ИПУ в AVZ

Данная тема посвящена искателю потенциальных уязвимостей на ПК пользователей, которая реализована в AVZ (реализация находится в базе и менять ее можно хоть каждый день) - для обсуждения того, что стоит контролировать в ИПУ, что не стоит и т.п.
В настоящий момент примеврются:
1. Службы. На контроле состояние служб "Удаленный реестр", "Терминальный сервер", "Служба обнаружения UPNP", "[FONT=Courier][SIZE=2]Telnet[/SIZE][/FONT]", "Служба сообщений", "Планировщик". Отключение/включение служб вопрос весьма спорный ввиду того, что нет однозначности - для домашнего ПК справедливо одно, для ПК в корпоративной сети - другое. В случае обнаружения службы, на которую стоит обратить внимание выводится сообщение вида
[B]>>Службы: разрешена потенциально опасная служба ....[/B]
2. Автозапуск с CD (обработка autorun.inf). Проверяется состояние глобального флага, управляющего автозапуском с CD, сообщение имеет вид:
[B]>>Безопасность: разрешен автозапуск программ с CDROM[/B]
3. Админ-шары. По умолчанию они создаются, т.е. для каждого диска автоматом создается ресурс общего доступа с $ на хвосте (такие ресурсы не видны в проводнике, но видны в альтернативных программах типа сканеров сети). Если у пользователя несложный пароль или его нет, то через такой ресурс злоумышленник или вирус может получить полный доступ к диску. В ЛВС такие ресурсы могут применяться админом. Сообщение в случае обнаружения:
[B]>>Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)[/B]
4. Контроль сервиспаков и критических патчей. Пока в зачаточном состоянии, но естественно будет развиваться. Проверяет ситуации типа XP без SP2. Сообщения имеют вид:
[B]>>Система: Возможно не установлен последний ServicePack для ... (текущий - ...)[/B]
5. Подключения анонимных пользователей. По умолчанию разршено, т.е. не имея прав на доступ к ресурсам ПК можно кое что о нем узнать. Это не опасно, не и хорошего мало. Сообщение:
[B]>> Безопасность: к ПК разрешен доступ анонимного пользователя[/B]
6. Контроль настроек IE. проверяется ряд настроек, связанных с исполнением ActiveX, IFrame. Настройки IE как известно хранятся в реестре, следовательно исправить их несложно. Сообщение имеет вид:
[B]>>> Безопасность: В IE разрешен ....[/B]
7. Проверка, разрешены ли терминальные к ПК. Определеяется как совокупность из того, что запущена одноименная служба и в настройке разрешены подключения (можно изменить вручную - птичка в свойствах ПК, закладка "Дистанционное управление рабочим столом" ). Для домашнего ПК совершенно не требуется. формат сообщения:
[B]>>Безопасность: Разрешены терминальные подключения к данному ПК[/B]
8. Проверка, разрешена ли отправка приглашений удаленному помошнику. Если таковая система не применяется, то разумно ее отключить от греха. Вид сообщения:
[B]>>Безопасность: Разрешена отправка приглашений удаленному помошнику[/B]
9. Контроль того, разрешен ли автоматический вход в систему (т.е. без ввода логина и пароля при входе). Опасность автоматического входа - любой желающий может включтьь ПК и получить к нему доступ, актуально для ноутбуков и ПК в корпоративной сети. Формат сообщения:
[B]>>Безопасность: разрешен автоматический вход в систему[/B]
-------------
Итак - ваши предложения, что нужно-ненужно контролировать из этого списка, какие проверки слудет добавить ? Как легко заметить, суть ИПУ в том, что это добавление к протоколу сканирования и исследования системы, так сказать данные для размышления.

Как-то это все под ХР заточено. А как быть с 2000?

