручную и тем не менее не работать. Что выводится, если ключ не найден? Я еще не проверял, но мне кажется, что у меня опять будут сообщения о разрешенных службах Alerter, Messenger и т.п., хотя они у меня просто не существуют.

Олег, кстати, состояние служб проверяется по единственному значению ключа? Служба может стоять на Вручную и тем не менее не работать. Что выводится, если ключ не найден? Я еще не проверял, но мне кажется, что у меня опять будут сообщения о разрешенных службах Alerter, Messenger и т.п., хотя они у меня просто не существуют.
Если ключа нет - считается, что и службы нет. Проверка идет по состоянию (авто или вручную, причем для одних служб "вручную" считается нормой, для других - алерт)

Спасибо, осталось проверить самому. :)

Эмм, пофиксил я тут уязвимости...
:)

Во вложении результат, залогинивания меня (администратор) не происходит теперь вообще :) Хотя всё работает как обычно.

Проверьте все у себя :)

Up чтоли :)
Вот ещё нашёл для ИПУ, может будет интересно добавить.
Хотел перехватить RegMon'ом какие ключи она меняет, но лень :))

http://img59.imageshack.us/img59/9694/lansafety100sdfsrk7.jpg

http://lantricks.com/download/lansafety_setup.exe

Может и AVZ научить делать тоже самое? Составить список критических патчей и проверять их наличие\отсутствие.

Согласен нужная фича!


Можно конечно. Но только проверять, без путей закачки ... Belarc Advisor могут нарваться и прекратить существование, так как судя по новостям MS заняли агрессивную политику против альтернатив их автоапдейту.

Вполне согласен достаточно думаю будет чтоб указывалось имя обновления, а где его скачать думаю пользователи и сами найдут... что бы там не решила MS все равно эти обновления будут в сети! А Google всем помогут их найти ;)

Согласен нужная фича!
Да, нужно.
А если Олег встроит сканер портов, то получим xSpider. :)

Что тоже порой не обходимо... а тут все в одном флаконе!

Да, нужно.
А если Олег встроит сканер портов, то получим xSpider. :)
У меня кстати есть десяток сканеров - я студентов на практике заставляю писать разные интеллектуальные сканеры портов, это мое любимое развлечение :) На самом деле я хочу не сканер в ИПУ запихать, а сниффер - чтобы спамботы ловить эвристикой. Действующий прототип уже есть

На самом деле я хочу не сканер в ИПУ запихать, а сниффер - чтобы спамботы ловить эвристикой
Класс!

Отлично,будет утилита, почти на все случаи жизни :)
спс тебе Олег.

Прошу добавить остановку и отключение следующих сервисов, только лишние дырки.

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

Прошу добавить остановку и отключение следующих сервисов, только лишние дырки.

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
Добавил, после обеда выйдет апдейт с доработанным ИПУ

По чаще бывать надо!
http://virusinfo.info/showpost.php?p...9&postcount=32

хм страно, непонятно почему.. с AVz особо рьяный пользователь и без ипу снести систему сможет так что ее потом хрен поднимешь..

а тут можно так например сделать, отдельный менеджер проводит сканирование, говорит потенциально уязвимые места, отмечаешь их галочкой, фиксишь и при следующем сканировании например они помечены уже галочкой и если снять галки можно все вернуть..
т.е. стандартный набор правил который можно дополнять..

Добавлено через 6 минут


2. Пустые пароли. Этот контроль мы обсуждали, метод есть - но как я говорил выше - он хакерский, и применять его не очень хочется

я понимаю все уже продумано до меня, но разве нельзя например просто создать файл и попытаться запустить его с правами администратора и т.д. и просто отследите это.. что в этом хакерского?

Олег, а как avz проверяет включен ли Автозапуск?
У меня он отключен на всех устройствах через Групповые политики - Конфигурация компьютера, но я получил от avz предупреждение что он у меня разрешен...

насчёт автозапуска СД, отключает ли он автозапуск флешек? надо бы добавить ;)

Проверяется и изменяется параметр Autorun в ключе драйвера CDROM. К политикам это никакого отношения не имеет.

Если у пользователя несложный пароль или его нет, то через такой ресурс злоумышленник или вирус может получить полный доступ к диску.Local policies -> Security options -> Accounts: Limit local account use of blank passwords to console logon only.

Local policies -> Security options -> Accounts: Limit local account use of blank passwords to console logon only.
В принципе эту фичу можно проверить и активировать скриптом ...

Пустые пароли. Этот контроль мы обсуждали, метод есть - но как я говорил выше - он хакерский, и применять его не очень хочетсянет возможности проверить, но если запустить

net use \\comp\c$ /user:Admin
как отреагирует?

нет возможности проверить, но если запустить

net use \\comp\c$ /user:Admin
как отреагирует?
Это можно и через API сделать ... в теории отреагировать может неадекватно, так как я во первых подключаюсь к своему-же компьютеру, а во вторых нет гарантии, что есть админ-шара. Я нашел документированный путь аудита паролей, поэтому данную фичу можно будет реализовать ...

а во вторых нет гарантии, что есть админ-шара?????? А как ты определяешь, есть ли доступ к админ-шарам?

?????? А как ты определяешь, есть ли доступ к админ-шарам?
С админшарами есть общий флаг, управляющий их глобальным включением/отключением ИПУ его и проверяет. А пароль можно проверить через LogonUser, это документированный путь. И плюс несколько недокументированных (попытка смены пароля (новый и старый пароль совпадают), работа через Secur32.dll, прямое чтение SAM

NetShareEnum – вроде оно, перебирает шары.

