Обсуждение книги " Безопасный Интернет. Возможно ли это?"

[Vadim Sterkin]

Это никто не утверждал. Они сейчас узнали то, что андерграунду уже давно известно.

Да, я некорректно сформулировал свою фразу, так что такой ответ ожидал Может и давно известно, и использовалось в каких-то целях, но массово эту уязвимость никто не проэксплуатировал.

Так или иначе, я считаю, что уязвимость нужно устранять по факту обнаружения, а не по факту появления эксплойтов. И оправдываться за МС я не собираюсь, тем более, что я эту компанию не представляю

Про кэш Windows я в этот раз не буду. Достаточно сообщить, что он у меня чистится после каждого сеанса. Выход из Windows поэтому длится одну минуту дольше, чем обычно, но я считаю, что это того стоит.

А что за кэш Windows такой? Речь о ClearPageFileAtShutdown?

[XP user]

А что за кэш Windows такой? Речь о ClearPageFileAtShutdown?

Этот параметр на '1' = очистить кэш, да.

Paul

[Vadim Sterkin]

Надо, но в первую очередь производителей самого продукта. Но что делать, если порядок там такой:

Конечно, в первую очередь нужно сообщать производителю. Я понимаю, что сообщения об уязвимостях со стороны могут быть легко проигнорированы корпорацией... И этот факт очень отталкивает. Возможно, нужно искать людей, которые хотя и со стороны, но чье мнение просто так проигнорировать не могут. Например, обратиться к MVP Windows Security (Consumer или Enterprise, в зависимости от проблемы). Список MVP можно найти здесь. MVP нередко имеют прямой выход на продуктовые группы или могут его найти. Это не панацея, впрочем, поскольку МС не обязана отчитываться перед MVP. Однако к мнению признанных ей же экспертов корпорация скорее прислушиватся, чем к людям со стороны.

Про кэш Windows я в этот раз не буду. Достаточно сообщить, что он у меня чистится после каждого сеанса. Выход из Windows поэтому длится одну минуту дольше, чем обычно, но я считаю, что это того стоит.

Одну минуту или нет, зависит, видимо, от размера файла подкачки. Насколько я знаю, ClearPageFileAtShutdown очищает содержимое файла подкачки не при завершении сеанса, а при завершении работы Windows, т.е. фактически при выключении компьютера или перезагрузке. К безопасности Windows эта процедура имеет весьма косвенное отношение. Если у злоумышленника есть физический доступ к компьютеру, то он уже сильно скомпрометирован, хотя содержимое файла подкачки враг не получит Если же физического доступа нет, то остается вариант с дистанционным взломом выключенного компьютера. Честно говоря, я не знаю, как это делается, но не исключаю, что это возможно. В вашей домашней сети такая возможность тоже не исключена, видимо?

[XP user]

Насколько я знаю, ClearPageFileAtShutdown очищает содержимое файла подкачки не при завершении сеанса, а при завершении работы Windows, т.е. фактически при выключении компьютера или перезагрузке.

Ну да, у меня так и получается, так как запрещено переходить с одного профиля к другому.

хотя содержимое файла подкачки враг не получит

С помощью легкодоступных инструментов *можно* отыскать важные данные; единственное условие - выйти из самой Windows.

Paul

[Vadim Sterkin]

Гм... я понимаю, что у вас запрещено быстрое переключение между пользователями, но выход из сеанса (log off) у вас же должен быть. Или вы перезагружаетесь каждый раз, когда нужно войти с другими учетными данными?

Насчет важных данных не очень понял. Если есть физический доступ, то получение важных данных, скорее всего, вопрос времени.

В общем я считаю, что твик с отключением файла подкачки имеет смысл в очень ограниченном количестве сценариев. А среднему домашнему пользователю он нужен меньше всего, ибо давая неочевидные преимущества в безопасности, замедляет выключение компьютера.

[XP user]

Гм... я понимаю, что у вас запрещено быстрое переключение между пользователями, но выход из сеанса (log off) у вас же должен быть. Или вы перезагружаетесь каждый раз, когда нужно войти с другими учетными данными?

Log Off тоже убрал. Я перезагружаюсь, когда надо администрировать.

Насчет важных данных не очень понял. Если есть физический доступ, то получение важных данных, скорее всего, вопрос времени.

Вопрос много времени, угу.

В общем я считаю, что твик с отключением файла подкачки имеет смысл в очень ограниченном количестве сценариев. А среднему домашнему пользователю он нужен меньше всего, ибо давая неочевидные преимущества в безопасности, замедляет выключение компьютера.

