-
ИПУ в AVZ
Данная тема посвящена искателю потенциальных уязвимостей на ПК пользователей, которая реализована в AVZ (реализация находится в базе и менять ее можно хоть каждый день) - для обсуждения того, что стоит контролировать в ИПУ, что не стоит и т.п.
В настоящий момент примеврются:
1. Службы. На контроле состояние служб "Удаленный реестр", "Терминальный сервер", "Служба обнаружения UPNP", "Telnet", "Служба сообщений", "Планировщик". Отключение/включение служб вопрос весьма спорный ввиду того, что нет однозначности - для домашнего ПК справедливо одно, для ПК в корпоративной сети - другое. В случае обнаружения службы, на которую стоит обратить внимание выводится сообщение вида
>>Службы: разрешена потенциально опасная служба ....
2. Автозапуск с CD (обработка autorun.inf). Проверяется состояние глобального флага, управляющего автозапуском с CD, сообщение имеет вид:
>>Безопасность: разрешен автозапуск программ с CDROM
3. Админ-шары. По умолчанию они создаются, т.е. для каждого диска автоматом создается ресурс общего доступа с $ на хвосте (такие ресурсы не видны в проводнике, но видны в альтернативных программах типа сканеров сети). Если у пользователя несложный пароль или его нет, то через такой ресурс злоумышленник или вирус может получить полный доступ к диску. В ЛВС такие ресурсы могут применяться админом. Сообщение в случае обнаружения:
>>Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
4. Контроль сервиспаков и критических патчей. Пока в зачаточном состоянии, но естественно будет развиваться. Проверяет ситуации типа XP без SP2. Сообщения имеют вид:
>>Система: Возможно не установлен последний ServicePack для ... (текущий - ...)
5. Подключения анонимных пользователей. По умолчанию разршено, т.е. не имея прав на доступ к ресурсам ПК можно кое что о нем узнать. Это не опасно, не и хорошего мало. Сообщение:
>> Безопасность: к ПК разрешен доступ анонимного пользователя
6. Контроль настроек IE. проверяется ряд настроек, связанных с исполнением ActiveX, IFrame. Настройки IE как известно хранятся в реестре, следовательно исправить их несложно. Сообщение имеет вид:
>>> Безопасность: В IE разрешен ....
7. Проверка, разрешены ли терминальные к ПК. Определеяется как совокупность из того, что запущена одноименная служба и в настройке разрешены подключения (можно изменить вручную - птичка в свойствах ПК, закладка "Дистанционное управление рабочим столом" ). Для домашнего ПК совершенно не требуется. формат сообщения:
>>Безопасность: Разрешены терминальные подключения к данному ПК
8. Проверка, разрешена ли отправка приглашений удаленному помошнику. Если таковая система не применяется, то разумно ее отключить от греха. Вид сообщения:
>>Безопасность: Разрешена отправка приглашений удаленному помошнику
9. Контроль того, разрешен ли автоматический вход в систему (т.е. без ввода логина и пароля при входе). Опасность автоматического входа - любой желающий может включтьь ПК и получить к нему доступ, актуально для ноутбуков и ПК в корпоративной сети. Формат сообщения:
>>Безопасность: разрешен автоматический вход в систему
-------------
Итак - ваши предложения, что нужно-ненужно контролировать из этого списка, какие проверки слудет добавить ? Как легко заметить, суть ИПУ в том, что это добавление к протоколу сканирования и исследования системы, так сказать данные для размышления.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Как-то это все под ХР заточено. А как быть с 2000?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
PavelA
Как-то это все под ХР заточено. А как быть с 2000?
Примерно половина перечисленного актуальна на W2K, просто по статистике его уже почти нет нигде - у нас в сети к примеру осталось штук 5 ПК под ним. Но опять-же - если есть предложение по тому, что стоит проверять в 2K (где и как, достаточно общего направления) - и я добавлю такой контроль
-
-
По первому пункту у меня есть встречное предложение : сделать типа шаблонов templates ( одни шаблоны для домашнего компьютера- где- эти сервисы желательно отключить, другие шаблоны для рабочего компьютера.В любом случае пользователь должен выбирать, нужна ли ему та или иная служба/опция или нет. Также, будет полезно сделать опцию включения той или иной опции/службы/ сервиса. Даже если ошибётся, можно легко вернуть с помощью AVZ.
-
-
Сообщение от
Зайцев Олег
Итак - ваши предложения, что нужно-ненужно контролировать из этого списка, какие проверки слудет добавить ?