насчёт автозапуска СД, отключает ли он автозапуск флешек? надо бы добавить ;)
Очень нужно проверять параметр
>> Автозапуск : отключить на всех дисках

>> Автозапуск : отключить на всех дискахКроме системного ;)

Кроме системного ;)
Системный в первую очередь! ;) Загрузка Windows или установленные программы в Автозапуске не нуждаются. А зловреды - да.

Не понимаю в чём разница

Ну автозапуск - это запуск через autorun, без прописки в реестр. То есть просто положил файлик с нуджным именем на диск, а винла его запустила. Нормальная программа при исталяции законно в реестр прописываются. А у зловреда могут возникнуть проблемы.

-------------
Итак - ваши предложения, что нужно-ненужно контролировать из этого списка, какие проверки слудет добавить ? Как легко заметить, суть ИПУ в том, что это добавление к протоколу сканирования и исследования системы, так сказать данные для размышления.
Со списком служб всё замечательно. Для домашнего пользователя их вырубание обязательно ).

Олег, может можно сделать более расширенный поиск уязвимостей наподобие как это реализовано в ComputerSecurityTool?
Там есть 2 режима: базовый и продвинутый. В базовом все найденные уязвимости и недочёты делятся на 4 группы:
проблемы, связанные с общими вопросами безопасности OC; проблемы, связанные с защитой от проникновения вирусов и иных нежелательных программ через Интернет; проблемы настройки безопасности пользователя; проблемы по защите от возможного проникновения извне с целью использования вашего компьютера или информации, находящейся на нем (всего более 50 всевозможных ПУ).
В продвинутом режиме всё то же самое, только выводится одним списком, где всё отсортировано по степeни уязвимости, статусу и наименованию. Причём можно этот список редактировать (исключать поиск уязвимостей по выбору), а так же обзор списка (отображать только устранённые или неустранённые уязвимости).
Так же перед запуском скана прога спрашивает о наличии локальной сети и каким образом подключён инет.

Я думаю, что было бы неплохо в дальнейшем развитии ИПУ использовать такие принципы, имхо :)

Так же перед запуском скана прога спрашивает о наличии локальной сети и каким образом подключён инет.
Хотелось уточнить - не спрашивает, а определяет сама. Есть юзеры, которые на такие вопросы ответить не смогут.

Нужно проверять такую вещь как?
>> Открывать zip- файлы как обычные файлы

А то люди часто жмут на вложения прикреплённые к письмам вложения а не "сохранить как" . Или по архиву с вирусов.
И через java поток файлов http://virusinfo.info/showthread.php?t=5095&highlight=Feebs.h
regsvr32 /u zipfldr.dll.
И возвращаем regsvr32 zipfldr.dll.

И под учетки админа всё чисто , а из под пользователя.
Как такое может быть ? Win xp sp2 rus
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Win xp sp2 rus

И под учетки админа всё чисто , а из под пользователя.
Как такое может быть ? Win xp sp2 rus
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Win xp sp2 rus
пользователь может быть совершенно бесправным в плане доступа к реестру ... отсюда и такой диагноз

т. е. ничего страшного.
То что запрещено из под админа глобальнее.
А из под юзера считывуются только те данные до которых он может дотянутся.

При обновлении main027 поврежден?

А можно огласить скрипт возвращающий всё обратно.

Возможно уже обсуждалось...
На Vista службу Планировщика заданий отключить нельзя. Все кнопки в свойствах этой службы залочены по умолчанию. Может следует для Vista не отображать, что эта служба работает, т.к. выключить-то её всё равно нельзя?

Вот скрипт попробуй :


begin
SetServiceStart('Schedule', 4);
RebootWindows(true);
end.
С другoй стороны, кто же знает Била какие он туда операции засунул , может висте отключение шедуллера не понравиться, тогда заново включишь ;)

Обновление с локального зеркала возможно такое?

Обновление с локального зеркала возможно такое?

Читайте хелп по AVZ.

http://z-oleg.com/secur/avz_doc/script_executeavupdateex.htm

Привет всем, есть пару предложений:
Взять все пункты, кроме 3-го(нетбиос) из этой утилиты
http://www.firewallleaktester.com/wwdc.htm
upnp теоретически может повлиять на работу торрентов но у меня всё нормально.
Дальше - предлагаю сделать не просто отколючение, а полное удаление мессенджера из автозагрузки, служб и полное удаление файлов и папки.
Вот 4 разных программы для его удаления:
http://rapidshare.com/files/81236059/un_msg.rar.html

to незарег


Привет всем, есть пару предложений:
Взять все пункты, кроме 3-го(нетбиос) из этой утилиты
http://www.firewallleaktester.com/wwdc.htm
upnp теоретически может повлиять на работу торрентов но у меня всё нормально.
Дальше - предлагаю сделать не просто отколючение, а полное удаление мессенджера из автозагрузки, служб и полное удаление файлов и папки.
Вот 4 разных программы для его удаления:
http://rapidshare.com/files/81236059/un_msg.rar.html

Эх, вот бы здорово вместо rapidshare.com (http://rapidshare.com/files/81236059/un_msg.rar.html[/quote) хотя бы названия этих программ увидеть! :) - если они распростаняются, конечно.
Надеюсь, поезд ушел недалеко!