Аудит безопасности

Printable View

28.05.2010, 05:00
serpuh

Аудит безопасности

indows XP SP3+NOD32+все обновления.Все лазейки из сети отключены(так думаю).
Тип события: Аудит успехов
Источник события: Security
Категория события: Изменение политики
Код события: 848
Дата: 27.05.2010
Время: 22:52:03
Пользователь: NT AUTHORITY\SYSTEM
Компьютер:
Описание:
Следующая политика была активна при запуске брандмауэра Windows.

Примененная групповая политика: Нет
Используемый профиль: Обычный
Интерфейс: Все интерфейсы
Рабочий режим: Вкл
Службы
Общий доступ к файлам и принтерам: Отключено
Удаленный рабочий стол: Отключено
UPnP-инфраструктура: Отключено
Разрешать удаленных администраторов: Отключено
Разрешать ответы для многоадресного и широковещательного трафика: Отключено
Ведение журнала безопасности:
Записывать отброшенные пакеты: Отключено
Записывать успешные подключения: Отключено
ICMP:
Разрешать запрос входящего эха: Отключено
Разрешать запрос входящего штампа времени: Отключено
Разрешать запрос входящей маски: Отключено
Разрешать запрос входящего маршрутизатора: Отключено
Разрешать сообщение "Исходящее назначение недоступно": Отключено
Разрешать снижение скорости источника исходящих сообщений: Отключено
Разрешать сообщение "Проблема исходящего параметра": Отключено
Разрешать превышение исходящего времени: Отключено
Разрешать перенаправление: Отключено
Разрешать сообщение "Исходящий пакет слишком велик": Отключено

Все лишние программы деинсталированы с доп.очисткой.

Администрирование>просмотр событий>безопасность>аудит отслеживание процессов.

Тип события: Аудит отказов
Источник события: Security
Категория события: Подробное отслеживание
Код события: 861
Дата: 28.05.2010
Время: 0:57:49
Пользователь: NT AUTHORITY\NETWORK SERVICE
Компьютер:
Описание:
Брандмауэр Windows обнаружил приложение, прослушивающее входящий трафик.

Имя: -
Путь: C:6\WINDOWS\system32\svchost.exe
Код процесса: 896
Учетная запись пользователя: NETWORK SERVICE
Домен пользователя: NT AUTHORITY
Служба: Да
RPC-сервер: Нет
IP-версия: IPv4
IP-протокол: UDP
Номер порта: 62032
Разрешено: Нет
Пользователь извещен: Нет

Номера портов от 40000 и до отказа.Сериями от одного до нескольких десятков.Периодичность от нескольких секунд до десятков минут.Активность компа не влияет.AVZ даёт перечень модулей процесса,но все 32 признаны(им же,т.е. AVZ) безопасными.HiJack процесс обрывает и даже не видит(встроенный в винд обрывает,но видит).Поймать его вручную не выходит.Сканирование компа на разную заразу ничего не показывает.В сети ничего не нашёл.На Virusinfo есть вялое утверждение,что мол так и должно быть,но без оьъяснений КТО и ЧТО слушает.На мой взгляд это и есть главный вопрос,который присутствует в сети без внятных объяснений.
Если можно,полный и ясный расклад ситуации.
30.05.2010, 00:41
NRA

ИМО тема не совсем там - нужнее в "пАмАгИтЕ!", но если вкратце:

1) Admin?
2) встроенный фаер - только от входящих и легко обходится всем кому не очень лень: нужет железный рутер или хотя бы независимый фаервол или
3) а чем-то типа Radmin никто не балуется?
4) что во время активности показывает [B]netstat -a -b[/B]
5) в случае сомнений [B]sfc /scannow[/B] + install CD данной OS
02.06.2010, 01:17
serpuh

Почему пропадает авторизация до отправления ответа???

[size="1"][color="#666686"][B][I]Добавлено через 28 минут[/I][/B][/color][/size]

[QUOTE=NRA;646115]ИМО тема не совсем там - нужнее в "пАмАгИтЕ!", но если вкратце:

1) Admin?
2) встроенный фаер - только от входящих и легко обходится всем кому не очень лень: нужет железный рутер или хотя бы независимый фаервол или
3) а чем-то типа Radmin никто не балуется?
4) что во время активности показывает [B]netstat -a -b[/B]
5) в случае сомнений [B]sfc /scannow[/B] + install CD данной OS[/QUOTE]

1)Иначе аудит безопасности НЕдоступен.
2)Если встроенный всё фиксирует и не пускает в сеть,зачем усложнять?
3)???
4)Время активности(см.выше),а в остальное время этих портов нет.
5)А какой в этом смысл?Эта операция никак не влияет на файлы добавленные в процессе обновлений Windows,инсталяций и т.п.
В этом и есть мой главный вопрос,[B]КТО и ЧТО[/B] может слушать эти порты,хотя бы теоретически.В процессе обновлений Windows появляются всякие [B]"агенты безопасности"?,[/B]но механизм их работы не прилагается.Если честно,я и не заморачивался на анализе этих обновлений,а похоже зря.С другой стороны такой анализ требует знаний на уровне программиста,что для среднестатистического пользователя тема полностью тёмная и исследованию не подлежит.Учитывая,что чудес в компе не бывает,вирусов нет,напрашивается определённый вывод.К тому же периодически нахожу много временных файлов с адресом "[email protected]"?,значение которых я так же не установил.
02.06.2010, 11:47
NRA

1) RunAS, SuRun, MakeMeAdmin...
2) фиксирует не "всё", а только то, что [U]легально[/U] просится
4) [B]netstat /?[/B] и выбираем интересующую информацию о портах (хотя можно и APS, и AVZ, и другой спецсофт)
5) методом исключения можно найти виновного (если после проверки ситуация осталась, то проблема именно в "обновлении")