[quote=PavelA;130669]Как-то это все под ХР заточено. А как быть с 2000?[/quote]
Примерно половина перечисленного актуальна на W2K, просто по статистике его уже почти нет нигде - у нас в сети к примеру осталось штук 5 ПК под ним. Но опять-же - если есть предложение по тому, что стоит проверять в 2K (где и как, достаточно общего направления) - и я добавлю такой контроль

По первому пункту у меня есть встречное предложение : сделать типа шаблонов templates ( одни шаблоны для домашнего компьютера- где- эти сервисы желательно отключить, другие шаблоны для рабочего компьютера.В любом случае пользователь должен выбирать, нужна ли ему та или иная служба/опция или нет. Также, будет полезно сделать опцию включения той или иной опции/службы/ сервиса. Даже если ошибётся, можно легко вернуть с помощью AVZ.

[QUOTE='Зайцев Олег;130660']Итак - ваши предложения, что нужно-ненужно контролировать из этого списка, какие проверки слудет добавить ?[/QUOTE]
Я бы добавил проверку на включение FireWall (но только любого FireWall, а не именно виндового). Ну и контроль открытых портов. Вот только как проверить, что FireWall закрывает порты - непонятно. Ибо для доступа по локальке (и с самого компа) могут в вообще все порты открыт (и это нормально).
Ещё проверял бы доступность запуска по DCOM, впрочем это упирается в те же порты...

[QUOTE='Зайцев Олег;130670']Примерно половина перечисленного актуальна на W2K, просто по статистике его уже почти нет нигде - у нас в сети к примеру осталось штук 5 ПК под ним.[/QUOTE]
У нас 235 офисов - хватает и ХР, и 2000, и ХР Home.
Именно поэтому вопрос и задал.
О том, что надо проверять, подумаю.

а avz может проверять, есть у пользователя пароль на учетку администратор или нет?

[quote=Зайцев Олег;130670]...W2K, просто по статистике его уже почти нет нигде ... если есть предложение по тому, что стоит проверять в 2K (где и как, достаточно общего направления) - и я добавлю такой контроль[/quote]

У нас стоит на работе 2000, у знакомых тоже, многие разработчики также, как мне известно, до сих пор под ним сидят, если клиент не перешёл на XP или если ОС не столь важна (особенно, если требуется легальный софт).
Машины со слабой графикой, что я видел, почти все под Win2000.

Насчёт проверок - я использую Belarc Advisor (аудит компьютера) [url]http://www.belarc.com/[/url] - там базовый набор проверок есть...

[quote=Ego1st;130718]а avz может проверять, есть у пользователя пароль на учетку администратор или нет?[/quote]
На данный момент к сожалению нет. Шаманский путь проверки есть, но он дюже шаманский и хакерский. Если удастся найти простой метод проверки - я его тут-же реализую

Олег, спасибо за объяснения, но скорее будет интересно не объяснение что значит та или иная уязвимость, а способы их устранения (с описанием куда и как зайти и что исправить). По каждому пункту, напрмер я не представляю как отрубить например это
>> Безопасность: к ПК разрешен доступ анонимного пользователя

[B]Surfer[/B], в AVZ: файл-стандартные скрипты-скрипт 2. В сформированном лог-файле будут инструменты устранения уязвимости. Если в чем-то сомневаетесь, можете создать тему в "Помогите". Хелперы вам помогут.

[QUOTE='Nick222;130728']Насчёт проверок - я использую Belarc Advisor (аудит компьютера)[/QUOTE]
Belarc делает немного не то - он просто проводит аудит, какие апдейты есть и каких нет ...

[QUOTE]> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
[/QUOTE][B]Зайцев Олег[/B], +1! :)

[QUOTE='Зайцев Олег;130752']Belarc делает немного не то - он просто проводит аудит, какие апдейты есть и каких нет ...[/QUOTE]Может и AVZ научить делать тоже самое? Составить список критических патчей и проверять их наличие\отсутствие.

[quote=Maxim;130762]Может и AVZ научить делать тоже самое? Составить список критических патчей и проверять их наличие\отсутствие.[/quote]
Можно конечно. Но только проверять, без путей закачки ... Belarc Advisor могут нарваться и прекратить существование, так как судя по новостям MS заняли агрессивную политику против альтернатив их автоапдейту.

[QUOTE='Зайцев Олег;130765']Можно конечно. Но только проверять, без путей закачки ...[/QUOTE]Ок. Сделайте так.
[QUOTE='Зайцев Олег;130765']Belarc Advisor могут нарваться и прекратить существование, так как судя по новостям MS заняли агрессивную политику против альтернатив их автоапдейту.[/QUOTE]Борьба с пиратами...

