Security FAQ
Многие читатели спрашивают:
Что такое IPC$? Я слышал, что через него возможен удаленный взлом? Нужно ли отключать этот ресурс, если да, то как это сделать?
IPC$, или Inter Process Communication, представляет собой специальный административный ресурс, предназначенный для создания именованных каналов. Посредством последних компьютеры обмениваются в сети различной служебной информацией. IPC$ также служит для дистанционного управления сервером.
Рис. 1. IPC$
Для того, чтобы решить, отключать данный ресурс или нет, необходимо учесть следующее:
1. Если это рабочая станция, которой нужно управлять удаленно, лучше не отключать.
2. Если рабочая станция не требует удаленного администрирования, можно и отключить.
3. Если это сервер, то отключать и вовсе не стоит, т.к. к нему будет невозможно достучаться по сети.
Отключается IPC$ через CMD командой "net share ipc$ /delete" (после перезагрузки данный ресурс все равно сам включается, поэтому можно написать соответствующий bat-файл и поместить его в автозагрузку).
Нужно ли отключать службу удаленного доступа к реестру? Если да, то как это сделать?
Remote Registry (удаленный реестр) позволяет удаленным пользователям изменять параметры реестра на текущем компьютере. Во избежание потенциальных рисков рекомендуется отключать данную службу. Делается это одним из следующих способов:
1. Остановка службы в панели управления (Пуск/Настройка/Панель Управления/Производительность и обслуживание/Администрирование Службы.
2. Через реестр внесением значения 4: HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry параметр Start = 4.
Рис. 2
При отключении данной службы возможны некоторые побочные эффекты, связанные с административными оснастками управления (например, может некорректно работать оснастка RRAS, хотя сама служба будет работать нормально).
Известно, что многие вирусы подменяют системные файлы своими. Как определить эту подмену?
Для того, чтобы быть всегда в курсе подобных "проделок", необходимо включить функцию уведомления о защите файлов. Делается это путем внесения в реестр по адресу: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SystemFileProtection параметра типа DWORD ShowPopups, равного 1.
Давно хотел узнать, следует ли отключать службы криптографии (Cryptographic Services) и защищенное хранилище ProtectedStorage?
Итак, служба криптографии. Функции: данная служба предоставляет три службы управления: службу баз данных каталога, которая проверяет цифровые подписи файлов Windows, службу защищенного корня, которая добавляет и удаляет сертификаты доверенного корня центра сертификации с этого компьютера, и службу ключей, которая позволяет подавать заявки на сертификаты с этого компьютера. Говоря простым языком, данная служба проверяет подписи файлов Windows. Служба как воздух необходима для обновления Windows как в ручном, так и в автоматическом режимах, а также для инсталляции различных SP и DirectX 9.0. Windows Media Player и некоторые .NET-приложения могут требовать эту службу для работы некоторых функций. Учитывая вышесказанное и при условии, что ваш ПК не находится в локальной сети или Интернет, службу можно отключить.
Вторая служба — защищенное хранилище, она же Protected Storage — обеспечивает защищенное хранение секретных данных — таких, как закрытые ключи — для предотвращения несанкционированного доступа служб, процессов или пользователей. Она также сохраняет введенные локальные пароли. Данная служба может пригодиться при работе с зашифрованными данными и ключами от различных программ и источников. Если вы не работаете с защищенными протоколами, можно отключить.
Я часто люблю экспериментировать с Windows. При попытке подмены файла системы своим через некоторое время мой файл заменяется системным. В чем дело?
Все дело во встроенной защите системных файлов. Даже приложения, разработанные корпорацией "Майкрософт", не могут заменять защищенные этой системой файлы на их старые версии. Для того, чтобы избежать "самоподмены", следует отключить защиту файлов, которую представляет служба System File Protection. SFP регистрирует попытку подменить системный файл и далее восстанавливает его исходную копию. Итак, для того, чтобы отключить SFP:
Для Windows 2000 без Service Pack 2 (SP2) в раздел реестра HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon добавляем параметр DWORD SFCDisable со значением FFFFFF9D.
Для Windows 2000 с Service Pack 2 (SP2) открываем файл по адресу %\systemroot%\system32\sfc.dll в любом шестнадцатеричном редакторе (например, HEDIT), переходим на смещение 00006211 (6211 hex) и изменяем байты 8BC6 на 9090, после чего в реестре устанавливаем параметр SFCDisable равным FFFFFF9D.
Для Windows XP без SP1 в файле по адресу %\systemroot%\system32\sfc_os.dll со смещением 0000E2B8 (E2B8 hex) изменяем байты 8BC6 на 9090. В реестре устанавливаем параметр SFCDisable равным FFFFFF9D.
Для Windows XP с SP1 в этом же файле sfc_os.dll по адресу 0000E3BB (E3BB hex) изменяем байты 8BC6 на 9090. В реестре устанавливаем значение параметра SFCDisable равным FFFFFF9D.
Важно помнить, что для параметра SFCDisable существуют следующие возможные значения:
0 — включить WFP/SFC.
1 — отключить WFP/SFC до следующей перезагрузки ПК, во время которой будет выдано приглашение снова включить защиту файлов.