Это относится ко многим твикам. Даже если вероятность эскплойта 0.01 % - если я знаю твик, я буду его применять; профессиональная деформация видимо. Кличка у меня среди знакомых - 'Нострадамус'. Ещё 5 лет назад никто не верил, что можно через безобидные яваскрипты в браузере заражать систему. Теперь знают.
P.S.: Компьютер сам выключается - я выключаю комп как все. Одна минута не так уж много замедления. Только первый раз может длиться дольше из-за большого объёма кэша.

Paul

[rhsyrby]

Уважаемые эксперты!

При применении WWDC, а именно при отключении NetBios и перезагрузке пропадает сеть. Нашёл, что от NetBios зависит DHCP, а без него у меня сети нет. Если отключать DHCP в службах - сеть пропадает мнгновенно, в трее - "частичное подключение" Ethernet-адаптера, поиск сетевого МАС-адреса. Пришлось NetBios вернуть назад, порты UDP 137, 138 открыты, TCP 139 - открыт и ожидает соединения. Что можно сделать в моём случае?

Windows XP SP3, подключение - минипорт WAN(PPPoE), Eset SmartSecurity 3.0.672

[XP user]

При применении WWDC, а именно при отключении NetBios и перезагрузки пропадает сеть. Нашёл, что от NetBios зависит DHCP, а без него сети нет. Если отключать DHCP в службах - сеть пропадает мнгновенно, в трее - "частичное подключение" Ethernet-адаптера, поиск сетевого МАС-адреса. Пришлось NetBios вернуть назад, порты UDP 137, 138 открыты, TCP 139 - открыт и ожидает соединения. Что можно сделать в моём случае?

Это так - при применении WWDC вы получаете соответственное предупреждение. Тулза умеет отключить NetBIOS частично, так чтобы ваша сеть не страдала. DHCP не следует отключить если у вас либо ADSL, либо dial-up, либо VPN.
DHCP не оставляет порты открытыми - то есть: svchost 'слушать' не будет на портах. У меня, например, (я в Corbina теперь) DHCP работает, но NetBIOS отключён.
P.S.: Какой у вас тип сетевого подключения? Я тоже пользуюсь WAN (PPPoE), но протоколы могут быть разными.
P.S.2: Это не попытка анти-рекламы, но я не исключаю, что виноват в ваших проблемах - ESET. Слишком smart на мой вкус.
P.S.3: (Без обиды, и только для непонимающих) если вы пользуетесь WAN (PPPoE), то тогда вы, скорее всего, должны после перезагрузки сначала вручную включить сеть, иначе действительно ничего не будет.

Paul

[rhsyrby]

DHCP не оставляет порты открытыми - то есть: svchost 'слушать' не будет на портах

139 TCP - слушает

P.S.: Какой у вас тип сетевого подключения? Я тоже пользуюсь WAN (PPPoE), но протоколы могут быть разными.

Как и где мне это уточнить?

P.S.2: Это не попытка анти-рекламы, но я не исключаю, что виноват в ваших проблемах - ESET. Слишком smart на мой вкус.

В части файрволла? Или как комплекс? Лучше будет NOD + отдельный файрволл?
Если можно, конкретные рекомендации, комп не очень мощный.

P.S.3: (Без обиды, и только для непонимающих) если вы пользуетесь WAN (PPPoE), то тогда вы, скорее всего, должны после перезагрузки сначала вручную включить сеть, иначе действительно ничего не будет.

Какие обиды, к вам - только уважение! У меня в папке "Сетевые подключения" - два значка:
1) Подключение по локальной сети, от сетевого адаптера, именно он после отключения DHCP в службах или NetBios в WWDC становится полупрозрачным и анимированным (бегает шарик), и отображается в таком виде в трее.
2) "Подключение к интернет" - его я создал сам с помощью мастера подключений, также как и представители провайдера (NetByNet). И, конечно, я его включаю вручную.
Раньше, когда был Dial-Up, я службу DHCP отключал без последствий.
Переформулируя вопрос - как отключить порты 137 - 139, если нельзя отключать DHCP?

Добавлено через 19 минут

Тулза умеет отключить NetBIOS частично, так чтобы ваша сеть не страдала

Так и сделал. Теперь в окне WWDC

А в ESS

[XP user]

139 TCP - слушает

Это не служба DHCP слушает.

Как и где мне это уточнить?

В части файрволла? Или как комплекс? Лучше будет NOD + отдельный файрволл?
Если можно, конкретные рекомендации, комп не очень мощный.