Олег еще вопросик, можноли ИПУ как отдельную кнопку забабахать..
например в сервисах -> и назвать менеджер потенциально уязвимых мест.. и там уже фиксить что найдено..

[QUOTE='Ego1st;130782']Олег еще вопросик, можноли ИПУ как отдельную кнопку забабахать..
например в сервисах -> и назвать менеджер потенциально уязвимых мест.. и там уже фиксить что найдено..[/QUOTE]
Уже обсуждали. Это сделано специально.

хм можно ссылочку, а то мну давно небыло уже и не знаю где искать..

По чаще бывать надо!
[url]http://virusinfo.info/showpost.php?p=130439&postcount=32[/url]

ИПУ выдает:Безопасность: разрешен автозапуск программ с CDROM
Но у меня в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
ключ NoDriveTypeAutoRun со значением FF (отключен любой автозапуск)

Если запускать AVZ из под пользователя, то выдается новая вводная:
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Ни то ни другое у меня не разрешено.

как пофиксить..

[QUOTE] Безопасность: разрешен автозапуск программ с CDROM[/QUOTE]

нужно ли убирать
Безопасность: разрешен автоматический вход в систему

>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

у меня обычная LAN через VPN (100 мегабит типо)

[QUOTE='mayas;130816']как пофиксить..[/QUOTE]
[url]http://virusinfo.info/showpost.php?p=130748&postcount=11[/url]
Читайте внимательнее.

Проверять надо бы: * Не отключён ли Диспетчер Задач * Не отключён ли доступ в реестр * Не отключён ли показ скрытых и системных папок и файлов * Не работает ли юзер во время лечения с правами простого пользователя. (Есть уже такие зловреды, которые буквально ВСЕ админ права отнимают!

[QUOTE=p2u;130929]Проверять надо бы: * Не отключён ли Диспетчер Задач * Не отключён ли доступ в реестр * Не отключён ли показ скрытых и системных папок и файлов * Не работает ли юзер во время лечения с правами простого пользователя. (Есть уже такие зловреды, которые буквально ВСЕ админ права отнимают![/QUOTE]

Паул, уже реализовано все, кроме третьего пункта. :)

[quote=p2u;130929]Проверять надо бы: * Не отключён ли Диспетчер Задач * Не отключён ли доступ в реестр * Не отключён ли показ скрытых и системных папок и файлов * Не работает ли юзер во время лечения с правами простого пользователя. (Есть уже такие зловреды, которые буквально ВСЕ админ права отнимают![/quote]
А это не потенциальная уязвимость - это результат действия зловреда. Это проверяется в эвритической проверке системы - там как минимум есть контроль:
1. Скрытой загрузки (через Policies, [SIZE=2]Services Controller, [SIZE=2]AppInit_DLLs)[/SIZE][/SIZE]
[SIZE=2][SIZE=2]2. Блокировка диспетчера задач[/SIZE][/SIZE]
[SIZE=2][SIZE=2]3. Подмена диспетчера задач[/SIZE][/SIZE]
[SIZE=2][SIZE=2]4. Модификация ассоциаций для файлоы EXE, DLL, PIF, CMD, SCR[/SIZE][/SIZE]
[SIZE=2][SIZE=2]5. Префиксы протоколов в IE[/SIZE][/SIZE]
[SIZE=2][SIZE=2]6. Отладчики системных процессов[/SIZE][/SIZE]
[SIZE=2][SIZE=2]7. autorun.inf на жестких дисках и флешках[/SIZE][/SIZE]
[SIZE=2][SIZE=2]8. Блокировка редактора реестра
[/SIZE][/SIZE]
Не проверяются пока:
1. Отбор прав
2. Пустые пароли. Этот контроль мы обсуждали, метод есть - но как я говорил выше - он хакерский, и применять его не очень хочется

Олег, кстати, состояние служб проверяется по единственному значению ключа? Служба может стоять на Вручную и тем не менее не работать. Что выводится, если ключ не найден? Я еще не проверял, но мне кажется, что у меня опять будут сообщения о разрешенных службах Alerter, Messenger и т.п., хотя они у меня просто не существуют.