2 — отключить WFP/SFC до следующей перезагрузки.
4 — включить WFP/SFC, отключить выдачу всех всплывающих сообщений о работе этой службы.
FFFFFF9D — полностью выключить WFP/SFC.
Расскажите, пожалуйста, в двух словах, что такое сетевой спуффинг?
Фактически спуффинг — это подмена. В данном случае имеется в виду IP-спуффинг т.е. подмена IP. Подмена, при которой злонамеренный
пользователь, воспользовавшись чужим IP-адресом, находящимся в пределах доверенной зоны IP-адресов, или авторизованным внешним адресом, выдает себя за объект, которому можно доверять.
Как сделать так, чтобы определенный пользователь в системе не смог запустить определенную программу?
Для ограничения запускаемых программ необходимо открыть раздел HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorer и создать там ключ RestrictRun типа DWORD со значением 0х00000001. Затем тут же надо создать подраздел с аналогичным именем RestrictRun и в нем перечислить список разрешенных на запуск программ для текущего пользователя. Записи в этом подразделе нумеруются начиная с 1 и содержат строки с путями и именами приложений (файлы должны иметь расширение, например, Word.exe, Excel.exe...).
Через некоторое время после запуска Windows XP появляется окно с надписью: "...вызвано NT AUTORITY\SYSTEM... остановка службы Удаленный вызов процедур (RPC)..." Что это такое, и как с этим бороться?
Судя по окну, скорее всего, ваш компьютер инфицирован червем MSBLAST или одной из его модификаций. Для того, чтобы подцепить подобную заразу, достаточно выйти в сеть Интернет с непропатченной системой и открытыми портами 135, 139 и 445. Чтобы окончательно убедиться, что это MSBLAST, необходимо проверить следующее:
1. Наличие записи "windows auto update"="ms-blast.exe" в разделе Run системного реестра Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
2. Присутствие файла MSBLAST.EXE, TEEKIDS.EXE или PENIS32.EXE в папке Windows\System32\.
Для того, чтобы удалить это зло, необходимо:
1. Убить процесс MSBLAST.EXE, TEEKIDS.EXE или PENIS32.EXE в диспетчере задач.
2. Удалить в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run запись на запуск червя.
3. Перегрузить ПК.
4. "Долечить" систему утилитами, которые можно скачать по адресу: сайт
5. Установить патч: www.microsoft.com/security/security_bulletins/ms03-026.asp
Олег Бойцев (Cyber Tank), Cyber_Tank@mail.ru
Что такое IPC$? Я слышал, что через него возможен удаленный взлом? Нужно ли отключать этот ресурс, если да, то как это сделать?
IPC$, или Inter Process Communication, представляет собой специальный административный ресурс, предназначенный для создания именованных каналов. Посредством последних компьютеры обмениваются в сети различной служебной информацией. IPC$ также служит для дистанционного управления сервером.
Рис. 1. IPC$
Для того, чтобы решить, отключать данный ресурс или нет, необходимо учесть следующее:
1. Если это рабочая станция, которой нужно управлять удаленно, лучше не отключать.
2. Если рабочая станция не требует удаленного администрирования, можно и отключить.
3. Если это сервер, то отключать и вовсе не стоит, т.к. к нему будет невозможно достучаться по сети.
Отключается IPC$ через CMD командой "net share ipc$ /delete" (после перезагрузки данный ресурс все равно сам включается, поэтому можно написать соответствующий bat-файл и поместить его в автозагрузку).
Нужно ли отключать службу удаленного доступа к реестру? Если да, то как это сделать?
Remote Registry (удаленный реестр) позволяет удаленным пользователям изменять параметры реестра на текущем компьютере. Во избежание потенциальных рисков рекомендуется отключать данную службу. Делается это одним из следующих способов:
1. Остановка службы в панели управления (Пуск/Настройка/Панель Управления/Производительность и обслуживание/Администрирование Службы.
2. Через реестр внесением значения 4: HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry параметр Start = 4.
Рис. 2
При отключении данной службы возможны некоторые побочные эффекты, связанные с административными оснастками управления (например, может некорректно работать оснастка RRAS, хотя сама служба будет работать нормально).
Известно, что многие вирусы подменяют системные файлы своими. Как определить эту подмену?
Для того, чтобы быть всегда в курсе подобных "проделок", необходимо включить функцию уведомления о защите файлов. Делается это путем внесения в реестр по адресу: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SystemFileProtection параметра типа DWORD ShowPopups, равного 1.
Давно хотел узнать, следует ли отключать службы криптографии (Cryptographic Services) и защищенное хранилище ProtectedStorage?
Итак, служба криптографии. Функции: данная служба предоставляет три службы управления: службу баз данных каталога, которая проверяет цифровые подписи файлов Windows, службу защищенного корня, которая добавляет и удаляет сертификаты доверенного корня центра сертификации с этого компьютера, и службу ключей, которая позволяет подавать заявки на сертификаты с этого компьютера. Говоря простым языком, данная служба проверяет подписи файлов Windows. Служба как воздух необходима для обновления Windows как в ручном, так и в автоматическом режимах, а также для инсталляции различных SP и DirectX 9.0. Windows Media Player и некоторые .NET-приложения могут требовать эту службу для работы некоторых функций. Учитывая вышесказанное и при условии, что ваш ПК не находится в локальной сети или Интернет, службу можно отключить.