Кстати, обычно все лишние (не используемые) группы и пользаветели сразу удаляются.
03.06.2010, 11:14
serpuh

1)[FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]RunAS[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2] хорош,когда всё стабильно и нет нужды в правах.Однако для многих программ и манипуляций на компе это не совсем так и постоянное клацанье на вкладках заметно напрягает.
2)Возможно,т.к. вникать в алгоритмы программ как-то не входило в мои планы.Уверен,99% пользователей любую программу используют как [/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]"[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]чёрный ящик[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]"-[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]зная,что есть ДО и надеясь получить обещанный результат после,ну,может немного в настройках подкрутить.Практически не видел описаний компонент [/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]Windows [/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]с целью самостоятельно разобраться как оно работает(в отличие от [/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]Linux[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2],но там свои проблемы).Да,хотелось бы знать [/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]Wind [/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]поглубже,но,как я понимаю,это не входит в планы [/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]MS[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2],да и тех кто её знает не по форумам.Надо добавить,что процесс углубления в [/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]Wind [/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]занимает всё свободное время в поиске достоверной информации,а не бездны левых советов,ну,хотя бы на тему настройки служб,прав пользователя и т.п.,вместо ясного и глубокого описания алгоритма данных компонент.Что собственно происходит и с аудитом,информации много,но нет однозначного ясного ответа.[/SIZE][/FONT][/SIZE][/FONT]
[FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]
Вот работа АР[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]S:[/SIZE][/FONT][/SIZE][/FONT]
[FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]
[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]Тип события: Аудит отказов
Источник события: Security
Категория события: Подробное отслеживание
Код события: 861
Дата: 03.06.2010
Время: 8:47:56
Пользователь: [/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]xxxxxxxxxxx
[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]Компьютер:[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]xxxxxxxxxxx
[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]Описание:
Брандмауэр Windows обнаружил приложение, прослушивающее входящий трафик.

Имя: aps
Путь: E:\ПО\APS\aps\aps\aps.exe
Код процесса: 1504
Учетная запись пользователя:
Домен пользователя:
Служба: Нет
RPC-сервер: Нет
IP-версия: IPv4
IP-протокол: UDP
Номер порта: 50829
Разрешено: Нет
Пользователь извещен: Нет

А вот,что я пытаюсь выяснить[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]:[/SIZE][/FONT][/SIZE][/FONT]
[FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]
[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]Тип события: Аудит отказов
Источник события: Security
Категория события: Подробное отслеживание
Код события: 861
Дата: 03.06.2010
Время: 9:43:10
Пользователь: NT AUTHORITY\NETWORK SERVICE
Компьютер:[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]xxxxxxxxxxx
[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]Описание:
Брандмауэр Windows обнаружил приложение, прослушивающее входящий трафик.

Имя: -
Путь: C:6\WINDOWS\system32\svchost.exe
Код процесса: 924
Учетная запись пользователя: NETWORK SERVICE
Домен пользователя: NT AUTHORITY
Служба: Да
RPC-сервер: Нет
IP-версия: IPv4
IP-протокол: UDP
Номер порта: 51814
Разрешено: Нет
Пользователь извещен: Нет

Вот не вижу я НИКАКОЙ полезной информации в этих сообщениях.

[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]ProcX,AVZ,HiJack [/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]аналогично[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]![/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]Методом тыка(т.к. пока не нашёл даже примерной оценки этого события) обнаружил,что этот процесс анализирует все[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]?([/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]по крайней мере те процессы,которые могут его фиксировать) и не проявляет активности,когда они активны.Поэтому указанные программы[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2] [/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]по моему разумению бесполезны в данном случае.Других вариантов не знаю,т.к. не понимаю происходящего.Замена встроенного брандмауэра не ответит на вопрос[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2] "[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]кто стучится в дверь моя[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]"[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2].Да и переставить [/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]Wind [/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]мне много проще,но хочется понять каких ещё сюрпризов можно получить от [/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]Wind&MS[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2].
4)[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]netstat [/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]ничуть не эффективнее в данном случае.Процесс обрывается и [/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]netstat [/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]выдаёт информацию о всём,что не относится к уже оконченному процессу.
Чтобы было понятнее такой пример.Запускаю [/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]AVZ [/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]или [/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]HiJack [/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]и пока они активны ничего не происходит![/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]?[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]Можно было бы выкладывать сюда логи ,но там ничего НЕТ!Надеюсь по понятным причинам.
5)Чтобы что-то исключать,нужна хоть какая-то зацепка.У меня её нет.И как говорил один персонаж[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]:"[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]Меня терзают смутные подозрения...[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]"
[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]И об обновлениях.Там происходит НЕЧТО.После них я убираю много чего,в том числе и в правах пользователя и в локальной безопасности.Дело доходило до создания локального пользователя [/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]ASPNET [/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]и размещением на странице входа локальных пользователей.Я этот юмор не просёк и удалил нафиг,а службу отключил.После сего действа обновления вообще не беспокоят.Пытался понять связь,тщетно.По крайней мере из описаний [/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]ASPNET [/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]это не прослеживается.Локальных пользователей двое и админ под паролями,остальные давно удалены.
[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2][/SIZE][/FONT][/SIZE][/FONT][FONT=Arial CYR][SIZE=2][FONT=Arial CYR][SIZE=2]Какие есть соображения[/SIZE][/FONT][/SIZE][/FONT][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]?
[/SIZE][/FONT][/SIZE][/FONT]