[quote=NickGolovko;130934]Олег, кстати, состояние служб проверяется по единственному значению ключа? Служба может стоять на Вручную и тем не менее не работать. Что выводится, если ключ не найден? Я еще не проверял, но мне кажется, что у меня опять будут сообщения о разрешенных службах Alerter, Messenger и т.п., хотя они у меня просто не существуют.[/quote]
Если ключа нет - считается, что и службы нет. Проверка идет по состоянию (авто или вручную, причем для одних служб "вручную" считается нормой, для других - алерт)

Спасибо, осталось проверить самому. :)

Эмм, пофиксил я тут уязвимости...
:)

Во вложении результат, залогинивания меня (администратор) не происходит теперь вообще :) Хотя всё работает как обычно.

Проверьте все у себя :)

Up чтоли :)
Вот ещё нашёл для ИПУ, может будет интересно добавить.
Хотел перехватить RegMon'ом какие ключи она меняет, но лень :))

[img]http://img59.imageshack.us/img59/9694/lansafety100sdfsrk7.jpg[/img]

[url]http://lantricks.com/download/lansafety_setup.exe[/url]

[QUOTE=Maxim;130762]Может и AVZ научить делать тоже самое? Составить список критических патчей и проверять их наличие\отсутствие.[/QUOTE]

Согласен нужная фича!

[QUOTE=Зайцев Олег;130765]Можно конечно. Но только проверять, без путей закачки ... Belarc Advisor могут нарваться и прекратить существование, так как судя по новостям MS заняли агрессивную политику против альтернатив их автоапдейту.[/QUOTE]

Вполне согласен достаточно думаю будет чтоб указывалось имя обновления, а где его скачать думаю пользователи и сами найдут... что бы там не решила MS все равно эти обновления будут в сети! А Google всем помогут их найти ;)

[QUOTE='Jolly Rojer;131314']Согласен нужная фича![/QUOTE]
Да, нужно.
А если Олег встроит сканер портов, то получим xSpider. :)

Что тоже порой не обходимо... а тут все в одном флаконе!

[quote=ALEX(XX);131315]Да, нужно.
А если Олег встроит сканер портов, то получим xSpider. :)[/quote]
У меня кстати есть десяток сканеров - я студентов на практике заставляю писать разные интеллектуальные сканеры портов, это мое любимое развлечение :) На самом деле я хочу не сканер в ИПУ запихать, а сниффер - чтобы спамботы ловить эвристикой. Действующий прототип уже есть

[QUOTE='Зайцев Олег;131356']На самом деле я хочу не сканер в ИПУ запихать, а сниффер - чтобы спамботы ловить эвристикой[/QUOTE]
Класс!

Отлично,будет утилита, почти на все случаи жизни :)
спс тебе Олег.

Прошу добавить остановку и отключение следующих сервисов, только лишние дырки.
[code]O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe[/code]

[quote=drongo;131705]Прошу добавить остановку и отключение следующих сервисов, только лишние дырки.
[code]O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe[/code][/quote]
Добавил, после обеда выйдет апдейт с доработанным ИПУ

[QUOTE]По чаще бывать надо!
[url]http://virusinfo.info/showpost.php?p...9&postcount=32[/url][/QUOTE]

хм страно, непонятно почему.. с AVz особо рьяный пользователь и без ипу снести систему сможет так что ее потом хрен поднимешь..

а тут можно так например сделать, отдельный менеджер проводит сканирование, говорит потенциально уязвимые места, отмечаешь их галочкой, фиксишь и при следующем сканировании например они помечены уже галочкой и если снять галки можно все вернуть..
т.е. стандартный набор правил который можно дополнять..

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

[QUOTE]2. Пустые пароли. Этот контроль мы обсуждали, метод есть - но как я говорил выше - он хакерский, и применять его не очень хочется[/QUOTE]

я понимаю все уже продумано до меня, но разве нельзя например просто создать файл и попытаться запустить его с правами администратора и т.д. и просто отследите это.. что в этом хакерского?