Printable View
ИПУ выдает:Безопасность: разрешен автозапуск программ с CDROM
Но у меня в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
ключ NoDriveTypeAutoRun со значением FF (отключен любой автозапуск)
Если запускать AVZ из под пользователя, то выдается новая вводная:
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Ни то ни другое у меня не разрешено.
как пофиксить..
[QUOTE] Безопасность: разрешен автозапуск программ с CDROM[/QUOTE]
нужно ли убирать
Безопасность: разрешен автоматический вход в систему
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
у меня обычная LAN через VPN (100 мегабит типо)
[QUOTE='mayas;130816']как пофиксить..[/QUOTE]
[url]http://virusinfo.info/showpost.php?p=130748&postcount=11[/url]
Читайте внимательнее.
Проверять надо бы: * Не отключён ли Диспетчер Задач * Не отключён ли доступ в реестр * Не отключён ли показ скрытых и системных папок и файлов * Не работает ли юзер во время лечения с правами простого пользователя. (Есть уже такие зловреды, которые буквально ВСЕ админ права отнимают!
[QUOTE=p2u;130929]Проверять надо бы: * Не отключён ли Диспетчер Задач * Не отключён ли доступ в реестр * Не отключён ли показ скрытых и системных папок и файлов * Не работает ли юзер во время лечения с правами простого пользователя. (Есть уже такие зловреды, которые буквально ВСЕ админ права отнимают![/QUOTE]
Паул, уже реализовано все, кроме третьего пункта. :)
[quote=p2u;130929]Проверять надо бы: * Не отключён ли Диспетчер Задач * Не отключён ли доступ в реестр * Не отключён ли показ скрытых и системных папок и файлов * Не работает ли юзер во время лечения с правами простого пользователя. (Есть уже такие зловреды, которые буквально ВСЕ админ права отнимают![/quote]
А это не потенциальная уязвимость - это результат действия зловреда. Это проверяется в эвритической проверке системы - там как минимум есть контроль:
1. Скрытой загрузки (через Policies, [SIZE=2]Services Controller, [SIZE=2]AppInit_DLLs)[/SIZE][/SIZE]
[SIZE=2][SIZE=2]2. Блокировка диспетчера задач[/SIZE][/SIZE]
[SIZE=2][SIZE=2]3. Подмена диспетчера задач[/SIZE][/SIZE]
[SIZE=2][SIZE=2]4. Модификация ассоциаций для файлоы EXE, DLL, PIF, CMD, SCR[/SIZE][/SIZE]
[SIZE=2][SIZE=2]5. Префиксы протоколов в IE[/SIZE][/SIZE]
[SIZE=2][SIZE=2]6. Отладчики системных процессов[/SIZE][/SIZE]
[SIZE=2][SIZE=2]7. autorun.inf на жестких дисках и флешках[/SIZE][/SIZE]
[SIZE=2][SIZE=2]8. Блокировка редактора реестра
[/SIZE][/SIZE]
Не проверяются пока:
1. Отбор прав
2. Пустые пароли. Этот контроль мы обсуждали, метод есть - но как я говорил выше - он хакерский, и применять его не очень хочется
Олег, кстати, состояние служб проверяется по единственному значению ключа? Служба может стоять на Вручную и тем не менее не работать. Что выводится, если ключ не найден? Я еще не проверял, но мне кажется, что у меня опять будут сообщения о разрешенных службах Alerter, Messenger и т.п., хотя они у меня просто не существуют.
[quote=NickGolovko;130934]Олег, кстати, состояние служб проверяется по единственному значению ключа? Служба может стоять на Вручную и тем не менее не работать. Что выводится, если ключ не найден? Я еще не проверял, но мне кажется, что у меня опять будут сообщения о разрешенных службах Alerter, Messenger и т.п., хотя они у меня просто не существуют.[/quote]
Если ключа нет - считается, что и службы нет. Проверка идет по состоянию (авто или вручную, причем для одних служб "вручную" считается нормой, для других - алерт)
Спасибо, осталось проверить самому. :)
Эмм, пофиксил я тут уязвимости...
:)
Во вложении результат, залогинивания меня (администратор) не происходит теперь вообще :) Хотя всё работает как обычно.
Проверьте все у себя :)
Up чтоли :)
Вот ещё нашёл для ИПУ, может будет интересно добавить.
Хотел перехватить RegMon'ом какие ключи она меняет, но лень :))
[img]http://img59.imageshack.us/img59/9694/lansafety100sdfsrk7.jpg[/img]
[url]http://lantricks.com/download/lansafety_setup.exe[/url]
[QUOTE=Maxim;130762]Может и AVZ научить делать тоже самое? Составить список критических патчей и проверять их наличие\отсутствие.[/QUOTE]
Согласен нужная фича!
[QUOTE=Зайцев Олег;130765]Можно конечно. Но только проверять, без путей закачки ... Belarc Advisor могут нарваться и прекратить существование, так как судя по новостям MS заняли агрессивную политику против альтернатив их автоапдейту.[/QUOTE]
Вполне согласен достаточно думаю будет чтоб указывалось имя обновления, а где его скачать думаю пользователи и сами найдут... что бы там не решила MS все равно эти обновления будут в сети! А Google всем помогут их найти ;)
[QUOTE='Jolly Rojer;131314']Согласен нужная фича![/QUOTE]
Да, нужно.
А если Олег встроит сканер портов, то получим xSpider. :)
Что тоже порой не обходимо... а тут все в одном флаконе!
[quote=ALEX(XX);131315]Да, нужно.
А если Олег встроит сканер портов, то получим xSpider. :)[/quote]
У меня кстати есть десяток сканеров - я студентов на практике заставляю писать разные интеллектуальные сканеры портов, это мое любимое развлечение :) На самом деле я хочу не сканер в ИПУ запихать, а сниффер - чтобы спамботы ловить эвристикой. Действующий прототип уже есть
[QUOTE='Зайцев Олег;131356']На самом деле я хочу не сканер в ИПУ запихать, а сниффер - чтобы спамботы ловить эвристикой[/QUOTE]
Класс!
Отлично,будет утилита, почти на все случаи жизни :)
спс тебе Олег.
Прошу добавить остановку и отключение следующих сервисов, только лишние дырки.
[code]O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe[/code]
[quote=drongo;131705]Прошу добавить остановку и отключение следующих сервисов, только лишние дырки.
[code]O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe[/code][/quote]
Добавил, после обеда выйдет апдейт с доработанным ИПУ
[QUOTE]По чаще бывать надо!
[url]http://virusinfo.info/showpost.php?p...9&postcount=32[/url][/QUOTE]
хм страно, непонятно почему.. с AVz особо рьяный пользователь и без ипу снести систему сможет так что ее потом хрен поднимешь..
а тут можно так например сделать, отдельный менеджер проводит сканирование, говорит потенциально уязвимые места, отмечаешь их галочкой, фиксишь и при следующем сканировании например они помечены уже галочкой и если снять галки можно все вернуть..
т.е. стандартный набор правил который можно дополнять..
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
[QUOTE]2. Пустые пароли. Этот контроль мы обсуждали, метод есть - но как я говорил выше - он хакерский, и применять его не очень хочется[/QUOTE]
я понимаю все уже продумано до меня, но разве нельзя например просто создать файл и попытаться запустить его с правами администратора и т.д. и просто отследите это.. что в этом хакерского?