Вторая служба — защищенное хранилище, она же Protected Storage — обеспечивает защищенное хранение секретных данных — таких, как закрытые ключи — для предотвращения несанкционированного доступа служб, процессов или пользователей. Она также сохраняет введенные локальные пароли. Данная служба может пригодиться при работе с зашифрованными данными и ключами от различных программ и источников. Если вы не работаете с защищенными протоколами, можно отключить.
Я часто люблю экспериментировать с Windows. При попытке подмены файла системы своим через некоторое время мой файл заменяется системным. В чем дело?
Все дело во встроенной защите системных файлов. Даже приложения, разработанные корпорацией "Майкрософт", не могут заменять защищенные этой системой файлы на их старые версии. Для того, чтобы избежать "самоподмены", следует отключить защиту файлов, которую представляет служба System File Protection. SFP регистрирует попытку подменить системный файл и далее восстанавливает его исходную копию. Итак, для того, чтобы отключить SFP:
Для Windows 2000 без Service Pack 2 (SP2) в раздел реестра HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon добавляем параметр DWORD SFCDisable со значением FFFFFF9D.
Для Windows 2000 с Service Pack 2 (SP2) открываем файл по адресу %\systemroot%\system32\sfc.dll в любом шестнадцатеричном редакторе (например, HEDIT), переходим на смещение 00006211 (6211 hex) и изменяем байты 8BC6 на 9090, после чего в реестре устанавливаем параметр SFCDisable равным FFFFFF9D.
Для Windows XP без SP1 в файле по адресу %\systemroot%\system32\sfc_os.dll со смещением 0000E2B8 (E2B8 hex) изменяем байты 8BC6 на 9090. В реестре устанавливаем параметр SFCDisable равным FFFFFF9D.
Для Windows XP с SP1 в этом же файле sfc_os.dll по адресу 0000E3BB (E3BB hex) изменяем байты 8BC6 на 9090. В реестре устанавливаем значение параметра SFCDisable равным FFFFFF9D.
Важно помнить, что для параметра SFCDisable существуют следующие возможные значения:
0 — включить WFP/SFC.
1 — отключить WFP/SFC до следующей перезагрузки ПК, во время которой будет выдано приглашение снова включить защиту файлов.
2 — отключить WFP/SFC до следующей перезагрузки.
4 — включить WFP/SFC, отключить выдачу всех всплывающих сообщений о работе этой службы.
FFFFFF9D — полностью выключить WFP/SFC.
Расскажите, пожалуйста, в двух словах, что такое сетевой спуффинг?
Фактически спуффинг — это подмена. В данном случае имеется в виду IP-спуффинг т.е. подмена IP. Подмена, при которой злонамеренный
пользователь, воспользовавшись чужим IP-адресом, находящимся в пределах доверенной зоны IP-адресов, или авторизованным внешним адресом, выдает себя за объект, которому можно доверять.
Как сделать так, чтобы определенный пользователь в системе не смог запустить определенную программу?
Для ограничения запускаемых программ необходимо открыть раздел HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorer и создать там ключ RestrictRun типа DWORD со значением 0х00000001. Затем тут же надо создать подраздел с аналогичным именем RestrictRun и в нем перечислить список разрешенных на запуск программ для текущего пользователя. Записи в этом подразделе нумеруются начиная с 1 и содержат строки с путями и именами приложений (файлы должны иметь расширение, например, Word.exe, Excel.exe...).
Через некоторое время после запуска Windows XP появляется окно с надписью: "...вызвано NT AUTORITY\SYSTEM... остановка службы Удаленный вызов процедур (RPC)..." Что это такое, и как с этим бороться?
Судя по окну, скорее всего, ваш компьютер инфицирован червем MSBLAST или одной из его модификаций. Для того, чтобы подцепить подобную заразу, достаточно выйти в сеть Интернет с непропатченной системой и открытыми портами 135, 139 и 445. Чтобы окончательно убедиться, что это MSBLAST, необходимо проверить следующее:
1. Наличие записи "windows auto update"="ms-blast.exe" в разделе Run системного реестра Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
2. Присутствие файла MSBLAST.EXE, TEEKIDS.EXE или PENIS32.EXE в папке Windows\System32\.
Для того, чтобы удалить это зло, необходимо:
1. Убить процесс MSBLAST.EXE, TEEKIDS.EXE или PENIS32.EXE в диспетчере задач.
2. Удалить в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run запись на запуск червя.
3. Перегрузить ПК.
4. "Долечить" систему утилитами, которые можно скачать по адресу: сайт
5. Установить патч: www.microsoft.com/security/security_bulletins/ms03-026.asp
Олег Бойцев (Cyber Tank), Cyber_Tank@mail.ru
Компьютерная газета. Статья была опубликована в номере 06 за 2007 год в рубрике безопасность