Я бы добавил проверку на включение FireWall (но только любого FireWall, а не именно виндового). Ну и контроль открытых портов. Вот только как проверить, что FireWall закрывает порты - непонятно. Ибо для доступа по локальке (и с самого компа) могут в вообще все порты открыт (и это нормально).
Ещё проверял бы доступность запуска по DCOM, впрочем это упирается в те же порты...
-
Сообщение от
Зайцев Олег
Примерно половина перечисленного актуальна на W2K, просто по статистике его уже почти нет нигде - у нас в сети к примеру осталось штук 5 ПК под ним.
У нас 235 офисов - хватает и ХР, и 2000, и ХР Home.
Именно поэтому вопрос и задал.
О том, что надо проверять, подумаю.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
а avz может проверять, есть у пользователя пароль на учетку администратор или нет?
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Junior Member
- Вес репутации
- 64
Сообщение от
Зайцев Олег
...W2K, просто по статистике его уже почти нет нигде ... если есть предложение по тому, что стоит проверять в 2K (где и как, достаточно общего направления) - и я добавлю такой контроль
У нас стоит на работе 2000, у знакомых тоже, многие разработчики также, как мне известно, до сих пор под ним сидят, если клиент не перешёл на XP или если ОС не столь важна (особенно, если требуется легальный софт).
Машины со слабой графикой, что я видел, почти все под Win2000.
Насчёт проверок - я использую Belarc Advisor (аудит компьютера) http://www.belarc.com/ - там базовый набор проверок есть...
Последний раз редактировалось Nick222; 31.08.2007 в 15:36.
-
Сообщение от
Ego1st
а avz может проверять, есть у пользователя пароль на учетку администратор или нет?
На данный момент к сожалению нет. Шаманский путь проверки есть, но он дюже шаманский и хакерский. Если удастся найти простой метод проверки - я его тут-же реализую
-
-
Олег, спасибо за объяснения, но скорее будет интересно не объяснение что значит та или иная уязвимость, а способы их устранения (с описанием куда и как зайти и что исправить). По каждому пункту, напрмер я не представляю как отрубить например это
>> Безопасность: к ПК разрешен доступ анонимного пользователя
-
-
Surfer, в AVZ: файл-стандартные скрипты-скрипт 2. В сформированном лог-файле будут инструменты устранения уязвимости. Если в чем-то сомневаетесь, можете создать тему в "Помогите". Хелперы вам помогут.
Опыт — это слово, которым люди называют свои ошибки.
-
-
Сообщение от
Nick222
Насчёт проверок - я использую Belarc Advisor (аудит компьютера)
Belarc делает немного не то - он просто проводит аудит, какие апдейты есть и каких нет ...
-
-
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
Зайцев Олег, +1!
Опыт — это слово, которым люди называют свои ошибки.
-
-
Сообщение от
Зайцев Олег
Belarc делает немного не то - он просто проводит аудит, какие апдейты есть и каких нет ...
Может и AVZ научить делать тоже самое? Составить список критических патчей и проверять их наличие\отсутствие.
-
-
Сообщение от
Maxim
Может и AVZ научить делать тоже самое? Составить список критических патчей и проверять их наличие\отсутствие.
Можно конечно. Но только проверять, без путей закачки ... Belarc Advisor могут нарваться и прекратить существование, так как судя по новостям MS заняли агрессивную политику против альтернатив их автоапдейту.
-
-
Сообщение от
Зайцев Олег
Можно конечно. Но только проверять, без путей закачки ...
Ок. Сделайте так.
Сообщение от
Зайцев Олег
Belarc Advisor могут нарваться и прекратить существование, так как судя по новостям MS заняли агрессивную политику против альтернатив их автоапдейту.
Борьба с пиратами...
-
-
Олег еще вопросик, можноли ИПУ как отдельную кнопку забабахать..
например в сервисах -> и назвать менеджер потенциально уязвимых мест.. и там уже фиксить что найдено..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Сообщение от
Ego1st
Олег еще вопросик, можноли ИПУ как отдельную кнопку забабахать..
например в сервисах -> и назвать менеджер потенциально уязвимых мест.. и там уже фиксить что найдено..
Уже обсуждали. Это сделано специально.
Опыт — это слово, которым люди называют свои ошибки.
-
-
хм можно ссылочку, а то мну давно небыло уже и не знаю где искать..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
-