Оставьте.

Переформулируя вопрос - как отключить порты 137 - 139, если нельзя отключать DHCP?

В Windows XP:
Выйти из сети (из домашней тоже!) и:
1. В свойствах отдельно взятого соединения необходимо удалить (если имеется несколько сетевых подключений – повторить нижеследующее для остальных соединений) :
- Клиент для сетей Microsoft
- Служба доступа к файлам и принтерам сетей Microsoft

+

в Протокол Интернета (TCP/IP) – Дополнительно – WINS – отметить 'отключить NetBios через TCP/IP' и снять галочку 'Разрешить LMHost Lookup'

Проверить состояние следующих служб:
* Обозреватель компьютеров
* Модуль поддержки NetBios через TCP/IP
* служба TCP/IP NetBIOS Helper
Желательно, чтобы тип запуска был 'отключён'. Перезагрузить комп после каждого изменения. Надо будет экспериментировать одним за другим. Обозреватель компьютеров можно в любом случае отключить, а с другими могут возникнуть проблемы, поэтому желательно один за другим.

Paul

[rhsyrby]

удалить
- Клиент для сетей Microsoft
- Служба доступа к файлам и принтерам сетей Microsoft

Удалены во время установки ОС

в Протокол Интернета (TCP/IP) – Дополнительно – WINS – отметить 'отключить NetBios через TCP/IP' и снять галочку 'Разрешить LMHost Lookup'

Оно!

Проверить состояние следующих служб:
* Обозреватель компьютеров
* Модуль поддержки NetBios через TCP/IP
* служба TCP/IP NetBIOS Helper

Отключены сразу после установки ОС

[XP user]

@ rhsyrby

Покажите, пожалуйста, настройки вклади WINS в Протокол Интернета (TCP/IP) – Дополнительно.

Paul

[rhsyrby]

@ rhsyrby

Покажите, пожалуйста, настройки вклади WINS в Протокол Интернета (TCP/IP) – Дополнительно.

Paul

Сделал всё по вашим рекомендациям

[XP user]

@ rhsyrby

Тогда, пожалуйста, покажите мне отчёт TCPView. Можно в личку. Я хочу посмотреть, кто открывает этот порт.

Paul

[rhsyrby]

@ rhsyrby

Тогда, пожалуйста, покажите мне отчёт TCPView. Можно в личку. Я хочу посмотреть, кто открывает этот порт.

Paul

Этот порт открывался именно из-за неправильных настроек.
Я сделал всё по вашим рекомендациям

в Протокол Интернета (TCP/IP) – Дополнительно – WINS – отметить 'отключить NetBios через TCP/IP' и снять галочку 'Разрешить LMHost Lookup'

теперь этот порт закрыт

[XP user]

Этот порт открывался именно из-за неправильных настроек.
Я сделал всё по вашим рекомендациям

теперь этот порт закрыт

Я тоже так думаю. На что ещё жалуетесь?

Paul

[rhsyrby]

Я тоже так думаю. На что ещё жалуетесь?

Paul

1. По прежнему терзают сомнения насчёт Eset SmartSecurity
2. Что вы порекомендуете по поводу новых служб XP SP3:
Автонастройка проводного доступа
Агент защиты доступа к сети
Служба протокола EAP
Служба управления сертификатами и ключами работоспособности

[XP user]

1. По прежнему терзают сомнения насчёт Eset SmartSecurity
2. Что вы порекомендуете по поводу новых служб XP SP3:
Автонастройка проводного доступа
Агент защиты доступа к сети
Служба протокола EAP
Служба управления сертификатами и ключами работоспособности

Явно открытых (в состоянии LISTENING) портов есть? Для этого нужен отчёт TCPView. Если нет, оставьте всё как есть.

Paul

[alexsadko68]

@ Vadim Sterkin
Служба восстановления системы
* Нагло мешает программам защиты бориться с зловредами. Если нужны доказательства, посмотрите в разделе 'Помогите'.
* Кроме зловредов особенно ничего не восстанавливает. Когда она действительно нужна, она не может восстанавливать то, что нужно.
* Она может восстанавливать ТОЛЬКО СИСТЕМНЫЕ файлы и папки. Недоделанная функциональность, короче. Программы третьих сторон (даже некоторые бесплатные) эту работу намного эффективнее делают.

Paul

Какие Например ?

[pps]

Какие Например ?

Да хотя бы Acronis:
http://www.acronis.ru/homecomputing/products/trueimage/